Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen, das Trans- Atlantic Data Privacy Framework, angenommen. Der Beschluss kann seither als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.

Was ist das transatlantische Datenschutzrahmenwerk?

Das Trans-Atlantic Data Privacy Framework, kurz: DPF, ist kein (neues) Gesetz. Es ist eine Vereinbarung zwischen der EU-Kommission und dem US Department of Commerce. US-Unternehmen können dem DPF beitreten ("Selbstzertifizierungsverfahren"), indem sie sich verpflichten, eine Reihe von Datenschutzverpflichtungen einzuhalten, wie zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden. Die zertifizierten US-Unternehmen werden, wie bereits unter dem Privacy Shield, in einer Datenbank geführt. Das U.S. Department of Commerce veröffentlicht eine Liste der registrierten Unternehmen unter www.dataprivacyframework.gov/list. Bevor EU-Unternehmen einen Auftragsverarbeiter in den USA beauftragen, sollten sie prüfen, ob der betreffende Anbieter das Selbstzertifizierungsverfahren durchlaufen hat und in der Liste aufgeführt ist.

Was ist bei einem internationalen Datentransfer zu beachten?

Ein angemessenes Datenschutzniveau setzt ein nationales Recht im Drittland voraus, das die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedstaaten gelten.

Stellt die Europäische Kommission fest, dass ein angemessenes Schutzniveau für personenbezogene Daten vorliegt, ist eine Datenübermittlung ohne besondere Genehmigung möglich. Liegt kein angemessenes Datenschutzniveau vor, muss seit dem 25.05.2018 auf die aus der Datenschutz-Grundverordnung (DSGVO) bekannten Instrumente wie Binding Corporate Rules, Standarddatenschutzklauseln oder die Einwilligung der betroffenen Person zurückgegriffen werden. Auch die Weitergabe von Daten innerhalb einer Unternehmensgruppe stellt eine datenschutzrechtlich relevante Datenübermittlung dar.

Praxishinweis

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat im Mai 2023 die Orientierungshilfe "Internationale Datentransfers" (www.daten schutz-bayern.de/datenschutzreform2018/OH_Drittstaatentransfer.pdf) veröffentlicht. Die Orientierungshilfe richtet sich in erster Linie an öffentliche Stellen. Sie gibt jedoch Handlungsempfehlungen, deren Beachtung auch für nichtöffentliche Organisationen und Unternehmen empfehlenswert sind. Insbesondere sind angemessene Garantien und damit technische und organisatorische Maßnahmen (Sicherheit der Verarbeitung) vorzusehen und umzusetzen.

Dieser Rechtstipp erschien zuerst in Ausgabe 03_2024.