Mit dem Inkrafttreten des EU-US Angemessenheitsbeschlusses und eine Selbstzertifizierung können auf der Grundlage des neuen EU-US-Datenschutzrahmens personenbezogenen Daten durch Verantwortliche wieder einfach in die USA übertragen werden. Hierzu sollten Verantwortliche die Auftragsverarbeitungsverträge und der Überprüfungsprozess angepasst werden.
Da der Angemessenheitsbeschluss an sich keine Rechtsgrundlage für die Datenübertragung in die US darstellt, muss zunächst sichergestellt werden dass das Unternehmen an das Daten übertragen werden sollen, diese Selbstzertifizierung vorweisen kann.
Dazu gibt es die Website: dataprivacyframework.gov der US-Export-Behörde International Trade Administration.
Überprüfung der Auftragsverarbeiter bzw. Unternehmer mit Sitz in der US
Zur Überprüfung, ob das Unternehmen die notwendige selbst-zertifizierung vorgenommen hat und für welche Daten (HR oder nicht HR) diese Zertifizierung gültig ist, wird der folgende Link bereitgestellt.
https://www.dataprivacyframework.gov/list
Hierbei sollten Sie auf das Enddatum der Zertifizierung achten. Sobald dieser überschritten wird, ist eine Datenübertragung von personenbezogenen Daten in die US nicht mehr durch den EU-US Angemessenheitsbeschluss gedeckt. Damit entfällt auch die Rechtmäßigkeit nach der DS-GVO.
Eine Überprüfung von Auftragsverarbeiter mit Sitz in den US sollten Sie so planen das dieses immer kurz (1 bis 2 Monate) vor Ablauf der Zertifizierung stattfindet.
Weitere Infos und Anmerkungen: