Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, wurde auf beide Seiten des Atlantiks gearbeitet, um einen neuen Rahmen zu schaffen, der die vom Gerichtshof geäußerten Bedenken ausräumt, und einen sicheren Datenverkehr für EU-Bürger und Unternehmen gewährleistet.
Der neue Angemessenheitsbeschluss kommt insbesondere zu dem Schluss, dass die USA für personenbezogene Daten, die im Rahmen des EU-US-Data Privacy Framework (EU-US-DPF) von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der EU an zertifizierte Empfänger in den USA übermittelt werden, ein Schutzniveau bieten, das dem der EU im Wesentlichen gleichwertig ist.
Der Datenschutzrahmen EU-USA (EU-US-DPF) führt neue verbindliche Garantien ein. Als erstes ist der Zugriff der US-Geheimdienste auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt. In Bezug auf den Zugang von US-Behörden, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit, ist der Zugang zu Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.
Es wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) eingerichtet, das von einzelnen EU-Bürgern angerufen werden kann. Wenn bei der Datenerhebung gegen die neuen Garantien verstoßen wird, kann der Gericht die Löschung der Daten anordnen.
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich durch eine Zertifizierung zur Einhaltung detaillierter Datenschutzpflichten verpflichten, z.B. die Pflicht, personenbezogene Daten zu löschen, wenn sie zweckmäßig nicht mehr erforderlich sind.
Falls ein US-Unternehmen Daten von EU-Bürgern nicht ordnungsgemäß behandelt, können EU-Bürger ein unabhängiges und kostenloses Streitbeilegungsverfahren in Anspruch nehmen. Auch ein Schiedsgericht ist vorgesehen.
Der Datenverkehr zwischen EU und USA soll nun erleichtert werden, da die neu eingeführten Garantien auch für Datenübermittlungen mit anderen Instrumenten wie Standardvertragsklauseln gelten.
Quellen:
- https://ec.europa.eu/
commission/presscorner/detail/ en/ip_23_3721 - https://www.reuters.com/technology/eu-announces-new-us-data-transfer-pact-challenge-ahead-2023-07-10/
- https://www.politico.eu/article/eu-signs-off-on-data-transfers-deal-with-us/
- https://www.lto.de/recht/presseschau/p/presseschau-11-07-23-data-privacy-framework-bgh-diesemotor-israel-justizrefrom/