Neue Rechtsgrundlage für den EU-US-Transfer personenbezogener Daten
Die EU-Kommission hat am 10. Juli 2023 für den EU-US-Transfer personenbezogener Daten eine neue Rechtsgrundlage in Form eines sog. Angemessenheitsbeschlusses verabschiedet nachdem der EuGH im Juli 2020 mit seinem Schrems II-Urteil den alten Angemessenheitsbeschluss zum „Privacy Shield“ für unwirksam erklärte.
Der Angemessenheitsbeschluss ist mit Verabschiedung in Kraft getreten und soll erstmals nach einem Jahr evaluiert werden.
Der neue Angemessenheitsbeschluss bildet nach Art. 45 DSGVO eine allgemeine Rechtsgrundlage für den Transfer personenbezogener Daten zu Unternehmen und anderen Organisationen in den USA, die sich den Prinzipien des „EU-US Data Privacy Framework“ durch Selbstzertifizierung beim US Department of Commerce verbindlich unterworfen haben.
Das US Department of Commerce hat eine Liste der zertifizierten Unternehmen und Organisationen im Internet veröffentlicht und die Internetseite www.dataprivacyframework.gov online gestellt. Sollte das Unternehmen nicht zertifiziert sein, bleibt es bei den bisherigen Anforderungen an die Datenübermittlung in Drittstaaten.
Die USA haben mit der Executive Order (EO) 14086 vom 7. Oktober 2023 und dem „EU-US Data Privacy Framework“ neue Vorgaben für Zugriffe von US-Nachrichtendiensten auf personenbezogene Daten und neue Rechtsschutzmöglichkeiten für Betroffene eingeführt. Auf Grundlage dieser Anpassungen hat die EU-Kommission das US-Datenschutzniveau als vergleichbar zur DSGVO bewertet und den neuen Angemessenheitsbeschluss verabschiedet.
Max Schrems, Namensgeber des „Schrems II“-Urteils, hält den neuen Angemessenheitsbeschluss erneut für unzureichend und will ihn vom EuGH überprüfen lassen; er rechnet damit, dass sich der EuGH Anfang nächsten Jahres mit der Prüfung befasst.