Die EU-Kommission hat erstmals in ihrem Bericht vom 09.10.2024 überprüft, ob der aktuell gültige Angemessenheitsbeschluss für die USA über das EU-US-Data Privacy Framework (DPF) auch in Zukunft aufrechterhalten bleiben kann.
Das Programm namens EU-US-Data Privacy Framework wurde entwickelt, um US-Organisationen verlässliche Mechanismen für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten zu bieten und gleichzeitig einen Datenschutz zu gewährleisten, der mit den Rechtsvorschriften der EU, des Vereinigten Königreichs und der Schweiz vereinbar ist.
Während die EU-Kommission insgesamt eine Fortsetzung in der Zukunft befürwortet, äußert das "European Data Protection Board" (EDPB) ihre diesbezüglichen Bedenken und fordert insbesondere strengere Überwachungsaktivitäten und Aufsichtsmaßnahmen durch die US-Behörden. Um den europäischen Datenschutzvorgaben gerecht zu werden sind laut EDPB Leitlinien zu entwickeln und zu kodifizieren, welche durch das Department of Commerce (U.S.) veröffentlicht werden sollten.
Laut der Stellungnahme des EDPB besteht nach wie vor eine Diskrepanz in der Auslegung bestimmter Begrifflichkeiten, wie z.B. "Personaldaten" oder "Anbieter elektronischer Kommunikationsdienste": Während diese Begriffe in der EU weit ausgelegt werden, um möglichst viele Daten vom Schutzbereich der jeweiligen Norm zu erfassen, legt die USA diese in der Regel enger aus, mit dem Ergebnis, dass weniger Daten dem Schutzbereich unterliegen und hierdurch ein weiterer Spielraum für eine Datenverarbeitung geschaffen werden kann.
Ein weiteres Problem besteht in der potenziellen US-staatlichen Beschaffung personenbezogener Daten über sog. Datenmakler und andere kommerzielle Einrichtungen.
Auch macht das EDPB darauf aufmerksam, dass kaum Abweichungen zur Vorgängerversion "Privacy Shield" vorliegen, welches in der Vergangenheit gerade aufgrund dieser bestehenden Auslegungsdivergenz zwischen den Ländern "gekippt" wurde.
Eine Übermittlung von personenbezogenen Daten in die USA ist vor diesem Hintergrund weiterhin kritisch zu betrachten und erfordert eine Einzelfallprüfung.
Anhand folgender Liste können Sie überprüfen, welche US-Unternehmen sich dem EU-US-Data Privacy Framework angeschlossen haben:
Data Privacy Framework (externer Link, öffnet neues Fenster)
Den Bericht der EU-Kommission können Sie hier abrufen:
report of the european commission (externer Link, öffnet neues Fenster)
Die Stellungnahme des European Data Protection Board vom 04.11.2024 finden Sie hier:
EDPB report on the first review of the european commission (externer Link, öffnet neues Fenster)