In einer Pressemitteilung vom 10.07.2023 teilte die Europäische Kommission mit, dass ein neuer Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen wurde. Dies stellt den dritten Versuch dar, die USA als sicheres Drittland für die Datenübertragung von EU-Bürger*innen einzustufen. Der frühere Beschluss, basierend auf dem Privacy Shield, wurde 2020 durch das Schrems II-Urteil des EuGH für ungültig erklärt. Der aktuelle Rahmen basiert unter anderem auf der US-amerikanischen Executive Order von Oktober 2022, die bestimmte Selbstverpflichtungen der USA festlegt.
Der transatlantische Datenschutzrahmen entstand als Reaktion auf die Nichtigkeit des EU-US Privacy Shields durch den EuGH im Juli 2020. Obwohl der EuGH den Privacy Shield kippte, betonte er, dass Standardvertragsklauseln (SCC) weiterhin gültig sind.
Die Europäische Kommission aktualisierte daraufhin die SCC im Juni 2021 und fügte neue Verpflichtungen hinzu. Der neueste transatlantische Datenschutzrahmen soll Unternehmen Erleichterungen bieten, während die Anforderungen für Datenübertragungen in andere Länder, wie z.B. China, unverändert bleiben.
Zweck dieses neuen Rahmens ist es, Datenübertragungen zwischen der EU und den USA zu erleichtern. Dafür wurden Maßnahmen eingeführt, wie eine Einschränkung des Datenzugriffs durch US-Geheimdienste und ein neuer zweistufiger Rechtsbehelfsmechanismus.
Auch RA Wilfriends Reiner von der PRW Legal Group kritisiert den Angemessenheitsbeschluss: Das Data Privacy Framework selbst sei „kein genereller Freischein für die Übertragung personenbezogener Daten in die USA“, da es sich nur um ein politisches Instrument handele. „Anders als von der Europäischen Kommission vorgetragen, ändert sich am US-Recht insgesamt zu wenig“, mahnt Reiners und warnt: „Ohne weitere Schutzmaßnahmen oder in risikobehafteten Bereichen ohne das Instrument der Datenschutzfolgeabschätzung (DSFA) gem. Art. 35 DSGVO bleibt die Übertragung personenbezogener Daten in die USA trotzdem bedenklich. Zudem ist zu beachten, dass bereits Klagen zur Aufhebung dieses dritten Angemessenheitsbeschlusses angekündigt sind. Wer einen sicheren Weg gehen will, folgt den Empfehlungen der Aufsichtsbehörden und stellt seine Microsoft-365-Umgebung datenschutzkonform ein.“
Wir sind für Sie da.
Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?
DANIEL WINTERMEIER | Principal Consultant