EU‑U.S. Data Pri­va­cy Frame­work: ✅ Ange­mes­sen­heit festgestellt

Die Euro­päi­sche Kom­mis­si­on hat am 11. Juli 2023 die Ange­mes­sen­heit des EU‑U.S. Data Pri­va­cy Frame­work bestä­tigt (Ange­mes­sen­heits­be­schluss). Sie ist zum Schluss gekom­men, dass die USA ein ange­mes­se­nes Schutz­ni­veau für Per­so­nen­da­ten bie­ten, die aus der EU an US-Unter­neh­men über­mit­telt wer­den, die am Frame­work teilnehmen:

Artic­le 1

For the pur­po­se of Artic­le 45 of Regu­la­ti­on (EU) 2016/679, the United Sta­tes ensu­res an ade­qua­te level of pro­tec­tion for per­so­nal data trans­fer­red from the Uni­on to orga­ni­sa­ti­ons in the United Sta­tes that are inclu­ded in the ‘Data Pri­va­cy Frame­work List’, main­tai­ned and made publicly available by the U.S. Depart­ment of Com­mer­ce, in accordance with Sec­tion I.3 of Annex I.

Wei­te­re Anga­ben fin­den sich auf der Web­site der Kom­mis­si­on und des Depart­ment of Commerce:

Eine Liste der zer­ti­fi­zier­ten Unter­neh­men führt das Depart­ment of Com­mer­ce. Die Aner­ken­nung der Ange­mes­sen­heit ist für zer­ti­fi­zier­te Unter­neh­men sofort wirk­sam.

Unter­neh­men mit Sitz in den USA kön­nen sich nach dem Frame­work zer­ti­fi­zie­ren (und jähr­lich erneut zer­ti­fi­zie­ren) las­sen, indem sie sich ver­pflich­ten, bestimm­te Pflich­ten im Bereich des Daten­schut­zes ein­zu­hal­ten, etwa Grund­sät­ze wie Zweck­bin­dung, Daten­mi­ni­mie­rung, Spei­cher­be­gren­zung und Daten­si­cher­heit und Auf­la­ge bei der Wei­ter­ga­be von Daten an Drit­te. Die Ein­hal­tung die­ser Pflich­ten soll sei­tens der USA durch das Depart­ment of Com­mer­ce und die Fede­ral Trade Com­mis­si­on geprüft und durch­ge­setzt werden.

In der Schweiz ist das SECO im Kon­takt mit den USA, um mög­lichst rasch eine schwei­ze­ri­sche Vari­an­te des Frame­work aus­zu­ar­bei­ten und ent­spre­chend zu aner­ken­nen. Die Aner­ken­nung wird hof­fent­lich noch vor dem Inkraft­tre­ten des nDSG erfol­gen. Bis dahin müs­sen sich Unter­neh­men wei­ter­hin auf die SCC verlassen.

Aller­dings müs­sen sie u.E. kein Trans­fer Impact Assess­ment (TIA) mehr durch­füh­ren, sofern der Emp­fän­ger nach dem EU-US Frame­work zer­ti­fi­ziert ist, denn die Über­mitt­lung an einen Emp­fän­ger in die EU und von dort als onward trans­fer in die USA wäre eben­falls ohne TIA zuläs­sig, und es ist kein Grund ersicht­lich, wes­halb eine direk­te Über­mitt­lung in die USA – mit dem sel­ben Ergeb­nis, wenn auch auf Basis der SCC – nicht gleich zu behan­deln ist. Das setzt aller­dings vor­aus, dass sich der Emp­fän­ger dem schwei­ze­ri­schen Expor­teur gegen­über ver­trag­lich zur Ein­hal­tung des Frame­work verpflichtet.

Sobald das CH-US Frame­work steht, kön­nen Per­so­nen­da­ten auch ohne die SCC an zer­ti­fi­zier­te US-Emp­fän­ger über­mit­telt wer­den. Aller­dings emp­fieht sich dann eben­falls eine ver­trag­li­che Ver­pflich­tung, die Zer­ti­fi­zie­rung aufrechtzuerhalten.

Behörde

Gebiet

Themen

Ähnliche Beiträge