Der neue Angemessenheitsbeschluss ist da!

Trans-Atlantic Data Privacy Framework – Datenübermittlungen in die USA

Die EU-Kommission hat am 10.7.2023 den Angemessenheitsbeschluss gefasst, auf den schon lange gewartet wurde. Gemäß dem Trans-Atlantic Data Privacy Framework („TADPF“) können Unternehmen Datenübermittlungen in die USA auf Grundlage dieses Beschlusses stützen. Das TADPF stellt sohin derzeit die neue Grundlage nach Art 45 DSGVO für Datenübermittlungen in die USA dar.

Was bisher geschah…

Der „Vorgänger“ des TADPF, nämlich „Safe Harbor“ aus 2000, wurde vom EuGH 2015 aufgehoben. 2016 folgte „Privacy Shield“, welches 2020 vom EuGH aufgehoben wurde. Beide Male begründete der EuGH die Aufhebung im Wesentlichen mit dem Mangel an hinreichendem Rechtsschutz für EU-Bürger sowie dem uneingeschränkten Zugriff durch US-Behörden auf personenbezogenen Daten. Das TADPF als Nachfolger dieser beiden „Vorgänger“-Angemessenheitsbeschlüsse soll nun für ein angemessenes Datenschutzniveau für EU-Bürger, deren Daten in den USA verarbeitet werden, sorgen.

Garantien durch die USA

Die USA sagte der EU unter anderem zu, dass Zugriff auf personenbezogene Daten von EU-Bürgern durch US-Behörden nur mehr eingeschränkt erfolgen werde. Der Zugriff soll unter bestimmten Voraussetzungen erfolgen, insbesondere unter Rücksicht auf das Gebot der Verhältnismäßigkeit. Außerdem wurden Rechtsschutzmöglichkeiten vorgesehen, die EU-Bürgern im Falle von behaupteter unrechtmäßiger Datenverarbeitung offen stünden. Dabei soll es sich um einen zweistufigen Beschwerde- und Abhilfemechanismus handeln. Die Umsetzung dieser (und weiterer Garantien) waren die Grundlage für den Erlass des TADPF.   

Bedeutung für Unternehmen

Unternehmen sahen sich seit der Aufhebung von „Privacy Shield“ im Jahr 2020 aufgrund der Einbindung von US-Dienstleistern gezwungen, Standardvertragsklauseln (SCC) abzuschließen. Der EuGH hatte in derselben Entscheidung, mit welcher er „Privacy Shield“ aufhob, zudem entschieden, dass auch beim Abschluss solcher SCC zusätzliche Maßnahmen getroffen werden müssen, um den Schutzstandard zu gewährleisten. Auch die österreichische Datenschutzbehörde entschied beispielsweise in den Entscheidungen zu Google Analytics I und II, dass SCC trotz der Implementierung von zusätzlichen Maßnahmen als nicht ausreichend effektiv waren.

Für Datenübermittlungen an nach TADPF-zertifizierten US-Unternehmen sollen ab dem 10.7.2023 keine Garantien wie SCC mehr notwendig sein. Dies gilt so lange, als der EuGH den Angemessenheitsbeschluss nicht erneut aufhebt.

Fazit

Das TADPF bringt für Unternehmen, die Datentransfers in die USA vornehmen, vorerst Erleichterung. Das europäische Zentrum für digitale Rechte (NOYB) hat allerdings bereits angekündigt, dass auch dieser Angemessenheitsbeschluss mit hoher Wahrscheinlichkeit vom EuGH aufgehoben werden wird.

Für Fragen steht Ihnen gerne das KWR Datenschutzteam gerne zur Verfügung.

Diese Website verwendet Cookies

Damit wir Ihnen während des Aufenthaltes auf unserer Website das bestmögliche Erlebnis bieten können, verwenden wir verschiedene Arten von Cookies. Bitte wählen Sie aus, welche Arten von Cookies Sie zulassen möchten und klicken Sie dann auf "Zustimmen". Mit dem Klick auf "Allen zustimmen" erklären Sie sich mit der Verwendung sämtlicher Cookies einverstanden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einstellungen ändern. Mehr zum Thema Cookies finden Sie unter: Cookie-Policy. Weitere Informationen zum Thema Datenschutz finden Sie unter: Datenschutz.

Impressum

Betriebsnotwendige und
funktionale Cookies
Statistik-Cookies


Weitere Informationen