FAQ zum EU-US Data Privacy Framework (EU-US DPF)
Die EU-Kommission hat in ihrem am 10. Juli 2023 verabschiedeten Angemessenheitsbeschluss festgestellt, dass für Datenübertragungen an ein unter dem neuen EU-US Data Privacy Framework (EU-US DPF) zertifiziertes US-Unternehmen ein angemessenes Schutzniveau besteht.
Personenbezogene Daten konnten bis Juli 2020 auf Grundlage des sog. Privacy Shield-Abkommens in die USA übermittelt werden. Denn gemäß Feststellung der EU-Kommission aus 2016 sollte im Hinblick auf den Datentransfer an nach dem EU-US Privacy Shield zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau i.S. der DS-GVO bestehen. Mit der sog. „Schrems II“-Entscheidung hat der EuGH das Privacy Shield-Abkommen allerdings 2020 für unwirksam erklärt, so dass für Datenübermittlungen in die USA, die zuvor auf das Privacy Shield gestützt worden waren, nunmehr andere Rechtsgrundlagen gefunden werden mussten.
Infolge der „Schrems II“-Entscheidung wurde zwischen EU und USA ein neues Datenschutzabkommen ausgehandelt. Um Bedenken auszuräumen, welche der EuGH gegen das Vorgängerabkommen hatte, wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court) sowie beschränkte Zugriffsbefugnisse für Strafverfolgungs- und Sicherheitsbehörden. Die Einführung erfolgte über eine am 7. Oktober 2022 von US-Präsident Biden unterzeichnete Durchführungsverordnung (Executive Order).
Mittels des am 10. Juli 2023 verabschiedeten Angemessenheitsbeschlusses hat die EU-Kommission nunmehr festgestellt, dass im Hinblick auf den Transfer personenbezogener Daten an unter dem neuen EU-US-Datenschutzrahmen (EU-US Data Privacy Framework – EU-US DPF) (selbst-)zertifizierte US-Unternehmen aus ihrer Sicht ein angemessenes Datenschutzniveau besteht.
Aus den zu dem Angemessenheitsbeschluss der EU-Kommission gestellten Fragen ihrer Mitglieder hat die GDD einen FAQ-Katalog ausgearbeitet. Diesen finden Sie hier.
(Foto: Bernulius – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails
Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für
Mehr erfahren -
Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden
Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer
Mehr erfahren -
Gemeinsame Dateiablagen als datenschutzrechtliches Risiko
In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.
Mehr erfahren
