Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht.
Der Angemessenheitsbeschluss wurde nicht generell getroffen. Er gilt für Unternehmen, die ein Selbstzertifizierungsverfahren durchlaufen haben. Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es nun, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Für eine Teilnahme an dem DPF-Programm, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten.
Für Verträge mit (zukünftig) zertifizierten Unternehmen bedeutet dies, dass diese nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen (z.B. der Bankenbereich) oder keine Zertifizierung vorliegt, müssen auch weiterhin Standardvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nun für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.
Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Seit dem Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen haben sich bereits fünf kirchliche Aufsichten dazu geäußert. Eine Stellungnahme des KDSZ Dortmund findet man hier.
Für Microsoft und Facebook (Meta) soll wohl auch schon eine Selbstzertifizierung vorliegen. Die Liste der Unternehmen findet man hier.
