Die Europäische Kommission hat am 11. Juli 2023 die Angemessenheit des EU‑U.S. Data Privacy Framework bestätigt (Angemessenheitsbeschluss). Sie ist zum Schluss gekommen, dass die USA ein angemessenes Schutzniveau für Personendaten bieten, die aus der EU an US-Unternehmen übermittelt werden, die am Framework teilnehmen:
Article 1
For the purpose of Article 45 of Regulation (EU) 2016/679, the United States ensures an adequate level of protection for personal data transferred from the Union to organisations in the United States that are included in the ‘Data Privacy Framework List’, maintained and made publicly available by the U.S. Department of Commerce, in accordance with Section I.3 of Annex I.
Weitere Angaben finden sich auf der Website der Kommission und des Department of Commerce:
Eine Liste der zertifizierten Unternehmen führt das Department of Commerce. Die Anerkennung der Angemessenheit ist für zertifizierte Unternehmen sofort wirksam.
Unternehmen mit Sitz in den USA können sich nach dem Framework zertifizieren (und jährlich erneut zertifizieren) lassen, indem sie sich verpflichten, bestimmte Pflichten im Bereich des Datenschutzes einzuhalten, etwa Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit und Auflage bei der Weitergabe von Daten an Dritte. Die Einhaltung dieser Pflichten soll seitens der USA durch das Department of Commerce und die Federal Trade Commission geprüft und durchgesetzt werden.
In der Schweiz ist das SECO im Kontakt mit den USA, um möglichst rasch eine schweizerische Variante des Framework auszuarbeiten und entsprechend zu anerkennen. Die Anerkennung wird hoffentlich noch vor dem Inkrafttreten des nDSG erfolgen. Bis dahin müssen sich Unternehmen weiterhin auf die SCC verlassen.
Allerdings müssen sie u.E. kein Transfer Impact Assessment (TIA) mehr durchführen, sofern der Empfänger nach dem EU-US Framework zertifiziert ist, denn die Übermittlung an einen Empfänger in die EU und von dort als onward transfer in die USA wäre ebenfalls ohne TIA zulässig, und es ist kein Grund ersichtlich, weshalb eine direkte Übermittlung in die USA – mit dem selben Ergebnis, wenn auch auf Basis der SCC – nicht gleich zu behandeln ist. Das setzt allerdings voraus, dass sich der Empfänger dem schweizerischen Exporteur gegenüber vertraglich zur Einhaltung des Framework verpflichtet.
Sobald das CH-US Framework steht, können Personendaten auch ohne die SCC an zertifizierte US-Empfänger übermittelt werden. Allerdings empfieht sich dann ebenfalls eine vertragliche Verpflichtung, die Zertifizierung aufrechtzuerhalten.