Die EU-Kommission hat gestern einen Anlauf genommen, den transatlantischen Datentransfer zu sanieren und einen Angemessenheitsbeschluss für die USA zu erlassen. Das "EU-U.S. Data Privacy Framework" ersetzt das Privacy Shield, das vom EuGH 2020 auf Betreiben von Max Schrems für ungültig erklärt wurde. Das neue Abkommen basiert auf einigen Änderungen in der US-Rechtslage, über die wir bereits berichtet haben. Die DORDA Datenschutzexperten haben das Wichtigste zum neuen Abkommen für Sie kurz zusammengefasst:
Anwendungsbereich
Der Angemessenheitsbeschluss gilt laut dem Q&A der EU-Kommission ab sofort. Umfasst sind Datentransfers zu US-Unternehmen, die nach Selbstzertifizierung in der Data Privacy Framework List aufgenommen sind. Mit der Eintragung können dem Anbieter personenbezogene Daten ohne weitere Mechanismen wie zB Standardvertragsklauseln (SCC) in die USA übermittelt werden.
Diese Liste ist derzeit noch leer. Wir gehen davon aus, dass in den nächsten Tagen und Wochen die wichtigsten US-Techanbieter von Social Media, Cloud- und IT Lösungen die notwendigen Hürden nehmen und sich eintragen lassen werden. Sie werden ihre nächsten Schritte wohl auch proaktiv medial sowie gegenüber ihren Kunden kommunizieren. Bei kleineren Anbietern empfiehlt es sich, dass der Kunde mit dem US Anbieter in Kontakt tritt um zu evaluieren, wie deren Pläne bzw nächste Schritte aussehen.
Ausblick
Der Angemessenheitsbeschluss wird vielen Unternehmen das Leben in naher Zukunft erheblich erleichtern. Wichtig ist aber, dass die Erleichterungen nur im Verhältnis zu den selbstzertifizierten US Unternehmen gelten. Datentransfers in das nicht sichere EU-Ausland zu anderen Hotspots wie Indien sind davon nicht erfasst. Hier muss der Datenexporteur weiterhin mit Standardvertragsklauseln mit zusätzlich vereinbarten angemessenen Maßnahmen agieren.
Max Schrems bzw NOYB haben zudem postwendend eine neuerliche Anfechtung des Angemessenheitsbeschlusses beim EuGH angekündigt. Damit wird auch das neue Abkommen einer Prüfung unterzogen. Es ist daher durchaus sinnvoll, gerade bei länger laufenden Verträgen auch im transatlantischen Datentransfer parallel auf Standardvertragsklauseln mit den vereinbarten angemessenen Maßnahmen zu setzen. Damit besteht im Ernstfall weiterhin ein Sicherheitsnetz.
Es bleibt im Bereich des internationalen Datentransfers also weiter spannend. Wir halten Sie dazu gerne auf dem Laufenden und unterstützen Sie bei der Umsetzung.