Nachfolger vom EuGH gekippten „Privacy Shield“ angenommen; EU-U.S. Data Privacy Framework
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss, als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA, angenommen.
Es ist der Nachfolger des „Privacy Shields“, welcher ein angemessenes Schutzniveau attestiert hat. Ab sofort können wieder personenbezogene Daten aus der EU in die USA fließen. Dies gilt jedoch nur für zertifizierte Organisationen unter dem EU-U.S. Data Privacy Framework.
Das U.S. Department of Commerce führt eine veröffentlichte Liste der zertifizierten Unternehmen. Unternehmen sollten daher vorab prüfen, ob der Datenimporteur eines jener zertifizierten Unternehmen ist. Unternehmen sind gut beraten bestehende Datenflüsse in die USA oder kommende, anhand des Angemessenheitsbeschlusses zu prüfen sowie konform zu gestalten, um den Anforderungen aus dem EU-U.S. Data Privacy Framework nachkommen zu können.
Wichtige Punkte aus dem Angemessenheitsbeschluss sind, dass jener Beschluss nicht für Daten gilt, die erhoben worden sind und zur Veröffentlichung, Ausstrahlung oder anderen Formen der öffentlichen Kommunikation von journalistischem Material dienen und Informationen in bereits veröffentlichten Medien. Ansonsten ist der Begriff der personenbezogenen Daten identisch zur DSGVO. Allerdings ist der Begriff von besonderen Datenkategorien nicht vollkommen gleich zur DSGVO, da alle Informationen, die von einem Dritten erhalten werden und von dieser Partei als sensibel angesehen werden, als besondere Datenkategorie gelten. Besondere Datenkategorien dürfen grundsätzlich nur mit Einwilligung verarbeitet werden oder, nach vergleichbaren Ausnahmen wie die DSGVO es statuiert, sofern es im Interesse der betroffenen Person liegt. Insbesondere verpflichtet der Beschluss auch zu der Einhaltung der wesentlichen Grundsätze, wie sie aus Artikel 5 DSGVO bekannt sind. Eine Besonderheit besteht für Datenimporteure, die Unterauftragsverarbeiter sind. Jene müssen mit dem Auftragsverarbeiter einen Vertrag abschließen (Auftragsverarbeitungsvertrag), welcher die Gewährleistung des gleichen Schutzniveaus bietet, wie in dem Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen wurden. Es bleibt auch bei der Konstellation, sofern es sich um ein Auftragsverarbeitungsverhältnis handelt, dass ein Auftragsverarbeitungsvertrag zwingend abzuschließen ist. Ferner gilt ein Opt-Out Zwang, für die Weiterverarbeitung zu einem anderen Zweck von personenbezogenen Daten, bevor diese an einen Dritten weitergegeben werden dürfen. Auch zur automatischen Entscheidungsfindung macht der Beschluss Vorgaben. Viele Grundsätze ändern sich durch den Beschluss nicht, trotz dessen gibt es auch weitere neue wesentlichen Unterschiede zur DSGVO und den Vorgaben, die von Unternehmen zu beachten sind. Zwar mag so neue Rechtssicherheit bestehen, was beachtet werden muss und kann, nämlich der lang erhoffte Angemessenheitsbeschluss für den Datentransfer in die USA. Wie immer geht diese neue Rechtssicherheit jedoch auch mit der Auslegung von vielen unbestimmten Rechtsbegriffen einher und neuen zusätzlichen Vorgaben, die neue Fragen in der Umsetzung des Angemessenheitsbeschlusses aufwerfen.