Es ist so weit: Die Europäische Kommission hat soeben den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Unternehmen in den USA dienen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit.
Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau bestätigt. Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU ab sofort an Unternehmen in die USA übermittelt werden, ohne dass weitere Vorkehrungen oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern das US-Unternehmen auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist.
US-Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Dazu könnten beispielsweise Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Vorratsdatenspeicherung gehören, aber auch spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte. Die neuen Verpflichtungen zielen insbesondere darauf ab, sicherzustellen, dass US-Geheimdienste nur in dem Maße auf Daten zugreifen können, wie es notwendig und verhältnismäßig ist, und einen unabhängigen und unparteiischen Rechtsbehelfsmechanismus einzurichten, um Beschwerden von Europäern über die Erhebung ihrer Daten für Zwecke der nationalen Sicherheit zu bearbeiten und zu lösen.
Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob das betreffende US-Unternehmen zertifiziert ist. Dies müssen Unternehmen in der EU vor der Datenübermittlung prüfen.