Am 13. Dezember 2022 veröffentlichte die EU-Kommission den Entwurf des Angemessenheitsbeschlusses hinsichtlich des EU-US Data Privacy Frameworks. Dieser Entwurf wird nun dem Europäischen Datenschutzausschuss (EDPB) vorgelegt. Anschließend wird die EU-Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsbeschlüssen. Sobald dieses Verfahren abgeschlossen ist, kann die Kommission mit dem Erlass des endgültigen Angemessenheitsbeschlusses fortfahren.
- Fragen und Antworten von der EU-Kommission zum Angemessenheitsbeschluss
Angemessenheitsbeschluss nach Art. 45 DSGVO
Datenübermittlungen von Deutschland / Europa in nicht sichere Drittländer bedürfen geeigneter Garantien, damit gewährleistet ist, dass die personenbezogenen Daten im Drittland vergleichbar gut geschützt werden wie im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO).
Beschluss hinsichtlich kompletter Länder
Die EU-Kommission erließ bereits mehrere Angemessenheitsbeschlüsse bezüglich verschiedener Länder außerhalb der Europäischen Union, so z.B.
- Schweiz (seit Juli 2000)
- Argentinien (seit Juni 2003)
- Japan (seit Januar 2019)
- Republik von Korea (seit Dezember 2021)
2000 — 2015 Safe Harbour
Mit den USA wurde ein spezielles Verfahren abgestimmt. US-Unternehmen konnten dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichteten, die Safe Harbor Principles (Grundsätze des sicheren Hafens) und die dazugehörenden – verbindlichen – FAQ zu befolgen.
Mit der Entscheidung 2000/520/EG erklärte die EU-Kommission dieses Verfahren für angemessen.
Der Europäische Gerichtshof erklärt diese Angemessenheitsentscheidung am 6. Oktober 2015 in der sog. Schrems‑I Entscheidung für ungültig.
2016 — 2020 Privacy Shield
Anfang 2016 einigte sich die EU mit dem US-Handelsministerium auf ein sog. Datenschutzschild. Ähnlich wie der Sichere Hafen konnten sich US-Unternehmen zertifizieren lassen. Mittles Durchführungsbeschluss (EU) 2016/1250 vom 12.07.2016 erklärte die EU-Kommission den Datenschutzschild als angemessen. Fortan konnten sich deutsche und europäische Unternehmen bei der Übermittlung von personenbezogener Daten darauf stützen.
Der Europäische Gerichtshof erklärt diese Angemessenheitsentscheidung am 16. Juli 2020 in der sog. Schrems-II Entscheidung für ungültig.
2023 — ? Data Privacy Framework
Nun also der dritte Versuch, die Datenübermittlungen in die USA zu legalisieren. Die Datenschutzorganisation NOYB hat bereits angekündigt, auch diesen Angemessenheitsbeschluss gerichtlich überprüfen zu lassen. Vermutlich wird der EuGH also in ein paar Jahren in der Schrems-III Entscheidung über den weiteren Bestand des Frameworks entscheiden.
Inhalte des Data Privacy Frameworks
Der 134-seitige Entwurf besteht aus 4 Teilen
- Im ersten Teil finden sich 215 Erwägungsgründe
- Im zweiten Teil finden sich die Inhalte des Frameworks
- Im dritten Teil sind maßgebliche Briefe und Erklärungen enthalten, z.B. vom US-Verbraucherministerium, US-Handelsministerium, US-Justizministerium etc.
- Im vierten Teil finden sich die US-Unternehmen, die bereits unter Safe Harbour und Privacy Shield zertifiziert waren.
… Der Beitrag wird fortgesetzt …
Photo by frank mckenna on Unsplash