Nachdem das EU-U.S. „Privacy Shield“ im Juli 2020 vom Europäischen Gerichtshof (EuGH) gekippt worden war, hat die Europäische Kommission am 10.07.2023 den Angemessenheitsbeschluss für das neue EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) gefasst.

Der Angemessenheitsbeschluss dient als neue Rechtsgrundlage für Datenübermittlungen an zertifizierte Organisationen in den USA.

Mit ihrem Angemessenheitsbeschluss hat die Europäische Kommission dem Nachfolger des „Privacy Shields“ ein angemessenes Datenschutzniveau attestiert. Damit können ab sofort personenbezogene Daten aus der EU an die USA wieder fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Die Entscheidung betrifft insbesondere amerikanische IT-Konzerne und damit auch Anwendungen, wie z. B. Cloud-Dienste-, Tracking- und Newsletteranbieter, die auch von vielen mainfränkischen Unternehmen eingesetzt werden. 

Entscheidend ist, dass die Organisation, an die die Daten übermittelt werden, auch unter dem neuen EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen. Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die jeweilige Organisation zertifiziert ist.

Für Betroffene und Datenexporteure besteht damit jetzt wieder Rechtssicherheit. Im Zuge der Verhandlungen über das EU-U.S. Data Privacy Framework wurden diverse neue Datenschutzmechanismen ausgehandelt. So ist die Einrichtung eines Gerichts zur Datenschutzüberprüfung („Data Protection Review Court“) in den USA vorgesehen, zu dem Betroffene aus der EU Zugang haben sollen. Außerdem wurden per Dekret (Executive Order 14086) Zugriffsbefugnisse zum Zweck der Strafverfolgung und nationalen Sicherheit beschränkt und sollen nun nur noch dann gegeben sein, wenn sie notwendig sind und verhältnismäßig ausgeübt werden.

Die Europäischen Kommission hat weitere Informationen zum EU-U.S. Data Privacy Framework in einer Pressemitteilung veröffentlicht.