Es besteht ein grundlegender Konflikt beim Datenaustausch zwischen Unternehmen der EU und den USA aufgrund unterschiedlicher rechtlicher und kultureller Auffassungen von Datenschutz und Privatsphäre. Vor diesem Hintergrund hat die EU-Kommission am 10. Juli 2023 den neuen Angemessenheitsbeschluss für die USA erlassen.

Der Beschluss besagt, dass Unternehmen in den USA, die sich in diesem Zusammenhang selbst zertifiziert haben, ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten, vergleichbar mit dem der EU. Der Angemessenheitsbeschluss kann also als Grundlage für die Datenübermittlung an Unternehmen in den USA dienen, ohne zusätzliche Maßnahmen ergreifen zu müssen. Eine Datenübermittlung sollte wie beschrieben jedoch nur erfolgen, sofern die Unternehmen, an die Daten übermittelt werden, unter dem EU-U.S. Data Privacy Framework zertifiziert sind. Europäische Unternehmen müssen diese Zertifizierung vorab überprüfen. Das US-Handelsministerium hat diesbezüglich eine Liste von U.S.-Unternehmen veröffentlicht.

Ein zukünftiges Scheitern des Angemessenheitsbeschluss vor dem EuGH ist nicht auszuschließen. Der Datenschutzaktivist Max Schrems hat bereits angekündigt, wieder gegen den Angemessenheitsbeschluss zu klagen. Die Änderungen im U.S.-Recht durch das neue Abkommen seien seiner Ansicht nach zu minimal. In der Vergangenheit wurden bereits die Vorgänger des Angemessenheitsbeschlusses vom EuGH gekippt.

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen kann ebenfalls keine abschließende Entwarnung für die Datenübermittlung in die USA geben. Daher ist unsere Empfehlung, möglichst auf US-Dienstleister zu verzichten und auf europäische Anbieter zu setzen, auch wenn es rein rechtlich aktuell möglich ist, auf amerikanische Dienste zu setzen.