The DPF allows transfers of personal data to the US under essentially the same mechanisms as under its predecessor, the "Privacy Shield". Thus, if a US company gets certified under the "EU US Data Privacy Framework", it creates a data protection level that is adequate to the European data protection laws. It follows that personal data can be transferred from Europe to that company without a need for additional safeguards under Art 46 GDPR. A search registry of the US companies certified under the DPF can be found under: https://www.dataprivacyframework.gov/s/participant-search.

Find the German version of this newsletter below.

What does this mean for European companies?

1. If a European company transfers personal data to a US company that is certified under the DPF, it should adapt its GDPR documentation (i.e. data processing records, TIA) accordingly.
2. Standard Contractual Clauses that the European company might have concluded with that US company remain valid. A potential certification under the DPF of the US company will not terminate the Standard Contractual Clauses. Also, it is not harmful if the Standard Contractual Clauses and the DPF certification remain simultaneously in place.

Looking forward

It hardly comes as a surprise that the DPF came under fire almost immediately from several stakeholders. The DPF probably will be challenged in the same way as the "Safe Harbour" and the "Privacy Shield". Nevertheless, companies should not be discouraged by these announcements but rather take advantage of the newly generated legal stability. It is still recommended to keep in place Standard Contractual Clauses, since the DPF is likely to be challenged . If so, this might reinstall the former status of legal instability. In that case, Standard Contractual Clauses would be a good backup, since even if the CJEU declares the DPF unlawful it seems unlikely that the court will dismiss Standard Contractual Clauses concluded with US companies.   

The adequacy decision can be found here:

https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

Information from the Data Protection Authority can be found here:

https://www.dsb.gv.at/download-links/bekanntmachungen.html#Angemessenheitsbeschluss

Erleichterung für Unternehmen: Das neue "EU US Data Privacy Framework" ist in Kraft!

Nach der Aufhebung des "Privacy Shield" durch den EuGH bestand große Rechtsunsicherheit hinsichtlich der Nutzung von US-Cloud-Lösungen und von Transfers personenbezogener Daten in die USA. Der Sommer 2023 bringt eine gute Nachricht: Diese Rechtsunsicherheit ist nun zu Ende. Zum 10.07.2023 hat die Europäische Kommission per Angemessenheitsbeschluss das "EU US Data Privacy Framework" (kurz: DPF) angenommen.

Unter dem DPF sind Transfers personenbezogener Daten in die USA im Wesentlichen nach demselben Muster erlaubt, wie es unter dem "Privacy Shield" der Fall gewesen ist. Das bedeutet: Wenn ein US-Unternehmen unter dem "EU US Data Privacy Framework" zertifiziert ist, dann gilt die Annahme, dass es einen dem europäischen Datenschutzrecht gleichwertigen Schutzlevel bietet. Dies hat zur Folge, dass an dieses Unternehmen ohne weitere Maßnahmen iS des Art 46 DSGVO Daten aus Europa transferiert werden dürfen. Ein Suchverzeichnis der unter dem DPF zertifizierten US-Unternehmen findet sich unter:  https://www.dataprivacyframework.gov/s/participant-search.

Was bedeutet dies für europäische Unternehmen?

1. Wenn ein europäisches Unternehmen personenbezogene Daten an ein US-Unternehmen übermittelt, welches nun unter dem DPF zertifiziert ist, dann sollte das europäische Unternehmen seine DSGVO-Dokumentationen (zB Verfahrensverzeichnis, TIA) entsprechend aktualisieren.
2. Sollten mit diesem US-Unternehmen Standardvertragsklauseln geschlossen worden sein, so bleiben diese in Geltung. Eine allfällige DPF-Zertifizierung dieses US-Unternehmens bedeutet nicht die automatische Beendigung der Standardvertragsklauseln. Ein paralleler Bestand der Standardvertragsklauseln und der DPF-Zertifizierung schadet nicht.

Ein Blick in die Zukunft

Nahezu erwartungsgemäß erntete das DPF umgehend Kritik, und die Bekämpfung des Abkommens wurde bereits angekündigt. Es ist wahrscheinlich, dass das DPF im gleichen Sinn bekämpft werden wird, wie es bei "Safe Harbor" und dem "Privacy Shield" der Fall gewesen ist. Die Unternehmen sollten sich von diesen Ankündigungen jedoch nicht entmutigen lassen, sondern die durch das DPF nun gebotene Rechtssicherheit nutzen. Gut beraten ist man freilich, allfällig bereits geschlossene Standardvertragsklauseln bestehen zu lassen, da durchwegs damit zu rechnen ist, dass auch das DPF bekämpft und der bisherige Zustand der Rechtsunsicherheit wieder herbeigeführt wird. In diesem Fall bieten die Standardvertragsklauseln ein gutes Backup, da auch bei einer allfälligen Aufhebung des DPF durch den EuGH nicht damit zu rechnen ist, dass der EuGH auch die mit den US-Unternehmen geschlossenen Standardvertragsklauseln für ungültig erklärt.

Zum Angemessenheitsbeschluss:

https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

Information der Datenschutzbehörde:

https://www.dsb.gv.at/download-links/bekanntmachungen.html#Angemessenheitsbeschluss