Die Europäische Kommission hat am 10.7.2023 in Übereinstimmung mit Art. 45 Abs. 3 der Datenschutz-Grundverordnung[1] (im Folgenden nur „DSGVO“) ihren Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen (im englischen Wortlaut „EU-US Data Privacy Framework“, im Folgenden nur „DPF“) angenommen. Der Beschluss ist die Antwort auf die Notwendigkeit, nach Aufhebung des vorherigen Beschlusses der Europäischen Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, bekannt als „(EU-US) Privacy Shield“, einen rechtlichen Rahmen zu schaffen, der die leichtere Übermittlung personenbezogener Daten von der EU in die USA in Übereinstimmung mit der DSGVO ermöglicht.

Das DPF ist ein Selbstzertifizierungssystem unter der Verwaltung und Aufsicht der US-Behörden, dem sich die einzelnen US-Unternehmen anschließen können, indem sie sich in Bezug auf die aus der EU (bzw. dem EWR) übermittelten personenbezogenen Daten zur Einhaltung der Grundsätze des DPF-Programms verpflichten, die u.a. auch die Pflicht einschließen, diese Daten im Einklang mit der DSGVO zu behandeln.

Laut vorstehendem DPF-Beschluss der Europäischen Kommission können personenbezogene Daten aus der EU (bzw. dem EWR) an US-Unternehmen mit gültigem Zertifikat nach dem DPF unter gleichen Bedingungen übermittelt werden, unter denen diese Daten innerhalb der EU übermittelt werden, ohne dass weitere zusätzliche Maßnahmen zu treffen sind.

Der EU-Angemessenheitsbeschluss ist jedoch nicht das einzige mögliche Mittel zur DSGVO-konformen Übermittlung personenbezogener Daten außerhalb der EU. Verantwortliche oder Auftragsverarbeiter sind hierzu auch dann berechtigt, wenn sie im Einklang mit Art. 46 DSGVO geeignete Garantien geben[2], wobei diese Garantien u.a. auf vertraglicher Grundlage in von der Europäischen Kommission erlassenen Standarddatenschutzklauseln bestehen können (im Folgenden nur „Standardklauseln“). Allerdings ist zu berücksichtigen, dass auch die Standardklauseln kein Allheilmittel sind, da sie z. B. für staatliche Behörden, die keine Partei der entsprechenden Verträge sind, nicht gelten. In jedem Einzelfall ist daher zu prüfen, ob das Recht des Landes, in das die personenbezogenen Daten übermittelt werden sollen, ein angemessenes Schutzniveau gewährleisten. Sollte dies nicht zutreffen, sind über den Rahmen der geschlossenen Standardklauseln hinaus weitere notwendige Schutzmaßnahmen zu treffen. Anderenfalls setzen sich die Verantwortlichen oder Auftragsverarbeiter dem Risiko einer Sanktion wegen Nichteinhaltung dieser Pflicht aus. Als Beispiel für eine solche Sanktion kann die Rekordgeldbuße von 1,2 Milliarden EUR dienen, die im Mai dieses Jahres der Gesellschaft Meta Platforms Ireland Limited von der irischen Datenschutzbehörde („Data Protection Commission“) verhängt wurde.

[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

[2] Zugleich muss erfüllt sein, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.