EU-US Data Privacy Framework beschlossen: der Nachfolgebeschluss steht
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF erlassen. Was das praktisch für Datenübermittlungen bedeutet und warum die juristische Unsicherheit bleibt.
Was ist neu
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US Data Privacy Framework erlassen (Durchführungsbeschluss (EU) 2023/1795). Für Datenübermittlungen an US-Unternehmen, die sich unter dem DPF zertifiziert haben, gilt damit ein nach DSGVO vergleichbares Schutzniveau.
Was sich praktisch aendert
Übermittlungen an DPF-zertifizierte US-Empfänger benötigen keinen separaten Prüfprozess mehr; SCCs mit erganzenden Massnahmen sind für diese Empfänger nicht mehr noetig. Nicht-zertifizierte US-Empfänger bleiben im SCC-plus-Prüfung-Regime. Die zugrundeliegende US-Rechtslage aendert sich nicht: CLOUD Act, FISA 702 und die neue Executive Order 14086 (Data Protection Review Court) stehen weiter; das DPF legt nur eine zusätzliche US-interne Beschwerdemöglichkeit darüber.
Einordnung
Unser Hauptartikel Warum deutsche Jurisdiktion für Cloud-Daten zaehlt vom April 2023 hatte das DPF als geplanten, aber noch offenen Beschluss genannt. Er ist jetzt da; die juristische Unsicherheit bleibt: Max Schrems und noyb haben die naechste EuGH-Klage angekündigt. Wer US-Zugriff strukturell ausschliessen will, bleibt bei der Empfehlung aus dem Hauptartikel: Anbieter mit rein EU-Gesellschafterstruktur waehlen, nicht US-Konzerne mit EU-Tochter.