Schonherr
Schonherr
Sie werden weitergeleitet

Sie werden zur Website unserer Muttergesellschaft, Schönherr Rechtsanwälte GmbH, weitergeleitet: www.schoenherr.eu

28 Juli 2023
Blog
austria

Erleichterung für Unternehmen: Das neue "EU US Data Privacy Framework" ist in Kraft!

data protection

Nach der Aufhebung des "Privacy Shield" durch den EuGH bestand große Rechtsunsicherheit hinsichtlich der Nutzung von US-Cloud-Lösungen und von Transfers personenbezogener Daten in die USA. Der Sommer 2023 bringt eine gute Nachricht: Diese Rechtsunsicherheit ist nun zu Ende. Zum 10.07.2023 hat die Europäische Kommission per Angemessenheitsbeschluss das "EU US Data Privacy Framework" (kurz: DPF) angenommen.

Unter dem DPF sind Transfers personenbezogener Daten in die USA im Wesentlichen nach demselben Muster erlaubt, wie es unter dem "Privacy Shield" der Fall gewesen ist. Das bedeutet: Wenn ein US-Unternehmen unter dem "EU US Data Privacy Framework" zertifiziert ist, dann gilt die Annahme, dass es einen dem europäischen Datenschutzrecht gleichwertigen Schutzlevel bietet. Dies hat zur Folge, dass an dieses Unternehmen ohne weitere Maßnahmen iS des Art 46 DSGVO Daten aus Europa transferiert werden dürfen. Ein Suchverzeichnis der unter dem DPF zertifizierten US-Unternehmen findet sich unter:  https://www.dataprivacyframework.gov/s/participant-search.

Was bedeutet dies für europäische Unternehmen?

  1. Wenn ein europäisches Unternehmen personenbezogene Daten an ein US-Unternehmen übermittelt, welches nun unter dem DPF zertifiziert ist, dann sollte das europäische Unternehmen seine DSGVO-Dokumentationen (zB Verfahrensverzeichnis, TIA) entsprechend aktualisieren.
  2. Sollten mit diesem US-Unternehmen Standardvertragsklauseln geschlossen worden sein, so bleiben diese in Geltung. Eine allfällige DPF-Zertifizierung dieses US-Unternehmens bedeutet nicht die automatische Beendigung der Standardvertragsklauseln. Ein paralleler Bestand der Standardvertragsklauseln und der DPF-Zertifizierung schadet nicht.

Ein Blick in die Zukunft

Nahezu erwartungsgemäß erntete das DPF umgehend Kritik, und die Bekämpfung des Abkommens wurde bereits angekündigt. Es ist wahrscheinlich, dass das DPF im gleichen Sinn bekämpft werden wird, wie es bei "Safe Harbor" und dem "Privacy Shield" der Fall gewesen ist. Die Unternehmen sollten sich von diesen Ankündigungen jedoch nicht entmutigen lassen, sondern die durch das DPF nun gebotene Rechtssicherheit nutzen. Gut beraten ist man freilich, allfällig bereits geschlossene Standardvertragsklauseln bestehen zu lassen, da durchwegs damit zu rechnen ist, dass auch das DPF bekämpft und der bisherige Zustand der Rechtsunsicherheit wieder herbeigeführt wird. In diesem Fall bieten die Standardvertragsklauseln ein gutes Backup, da auch bei einer allfälligen Aufhebung des DPF durch den EuGH nicht damit zu rechnen ist, dass der EuGH auch die mit den US-Unternehmen geschlossenen Standardvertragsklauseln für ungültig erklärt.

Zum Angemessenheitsbeschluss:

https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

Information der Datenschutzbehörde:

https://www.dsb.gv.at/download-links/bekanntmachungen.html#Angemessenheitsbeschluss

Günther
Leissler

Partner

austria vienna

+43 664 80060 3276
g.leissler@schoenherr.eu
Kontakdaten herunterladen
mehr