Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen. Datenexporteure aus der EU haben jedoch zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. Sie müssen zunächst vorab prüfen und sicherstellen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. DPF zertifiziert ist. Andernfalls sind weitere Übermittlungsinstrumente oder zusätzlichen Maßnahmen erforderlich. Eine Liste der zertifizierten Stellen ist auf der Website des U.S. Department of Commerce veröffentlicht.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 04.09.2023 Anwendungshinweise zum EU-U.S. DPF veröffentlicht. Die Anwendungshinweise enthalten Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln möchten. Andererseits informiert es betroffene Personen darüber, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Nachdem bereits die vorangegangenen Angemessenheitsbeschlüsse der Europäischen Kommission („Safe Harbor-Abkommen“ und „EU-US Privacy Shield“) gerichtlich überprüft wurden, ist damit zu rechnen, dass der Europäische Gerichtshof auch über die Rechtmäßigkeit der EU-U.S. DPF entscheiden wird.

Historie zu den Angemessenheitsbeschlüssen der EU-Kommission in Bezug auf die USA

In der Vergangenheit erfolgten Datentransfers von europäischen Unternehmen in die Vereinigten Staaten von Amerika (USA) zunächst auf Grundlage des Angemessenheitsbeschlusses zur sog. Safe Harbor-Vereinbarung zwischen der Europäischen Union (EU) und den USA aus dem Jahr 2000. Der Europäische Gerichtshof erklärte allerdings in seinem Urteil vom 6. Oktober 2015 (Rs. C-362/14, sog. Safe Harbor-Entscheidung) die Entscheidung der EU-Kommission, in der festgestellt worden war, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den Angemessenheitsbeschluss zum sog. EU-U.S.-Privacy Shield stand seit dem 1. August 2016 eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung. Der EU-U.S. Privacy Shield konnte wie schon Safe Harbor nicht für alle Übermittlungen personenbezogener Daten in die USA herangezogen werden, sondern bot eine Grundlage nur für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besaßen.

Da die Entscheidungen der Europäischen Kommission bindend sind, konnte das EU-U.S. Privacy Shield trotz der von den Datenschutzbehörden geäußerten Kritik als Grundlage genutzt werden, um personenbezogene Daten aus Europa an solche U.S.-Unternehmen zu transferieren, die sich gemäß dem Privacy Shield zertifiziert hatten. Das U.S.-Handelsministerium führte die offizielle Liste der U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben hatten. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollten, mussten darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollten, auch tatsächlich in der oben genannten Liste des U.S.-Handelsministeriums eingetragen war. Ferner musste das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasste, die übermittelt werden sollten (Beschäftigtendaten = „HR“ oder sonstige Daten, wie personenbezogene Kundendaten = „Non HR“).

Mit dem Urteil vom 16. Juli 2020 (C-311/18) erklärte der Europäische Gerichtshof die Angemessenheitsentscheidung der EU-Kommission zum EU-U.S. Privacy Shield ebenfalls für ungültig. Datenübermittlungen in die USA konnten mithin auch nicht mehr auf den EU-U.S. Privacy Shield gestützt werden. Verantwortliche und Auftragsverarbeiter mussten demnach auf andere Transferinstrumente des Kapitel V DS-GVO zurückgreifen. Standen keine anderen Transferinstrumente zur Verfügung und konnte auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, musste die Datenübermittlung ausgesetzt werden. 
Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen und damit eine neue Grundlage für Datenübermittlungen in die USA geschaffen.