Hintergrund
Die DSGVO ermöglicht durch sog. „Angemessenheitsbeschlüsse“ (Art 45 DSGVO) eine relativ einfache Datenübermittlung an Unternehmen in Drittstaaten (Nicht-EU Staaten). Durch einen Angemessenheitsbeschluss bestätigt die EU, dass ein Drittstaat ein angemessenes Schutzniveau bei Übermittlung personenbezogener Daten bietet. Eine Datenübertragung bedarf keiner besonderen Genehmigung.
Bereits in der Vergangenheit erließ die EU zwei Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten in die USA. Der Europäische Gerichtshof (EuGH) erklärte allerdings die Datenschutzabkommen „Safe-Harbor“ mit dem Schrems-I-Urteil vom 06.10.2015 sowie „Privacy Shield" mit dem Schrems II-Urteil vom 16.07.2020 für ungültig.
Hintergrund war die (nahezu) uneingeschränkte Möglichkeit der US-Behörden und US- Geheimdienste, auf diese Daten zugreifen zu können.
Neuer Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework)
Am 10.07.2023 wurde von der Europäischen Kommission der neue Angemessenheitsbeschluss nach Art 45 DSGVO (EU-U.S. Data Privacy Framework) angenommen. Dieser ist abrufbar unter: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_de.
Allerdings gilt es zu beachten, dass der Angemessenheitsbeschluss nur für jene Unternehmen gilt, die in der sog. „DATA Privacy Framework List“ aufscheinen. In die Liste kann unter folgendem Link (https://www.dataprivacyframework.gov/s/participant-search) eingesehen und gezielt nach einem Unternehmen gesucht werden.
Diese Unternehmen verpflichten sich zur Einhaltung detaillierter Datenschutzbestimmungen. So müssen sie etwa personenbezogene Daten löschen, wenn der Zweck für die Datenerhebung weggefallen ist. Darüber hinaus ist vorgesehen, dass der Zugang der US-Nachrichtendienste auf ein notwendiges und verhältnismäßiges Maß beschränkt wird.
Ein unabhängiges Datenschutzgericht (sog. „Data Protection Review Court) soll den EU-Bürgern effektiven Rechtsschutz gegen nicht DSGVO-konforme Datenübertragung bieten.
Zudem sind (kostenlose) unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle vorgesehen, die ebenfalls von EU-Bürgern angerufen werden können.
Fazit
Der neue Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework) erleichtert die Datenübertragung an Unternehmen in die USA (aber nur wenn diese in der DATA Privacy Framework List aufscheinen) und bietet für europäische Unternehmen, die zB Daten an amerikanische Server übermitteln, nunmehr (zumindest vorerst) die dringend benötigte Rechtssicherheit. Diese bestand nach dem (noch immer nicht in Rechtskraft erwachsenen Bescheid der österreichischen Datenschutzschutzbehörde zu Google Analytics zur GZ D155.027, 2021-0.586.257, siehe dazu unseren BLOG-Beitrag: https://www.unger-rechtsanwaelte.at/aktuelles/detail/entscheidung-der-datenschutzbehoerde-zu-d155027-2021-0586257) nicht mehr.
Auf Grund des neuen Angemessenheitsbeschlusses besteht nunmehr – solange der EuGH diesen nicht für ungültig erklärt – für Unternehmen die Sicherheit einer DSGVO-konformen Datenübertragung personenbezogener Daten an Unternehmen in den USA.