Nachdem am 10. Juli 2023 der neue Angemessenheitsbeschluss über den Datentransfer zwischen der EU und der USA – das Trans-Atlantic Data Privacy Framework – von der EU-Kommission verkündet wurde, hat nun die USA begonnen, die vorgegebenen Maßnahmen des Abkommens umzusetzen.

Hintergrund des Angemessenheitsbeschlusses ist der Folgende: Die USA gilt nach der DSGVO als unsicheres Drittland, das heißt, dass das Datenschutzniveau in den USA nicht dem in der EU entspricht. Der Angemessenheitsbeschluss soll daher einen sicheren Datentransfer von personenbezogenen Daten aus der EU in die USA ermöglichen. Bei dem Trans-Atlantic Data Privacy Framework ist zu beachten, dass es sich nicht um einen allgemein für die USA geltenden Angemessenheitsbeschluss handelt; ein generell sicherer Datentransfer ist nicht möglich. Vielmehr müssen die einzelnen US-Unternehmen laut dem Abkommen ein Selbst-Zertifizierungsverfahren durchlaufen, also nachweisen, dass das Unternehmen datenschutzrechtliche Maßnahmen ergreift, die dem Niveau des Datenschutzrechts in der EU entsprechen.

Nun wurde ein entsprechendes Zertifizierungsverfahren in den USA eingeführt – und rund 2.500 Unternehmen (Stand Oktober 2023) haben sich bereits zertifizieren lassen. Die Zertifizierung läuft über das amerikanische Handelsministerium (International Trade Administration (ITA) within the U.S. Department of Commerce) und muss jährlich von den Unternehmen erneuert werden.

Voraussetzungen für eine Zertifizierung sind etwa die Information der Betroffenen über die Datenverarbeitung, die Möglichkeit, kostenfrei und einfach zugänglich Beschwerden einzureichen (wobei die Unternehmen innerhalb von 45 Tagen auf eine solche Beschwerde reagieren müssen), die Zusammenarbeit mit dem amerikanischen Handelsministerium, die Einhaltung der Zweckbindung und Datenminimierung als Grundsätze der Datenverarbeitung, die Sicherstellung, dass bei dem Einsatz von Subunternehmern durch das US-Unternehmen die Subunternehmer ebenfalls die Vorgaben des Angemessenheitsbeschlusses befolgen, sowie auch der Grundsatz der Transparenz durch Veröffentlichung der durchgesetzten Maßnahmen.

Die Zertifizierung ist grundsätzlich freiwillig. Zertifiziert sich jedoch ein Unternehmen, so ist die Einhaltung der Vorgaben gesetzlich vorgegeben und strafrechtlich verfolgbar.

Zu den bereits zertifizierten Unternehmen gehören unter anderem (Stand 23.10.2023):

• Google LLC
• Microsoft Corporation
• Amazon.com, Inc. (inkl. u.a. Amazon Web Services, Inc.)
• Meta Platforms, Inc.

Eine vollständige und offizielle Liste aller zertifizierten Unternehmen findet sich unter https://www.dataprivacyframework.gov/s/participant-search. Zu beachten ist jedoch, dass viele Unternehmen nicht für HR-Daten zertifiziert sind, sondern lediglich für „Non-HR“-Daten.

Ebenso besteht nun die Möglichkeit für EU-Bürger Beschwerden einzureichen. Dies kann zum einen über die Website „dataprivacyframework.gov“ und die dort aufgeführten Unternehmen direkt erfolgen. Weitere Möglichkeiten sind die Kontaktaufnahme zu den lokalen Datenschutzaufsichtsbehörden oder die zuständige Behörde in den USA (Federal Trade Commission - Bundeshandelskommission).

Mit den durchgesetzten Maßnahmen durch die USA ist nun wieder ein sicherer Datentransfer von der EU in die USA möglich – unter der Voraussetzung, dass das jeweilige US-Unternehmen, mit dem eine Zusammenarbeit besteht, die entsprechende Zertifizierung hat und jährlich erneuert. Das Abkommen wird jedoch auch von vielen Seiten kritisiert, neben vielen anderen Punkten auch dahingehend, dass das Trans-Atlantic Data Privacy Framework nicht bei der Frage weiterhilft, ob die Datenverarbeitung insgesamt transparent erfolgt. Zu beachten ist daher, dass weiterhin die Möglichkeit besteht, dass das Abkommen in der Zukunft durch den Europäischen Gerichtshof für ungültig erklärt werden könnte. Eine Ankündigung einer solchen geplanten gerichtlichen Vorlage wurde bereits durch die Datenschutzorganisation noyb und dessen Gründer Max Schrems gemacht. Diese hatten zuletzt erfolgreich erreicht, dass die Vorgänger zum Data Privacy Framework (Safe Harbor und Privacy Shield) für ungültig erklärt wurden.