Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Grünes Licht für das Data Privacy Framework: Übermittlung persönlicher Daten zwischen der EU und den USA jetzt erlaubt 

Am 10. Juli 2023 hat die EU-Kommission eine wichtige Ankündigung gemacht, indem sie ihren Angemessenheitsbeschluss über den EU-US Data Privacy Framework (DPF) angenommen hat. 

Diese Entscheidung bedeutet eine erneute Anerkennung, dass die Vereinigten Staaten ein angemessenes Schutzniveau bieten, das dem der Europäischen Union (EU) entspricht. Folglich können personenbezogene Daten nun ungehindert von der EU zu selbstzertifizierten US-Unternehmen fließen, ohne dass zusätzliche Sicherheitsvorkehrungen erforderlich sind. 

Dieser Artikel befasst sich mit den Einzelheiten der Entscheidung und hebt die wichtigsten Änderungen hervor, die am für ungültig erklärten Privacy Shield Framework vorgenommen wurden.

  • Juli 2000: Die EU-Kommission hat die Entscheidung über die Angemessenheit des Schutzes, den die Safe Harbour-Prinzipien für den Datenschutz bieten, angenommen.
  • Oktober 2015: Safe Harbour wurde nach der ersten Schrems-Entscheidung für ungültig erklärt
  • Juli 2016: Die EU-Kommission hat die Entscheidung über die Angemessenheit des Schutzes, den das EU-US Privacy Shield bietet, angenommen.
  • Juli 2020: Der Gerichtshof der Europäischen Union (GHdEU) hat das EU-US Privacy Shield für unvereinbar mit der DSGVO und damit für ungültig erklärt. 
  • März 2022: Präsidentin von der Leyen und Präsident Biden haben eine grundsätzliche Vereinbarung über einen neuen Trans-Atlantic Data Privacy Framework erzielt.
  • Oktober 2022: Präsident Joe Biden unterzeichnete die Executive Order 14086 zur Verbesserung der Sicherheitsvorkehrungen für die United States Signals Intelligence Activities.
  • Dezember 2022: Die EU-Kommission hat ihren Entwurf für einen Angemessenheitsbeschluss über die EU-USA angenommen. Data Privacy Framework.
  • Februar 2023: Der Europäischer Datenschutzausschuss hat seine hat seine Position zum Entwurf für einen Angemessenheitsbeschluss angenommen.
  • Mai 2023: Das Europäische Parlament hat eine nicht bindende Entschließung verabschiedet.
  • Juli 2023: Nahezu alle EU-Mitgliedstaaten habenden Entwurf für einen Angemessenheitsbeschluss akzeptiert.
  • Juli 2023: Die EU-Kommission hat ihre Entscheidung über die Angemessenheit des Abkommens zwischen der EU und den USA formell angenommen. Data Privacy Framework.

EU-US Data Privacy Framework

Die EU-US-DSGVO ist ein entscheidender Schritt zur Wiederherstellung des Vertrauens in den transatlantischen Datenübermittlung. 

Nach dem Schrems-II-Urteil des GHdEU wurde das vorherige Privacy Shield Framework aufgrund von Bedenken hinsichtlich des Datenzugriffs durch US-Geheimdienste für ungültig erklärt. 

Der neu verabschiedete Rahmenwerk trägt diesen Bedenken durch mehrere bemerkenswerte Überarbeitungen Rechnung:

1. Erforderlicher und angemessener Zugang zu Daten

Im Rahmen der EU-US DPF ist der Zugriff auf Daten durch US-Geheimdienste nun auf das beschränkt, was als „erforderlich und verhältnismäßig“ erachtet wird.

Diese Bestimmung stellt sicher, dass die Datenübermittlung strengen Datenschutzstandards entspricht und gleichzeitig legitime nationale Sicherheitsinteressen berücksichtigt.

