Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ (EU-US DPF)Öffnet sich in einem neuen Fenster angenommen. Sie kommt darin zu dem Schluss, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
Seit der Annahme des neuen Angemessenheitsbeschlusses können wieder personenbezogene Daten aus der EU an die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern der jeweilige US-Datenempfänger auch unter dem EU-US DPF beim US Department of Commerce zertifiziert ist. Dies müssen Datenexporteure in der EU vorab prüfen. Das US Department of Commerce veröffentlicht eine entsprechende ListeÖffnet sich in einem neuen Fenster.
Das EU-US DPF sieht für betroffene EU-Bürgerinnen und ‑Bürger neue Rechte vor (z.B. das Recht auf Zugang zu ihren Daten bzw. auf Berichtigung oder Löschung unrichtiger oder unrechtmäßig verarbeiteter Daten). Ihnen stehen darüber hinaus verschiedene Rechtsbehelfe offen. Dazu gehören unentgeltliche unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Für die Datenübermittlung in andere Drittländer und auch an nicht unter dem EU-US DPF zertifizierte US-Unternehmen gelten die Anforderungen und Prüfpflichten aus dem sog. „Schrems II“-Urteil des EuGH (Urt. v. 16. Juli 2020, Rs. C-311/18) und die zugehörigen Empfehlungen 01/2020Öffnet sich in einem neuen Fenster des Europäischen Datenschutzausschusses weiter.
Zudem sei darauf hingewiesen, dass mit dem neuen Angemessenheitsbeschluss für den Datenaustausch mit den USA mutmaßlich nur vorübergehend wieder mehr Rechtssicherheit bestehen dürfte. Es ist damit zu rechnen, dass auch die Nachfolgeregelung zu „Safe Harbor“ und „EU-US Privacy Shield“ wie die Vorgängerabkommen gerichtlich überprüft werden wird und letztlich der EuGH über die Rechtmäßigkeit entscheiden wird.
Die Europäischen Kommission hat weitere InformationenÖffnet sich in einem neuen Fenster zum EU-US DPF in einer Pressemitteilung veröffentlicht.
Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum AngemessenheitsbeschlussÖffnet sich in einem neuen Fenster mit weitergehenden Informationen veröffentlicht.
Wenn Sie der Meinung sind, dass ein unter dem EU-US DPF zertifiziertes US-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-US DPF verstoßen hat oder die Rechte, die Ihnen nach dem EU-US DPF zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde direkt an den HBDI wenden. Bitte nutzen Sie dafür das vom Europäischen Datenschutzausschuss entwickelte BeschwerdeformularÖffnet sich in einem neuen Fenster und senden Sie dieses an poststelle@datenschutz.hessen.de. So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen. Sie können das Formular auch dann nutzen, wenn es noch um Übermittlungen unter dem Vorgängerabkommen EU-US Privacy Shield geht.
Zuständig für die Beratung von US-Unternehmen bei ungelösten DPF-Beschwerden von Privatpersonen über den Umgang mit personenbezogenen Daten, die gemäß der DS-GVO aus der Europäischen Union übermittelt wurden, ist das Informelle Gremium der EU-Datenschutzbehörden. Die Arbeitsweise des Gremiums ist in einer GeschäftsordnungÖffnet sich in einem neuen Fenster beschrieben.
Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch US-amerikanische Geheimdienste oder Sicherheitsbehörden wurde vom Europäischen Datenschutzausschuss ein gesondertes BeschwerdeformularÖffnet sich in einem neuen Fenster nebst ergänzenden HinweisenÖffnet sich in einem neuen Fenster erarbeitet.
Stand: 20.06.2024