EU-US Data Privacy Framework
Neuer Angemessenheitsbeschluss für Datentransfer in die USA

Seit dem Urteil des Europäischen Gerichtshofs im Jahr 2020, das den Privacy Shield kippte, bestand in vielen Unternehmen Unsicherheit bezüglich des Datentransfers in die USA und der Nutzung von US-Diensten. Angesichts der modernen IT-Landschaft sind US-Dienstleister jedoch nahezu unverzichtbar. Die Konsequenzen waren Anpassungen von Auftragsverarbeitungsvereinbarungen auf (neue) Standardvertragsklauseln (SCC) und oft aufwändige und lästige Transfer Impact-Assessments (TIA). Nach drei langwierigen Jahren des Verhandelns über ein angemessenes Datenschutzniveau zwischen den USA und der EU wurde am 10. Juli 2023 endlich ein neuer Angemessenheitsbeschluss nach Art. 45 DSGVO für einen sicheren Datenverkehr zwischen der EU und den USA von der Europäischen Kommission erlassen: das EU-US Data Privacy Framework (DPF).

Das neue Data Privacy Framework (DPF) ist eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium. In dieser Vereinbarung verpflichten sich die USA, das Datenschutzniveau für personenbezogene Daten aus Europa gegenüber dem aufgehobenen Privacy Shield zu erhöhen. Allerdings sind nicht alle US-Unternehmen grundsätzlich vom Angemessenheitsbeschluss betroffen. Unternehmen müssen vielmehr eine Selbstverpflichtung eingehen, um die Anforderungen des DPF zu erfüllen. 

Zu den zertifizierten Unternehmen gehören u.a. (Update August 2023):

• Atlassian, Inc.
• Adobe
• Akamai Technologies, Inc.
• Amazon.com, Inc.
• Animaker Inc.
• Asana, Inc.
• Bitwarden Inc.
• Cisco Systems, Inc.
• Citrix Systems, Inc.
• Cloudflare, Inc.
• Dailymotion Inc.
• Digistore24 INC
• Dropbox, Inc.
• Evernote
• Eventbrite, Inc.
• Google LLC
• HubSpot, Inc.
• Meta Platforms, Inc.
• Microsoft Corporation
• Salesforce
• Shutterstock, Inc.
• Stripe, Inc.
• Tawk.to Inc.
• Ubiquiti Inc
• WhatsApp LLC
• Wix.com Inc.
• WPEngine, Inc.
• Wrike, Inc.
• Zendesk, Inc.
• Zoho Corporation

Alle zertifizierten Unternehmen sind auf folgender Website gelistet: https://www.dataprivacyframework.gov

Solange US-Dienstleister am Data Privacy Framework teilnehmen, gilt die Übermittlung personenbezogener Daten als sicher. Ob das DPF auf Dauer Bestand hat oder wie seine Vorgänger Privacy Shield oder Safe Harbour in einigen Jahren erneut aufgehoben wird, ist derzeit ungewiss.

1. Angemessenheitsbeschluss noch wirksam?
   Nachdem bereits die beiden Vorgänger (Safe-Harbour und Privacy-Shield) vom EuGH für ungültig erklärt wurden, kann es jederzeit sein, dass auch das DPF nicht dauerhaft bestehen bleibt. Daher wäre zunächst zu prüfen, ob das Data Privacy Framework noch gilt. 
    
2. Unternehmen zertifiziert?
   Auf der Website https://www.dataprivacyframework.gov werden alle am DPF teilnehmenden Unternehmen gelistet.
    
3. Unternehmenssparte und Datenkategorien umfasst?
   Es wird nicht automatisch das gesamte Unternehmen zertifiziert. Ebenso gilt die Zertifizierung nicht automatisch für alle Kategorien personenbezogener Daten. So müssen beispielsweise Beschäftigtendaten separat bei der Zertifizierung ausgewählt werden.
    
4. Datenschutzinformationen und Verzeichnis von Verarbeitungstätigkeiten angepasst?
   Sofern die Übermittlung personenbezogener Daten auf dem neuen Data Privacy Framework beruht, müssen sämtliche Datenschutzinformationen, welche die Verarbeitung ebenjener personenbezogenen Daten beschreiben, an das neue DPF angepasst werden. Ebenso muss das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden.

Das EU-US Data Privacy Framework (DPF) bietet einen Silberstreif am Horizont für Unternehmen, die auf US-Dienstleistungen angewiesen sind. Es ist eine willkommene Entwicklung, bietet aber noch keine endgültige Sicherheit. Unternehmen müssen sorgfältig prüfen, ob ihre US-Dienstleister zertifiziert sind und ihre Datenschutzpraktiken entsprechend anpassen. Das dynamische Umfeld des internationalen Datenschutzes erfordert weiterhin Wachsamkeit und proaktives Handeln.