Data Privacy Framework: Das zählt beim Datenexport
Der neue Angemessenheitsbeschluss bietet für Datenexporte in die USA vorerst Rechtssicherheit. Datenschutzaufsichtsbehörden warnen jedoch davor, sich blind darauf zu verlassen.
Die Datenschutz-Grundverordnung (DSGVO) sieht ein hohes Schutzniveau für personenbezogene Daten vor und gilt in den EU-Mitgliedsstaaten sowie in Island, Liechtenstein und Norwegen als Staaten des Europäischen Wirtschaftsraums (EWR). Damit Verantwortliche die strengen Vorgaben der DSGVO nicht durch Datenexporte in Länder außerhalb der EU und des EWR umgehen können, sieht die DSGVO besondere Voraussetzungen für solche Drittlandübermittlungen vor. Möglich sind sie unter anderem auf Basis eines Angemessenheitsbeschlusses der EU-Kommission. Um die bisherige Rechtsunsicherheit für Exporte in die USA zu beseitigen, haben sich die EU und die USA auf das EU-US Data Privacy Framework geeinigt. Auf dessen Grundlage trat am 10. Juli 2023 ein neuer Angemessenheitsbeschluss der EU-Kommission in Kraft (siehe „Wie lange hält das Data Privacy Framework?“ in iX 8/2023, S. 76). Dazu hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nun Anwendungshinweise verabschiedet, die Datenexporteure als Orientierungshilfe für die Drittlandsübermittlung in die USA heranziehen können.
Die DSK betont darin, dass der Angemessenheitsbeschluss lediglich sektoraler Natur ist, das heißt, dass der Beschluss nicht alle Datenübermittlungen in die USA umfasst, sondern nur solche, deren Empfänger zertifizierte US-Unternehmen sind. US-Unternehmen können sich beim Department of Commerce (DOC) zertifizieren lassen, das die Einhaltung der Vorgaben prüft. Ist die Prüfung erfolgreich, werden die US-Unternehmen in die Data Privacy Framework List aufgenommen. Ab diesem Zeitpunkt können Datenexporteure personenbezogene Daten in die USA übermitteln.