Gemäss Kapitel 5 DSGVO braucht es für den Transfer von personenbezogenen Daten in einen Drittstaat ausserhalb der EU oder des EWR bestimmte Garantien, um zu gewährleisten, dass die Daten in diesen Staaten einen dem EU/EWR-Raum äquivalenten Schutz erfahren.
Art. 45 Abs. 1 DSGVO nennt eine der möglichen Garantien: "Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung."
Für den Datentransfer in die USA wird dies mit der Entscheidung der EU-Kommission (2023/4745) vom 10. Juli 2023 in Bezug auf das sogenannte EU-U.S. Data Privacy Framework (DPF) sichergestellt.
Damit wird aber nicht jeder Datentransfer in die USA als unbedenklich eingestuft, sondern lediglich der Transfer von Daten an solche U.S.-Unternehmen oder Organisationen, die eine gültige DPF-Zertifizierung besitzen. Die aktuelle Liste der DPF-zertifizierten Unternehmen kann hier auf der speziellen Internetseite des U.S.-Handelsministeriums eingesehen werden.
|
Der Europäische Datenschutzausschuss (EDSA) hat die dringlichsten Fragen zur Anwendung bzw. Umsetzung des DPF in einer Information Note beantwortet. Zudem stellt er FAQ für natürliche Personen und FAQ für Unternehmen zur Verfügung. |
Weitere Informationen zu den Voraussetzungen des DPF sowie zu geeigneten Garantien für den internationalen Datentransfer finden sich hier.