Hintergrund

Auf dem steinigen Weg zu einem neuen Angemessenheitsbeschluss zwischen der EU und der USA veröffentlichte der Europäische Datenschutzausschuss (EDSA) am 28. Februar 2023 seine Stellungnahme 5/2023 zum Entwurf des EU-US Data Privacy Framework (DPF) vom 13. Dezember 2022 (Stellungnahme 5/2023). Hintergrund des DPF‑Entwurf ist, dass für eine Datenübermittlung in ein Nicht-EU-Land, der Datenexporteur als Verantwortlicher der Datenverarbeitung beurteilen muss, auf welcher Grundlage ein solcher Datentransfer stattfinden kann. Art. 44-50 der europäischen Datenschutzgrundverordnung (EU DSGVO) sieht mehrere Rechtsgrundlagen für einen Datentransfer in ein Drittland vor, die über kein der EU DSGVO gleichwertigen Datenschutz verfügen. Die USA zählt zu eben jenen Ländern. Keine weitere Prüfung ist erforderlich, wenn der Datenimporteur im Drittland ausserhalb der EU selbst der DSGVO nach Art. 3 EU DSGVO untersteht. In diesem Fall muss der Datenimporteur die Bestimmungen der DSGVO ohnehin einhalten. Untersteht der Datenimporteur nicht der EU DSGVO, werden in der Praxis sehr häufig Standardvertragsklauseln vereinbart und mit zusätzlichen...