Ende Juli hat die EU-Kommision auf Basis der Transatlantic Privacy Framework für die USA einen Angemessenheitsbeschluss erlassen. Damit sollen Datentransfers in die USA erleichtert werden. Insbesondere die Standard-Vertrags-Klauseln (SCC) in Verbindung mit den Vorgaben in Kapitel 11 und 14 sowie der notwendigen Transfer-Impact-Analyse (TIA) haben betroffenen Unternehmen viel Aufwand beschehrt. Ist dies durch den Angemessenheitsbeschluss obsolet geworden? Leider eher nicht. Warum?

1. Es ist fraglich, ob der Beschluss vor dem EuGH Bestand hat. Max Schrems hat schon im Mai auf den BvD-Verbandstagen angekündigt, dagegen vorzugehen.
2. Der Beschluss gilt nur für Transfers zu den Unternehmen, die eine Selbstzertifizierung vorgenommen haben. Eine Liste dieser Unternehmen kann hier eingesehen werden: https://www.dataprivacyframework.gov/s/.
3. Da diese Unternehmen oft Subunternehmen haben, die entweder die Selbstzertifizierung nicht durchlaufen haben oder in einem anderen Drittstaat sind (bspw. Indien (Bharat), Brasilien), werden möglicherweise weiterhin personenbezogene Daten in einen unsicheren Drittstaat übertragen. Damit sind auch hier weiterhin SCCs mit den ergänzenden Maßnahmen Pflicht.

Für den Datenschutzbeauftragten bleibt der Drittlandtransfer also weiterhin ein Thema, das ihm nicht nur Freude beschehrt.