Am 10. Juli genehmigte die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Vereinigten Staaten, den „EU-US-Datenschutzrahmen“.
Das AVG (General Data Protection Regulation) sieht vor, dass bei der Übermittlung von Daten, die dem Schutz des AVG unterliegen, in Länder außerhalb der Europäischen Union das durch das AVG garantierte Schutzniveau für natürliche Personen nicht beeinträchtigt werden darf.
Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation kann erfolgen, wenn die Europäische Kommission festgestellt hat, dass das Drittland, das Gebiet oder ein oder mehrere bestimmte Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau gewährleistet. Eine Liste der Länder, für die ein solcher Angemessenheitsbeschluss ergangen ist, finden Sie hier.
Der neue „Datenschutzrahmen“, der am 10.07.2023 in Kraft getreten ist, ermöglicht den Export von Daten an die Organisationen auf der „Datenschutzrahmenliste“, ohne dass die in Artikel 46 des AVG vorgesehenen Instrumente der Weiterübermittlung verwendet werden müssen und ohne dass ergänzende Maßnahmen zu den Instrumenten der Weiterübermittlung ergriffen werden müssen (siehe EDPB-Empfehlung 01/2020 über ergänzende Maßnahmen zu den Instrumenten der Weiterübermittlung, um die Einhaltung des Schutzniveaus für personenbezogene Daten in der Union zu gewährleisten). Für die Verarbeitung Verantwortliche, die personenbezogene Daten an Organisationen übermitteln, die nicht auf der Liste stehen, sollten, wie im AVG vorgesehen, dennoch die erforderlichen Übermittlungsinstrumente nutzen, um sicherzustellen, dass die Daten ein angemessenes Schutzniveau aufweisen, beispielsweise durch Mustervertragsklauseln oder verbindliche unternehmensinterne Vorschriften (siehe EDSB-Empfehlung 01/2020). Die Liste der Organisationen, die unter den Datenschutzrahmen fallen, kann über eine spezielle Website abgerufen werden.
Der Beschluss sieht auch vor, dass Personen, deren Daten auf der Grundlage des Angemessenheitsbeschlusses in die Vereinigten Staaten übermittelt werden, eine Reihe von Rechtsmitteln zur Verfügung stehen, wenn sie der Meinung sind, dass die betreffende US-Organisation den Datenschutzrahmen nicht einhält.
Dieser Angemessenheitsbeschluss kommt, nachdem zwei andere Angemessenheitsbeschlüsse (Safe Harbor und Privacy Shield) vom Gerichtshof der Europäischen Union in den so genannten „Schrems I„- und „Schrems II„-Urteilen für ungültig erklärt wurden.
Weitere Informationen über den Datenschutzrahmen finden Sie unter:
- Der Angemessenheitsbeschluss
- Die Rubrik „FAQ“ der Europäischen Kommission
- Der Informationsvermerk des EDSB zu diesem Thema
- Die Stellungnahme des EDSB zum Entwurf der Angemessenheitsentscheidung
Weitere allgemeine Informationen zur Datenübermittlung finden Sie in unserem thematischen Dossier „Internationale Datenübermittlung„.