2. Zweistufiger Rechtsbehelfsmechanismus

Um die Verantwortlichkeit zu verbessern und die Rechte der EU-Bürger zu schützen, wurde ein neuer zweistufiger Rechtsbehelfsmechanismus eingeführt.

  1. Die erste Ebene besteht aus einem Civil Liberties Protection Officer (CLPO) aus der US-Geheimdienstgemeinschaft, der unabhängig und objektiv Beschwerden untersucht, die von EU-Bürgern kostenlos und in ihrer eigenen Sprache direkt bei den Datenschutzbehörden ihrer Länder eingereicht werden. Diese Beschwerden werden dann von der Europäischer Datenschutzausschuss an die USA weitergeleitet.
  2. Die zweite Ebene umfasst das Data Protection Review Court (DPRC), das als unabhängige und verbindliche Behörde fungiert. Der DPRC entscheidet über Einsprüche gegen Entscheidungen des CLPO. Wichtig ist, dass die Mitglieder des DPRC über besondere Qualifikationen verfügen und außerhalb des Einflusses oder der Anweisungen der US-Regierung arbeiten, um Unparteilichkeit und Fairness zu gewährleisten.

3. Befähigung von EU-Personen

Der Angemessenheitsbeschluss gewährt EU-Personen, deren Daten an selbstzertifizierte US-Unternehmen übermittelt wurden, mehrere wichtige Rechte. Zu diesen Rechten gehört die Möglichkeit,:

  1. auf ihre Daten zugreifen;
  2. Korrekturen anfordern; 
  3. falsche oder unrechtmäßig verarbeitete Daten zu löschen und 
  4. Zugang zu Rechtsmitteln über einen kostenlosen unabhängigen Streitbeilegungsmechanismus und ein Schiedsgericht.

4. Erweiterte Anwendbarkeit und Schutzmaßnahmen

Die von der US-Regierung im Rahmen der EU-US DPF vorgesehenen Garantien gehen über die in diesem speziellen Rahmen übermittelten Daten hinaus. Sie gelten auch für Daten, die über andere Mechanismen übermitteln werden, wie z.B.:

  • Standardvertragsklauseln; oder 
  • Verbindliche interne Datenschutzvorschriften 

Diese breitere Anwendung gewährleistet ein einheitliches Datenschutzniveau für EU-Personen, unabhängig von dem spezifischen Übermittlungsmechanismus, der verwendet wird.

5. Regelmäßige Überprüfungen und kontinuierliche Überwachung der Compliance

Um die kontinuierliche Compliance und Wirksamkeit zu gewährleisten, wird die EU-US DPF regelmäßig überprüft. 

Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des Rahmens stattfinden. Die EU-Kommission wird die einschlägigen Entwicklungen in den USA kontinuierlich überwachen, um sicherzustellen, dass die festgelegten Schutzmaßnahmen beibehalten werden.

Was müssen Sie jetzt tun? 

Derzeit besteht kein unmittelbarer Handlungsbedarf. Wir müssen warten, bis die US-Unternehmen den Selbstzertifizierungsprozess abgeschlossen haben, bevor die Datentransfers beginnen können.

Die Verabschiedung des EU-US Data Privacy Frameworks durch die EU-Kommission ist ein wichtiger Meilenstein für den transatlantischen Datenschutz. Mit dem Angemessenheitsbeschluss kann der Fluss personenbezogener Daten aus der EU an US-Unternehmen ohne zusätzliche Sicherheitsvorkehrungen wieder aufgenommen werden, vorausgesetzt, sie nehmen an der EU-US DPF teil. 

Verwenden Sie Google Analytics oder andere betroffene Dienste? Denken Sie daran, sie in Ihre Datenschutzerklärung aufzunehmen.

Aktualisieren Sie Ihre Datenschutzerklärung

Haben Sie noch Fragen?

Nehmen Sie an einem unserer kostenlosen Webinare teil Senden Sie uns eine E-Mail Live-Chat