Die EU-Kommission hat am 10. Juli 2023 das Data Privacy Framework veröffentlicht. Damit gibt es drei Jahre nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.
Framework bietet angemessenes Schutzniveau
Der Beschluss kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Frameworks aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten gefahrlos aus der EU an US-Unternehmen, die an dem Rahmenprogramm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Neue verbindliche Garantien für Datenerhebung
Das Datenschutz-Framework zwischen der EU und den USA führt neue verbindliche Garantien ein, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß und der Einrichtung eines Datenschutzüberprüfungsgerichts (DPRC), zu dem EU-Bürger Zugang haben. Das neue Framework bringt erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem Privacy Shield bestand. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Verpflichtungen ergänzen, die US-Unternehmen, die Daten aus der EU importieren, eingehen müssen.
Dreijährige Hängepartie geht zu Ende
Dazu erklärt Bitkom-Präsident Dr. Ralf Wintergerst:
Weitere Informationen zum Data Privacy Framework„Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.
Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat. Datentransfers sind ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft. Die Be- oder sogar Verhinderung von Datentransfers kann häufig nicht einfach durch alternative Lösungen kompensiert werden und stellt die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten.“
