EU-U.S. Data Privacy Framework
Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework.
EU-U.S. Data Privacy Framework »
Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen.
Data Privacy Framework List »
Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd Art. 46 DSGVO gesetzt werden.
Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd Art. 49 DSGVO gestützt werden.
Empfehlungen 01/2020 »
Leitlinien 2/2018 (Ausnahmetatbestände iSd Art. 49 DSGVO) »
Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.
Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.
Relevante Dokumente:
COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework.
COMMISSION IMPLEMENTING DECISION »
Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework.
Opinion 5/2023 »
Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023.
Information note »
Der Angemessenheitsbeschluss für die Vereinigten Staaten von Amerika, das „EU‐U.S. Data Privacy Framework“ (DPF), enthält verschiedene Rechtschutzmöglichkeiten für betroffene Personen.
A. Beschwerden gegen U.S.-Unternehmen/Organisationen (gewerbliche Angelegenheiten)
Im Falle einer Beschwerde gegen U.S.-Unternehmen/Organisationen können sich Betroffene direkt an ihre nationale Aufsichtsbehörde (in Österreich: Datenschutzbehörde) wenden.
Abhängig von der einzelnen Fallgestaltung ist die Beschwerde von der Datenschutzbehörde dem informellen Gremium der europäischen Aufsichtsbehörden, den zuständigen U.S.-Behörden oder den U.S.-Unternehmen/Organisationen weiterzuleiten.
Die näheren Details sind in einer gesonderten Geschäftsordnung geregelt.
Geschäftsordnung »
Um die Einreichung einer Beschwerde gegen U.S.-Unternehmen/Organisationen zu erleichtern, wird ein unverbindliches Beschwerdeformular zur Verfügung gestellt, welches vollständig ausgefüllt bei der Datenschutzbehörde einzubringen ist.
Beschwerdeformular für die Einreichung von Beschwerden iZm gewerblichen Angelegenheiten
EU-US Data Privacy Framework Beschwerdeformular »
B. Beschwerden iZm. der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste
Das EU-U.S.-DPF enthält überdies einen neuen Rechtsschutzmechanismus, mit dem Betroffene in den Mitgliedstaaten des EWR den Zugriff auf und die Nutzung von ihren personenbezogenen Daten durch U.S.-Nachrichtendienste überprüfen lassen können.
Dies gilt nicht nur für Übermittlungen auf Grundlage des EU-U.S.-DPF, sondern für alle Übermittlungen nach Kapitel V der DSGVO, die seit dem 10. Juli 2023 vorgenommen wurden.
Im Falle von Beschwerden iZm der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste können sich Betroffene ebenfalls direkt an ihre nationale Aufsichtsbehörde (in Österreich: Datenschutzbehörde) wenden. Die Datenschutzbehörde hat solche Beschwerden im Weiteren über das Sekretariat des Europäischen Datenschutzausschusses an die zuständigen U.S.-Behörden weiterzuleiten, welche die Beschwerde prüfen und über sie entscheiden. Die näheren Details sind in einer gesonderten Geschäftsordnung geregelt. Weiterführende Hinweise finden sich hier.
Weiterführende Hinweise zum Beschwerdeverfahren »
Bei der Einreichung einer Beschwerden iZm der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste ist das dafür vorgesehene Beschwerdeformular vollständig ausgefüllt bei der Datenschutzbehörde einzubringen.
Beschwerdeformular iZm der Verarbeitung personenbezogener Daten durch U.S.-Nachrichtendienste
EU-US Data Privacy Framework Beschwerdeformular »