Das Data Privacy Framework ist da

Die EU-Kommission hat mit ihrem mit Spannung erwarteten Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF) zum dritten Mal eine Regelung zum Datenverkehr mit den USA geschaffen. Die Vorgänger, Safe Harbor (2015) und Privacy Shield (2020), wurden aufgrund von Bedenken hinsichtlich der Überwachung durch die US-Regierung und des fehlenden Rechtsschutzes für EU-Bürger gekippt. Seit dem 11. Juli 2023 erlaubt der Angemessenheitsbeschluss wieder die Übermittlung personenbezogener Daten an US-zertifizierte Unternehmen.

Nach der Einigung zwischen der Regierung Biden und der EU-Kommissionspräsidentin von der Leyen auf einen neuen transatlantischen Datenschutzpakt im März 2022 erließ der US-Präsident die Executive Order (EO) 14086, um die vom EuGH in seinem Schrems-II-Urteil aufgeworfenen Fragen zu klären. Die EU-Kommission ist der Ansicht, dass das DPF die vom EuGH geäußerten Bedenken ausräumt, indem der Umfang der US-Überwachungstätigkeiten auf das notwendige und verhältnismäßige Maß beschränkt wird und der Data Protection Review Court (DPRC) eingerichtet wird, um EU-Bürgern die Möglichkeit zu geben, vor einem unabhängigen Gericht Rechtsmittel einzulegen.

Mit der Annahme dieses Angemessenheitsbeschlusses wird davon ausgegangen, dass die Unternehmen, die die Einhaltung der DSGVO in den USA unter dem DPF-Programm zertifiziert haben, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es US-Unternehmen, im Wege der Selbstzertifizierung ihre Konformität mit dem DPF zu bestätigen. Die Entscheidung zur Selbstzertifizierung für Unternehmen ist freiwillig.

Sobald ein Unternehmen sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass es sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar. Unternehmen, die ihre Privacy-Shield-Zertifizierung seit 2020 aufrechterhalten haben, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Hierfür gilt eine Übergangsfrist von drei Monaten. Unternehmen, die den Zertifizierungsprozess nicht durchlaufen möchten, müssen wie bisher auf andere Transfermechanismen wie die EU-Standardvertragsklauseln oder die sogenannte Binding Corporate Rules zurückgreifen.

Die Angemessenheitsentscheidung wird von der EU-Kommission alle vier Jahre überprüft. Die erste Überprüfung ist für 2024 geplant. Stellt die EU-Kommission dabei fest, dass das DPF kein angemessenes Schutzniveau bietet, kann sie die Angemessenheitsentscheidung aussetzen, ändern, aufheben oder ihren Geltungsbereich einschränken. Max Schrems, der die bisherigen EU-U.S.-Transferpakte zu Fall gebracht hat, hat bereits angekündigt, dass er auch das DPF vor nationalen und EU-Gerichten anfechten wird. Wie lange es dauern wird, bis wir möglicherweise eine Schrems-III-Entscheidung haben, kann niemand genau sagen.