Seit dem 17. Juli 2023 besteht zwischen der EU und den USA ein freier Fluss von personenbezogenen Daten von in der EU ansässigen Unternehmen an teilnehmende US-Unternehmen.
Trotz anhaltender Kritik von Datenschutzaktivisten, die geschworen haben, diese Entscheidung aufzuheben, scheint die Genehmigung des DPF durch die EU-Kommission auf einer solideren rechtlichen Grundlage zu stehen. Die EU-Kommission hat festgestellt, dass die Datenübermittlung an in den USA ansässige Unternehmen, die dem DPF beigetreten sind, einem Schutzstandard unterliegt, der im Wesentlichen dem der Europäischen Union entspricht.
Was ist das Datenschutzrahmenwerk?
Der DPF ist eine Modifikation des früheren EU-US-Privacy-Shield. Die Entscheidung der Europäischen Kommission bedeutet, dass personenbezogene Daten aus der EU an Unternehmen übermittelt werden können, die sich im Rahmen des DPF selbst zertifizieren, ohne dass andere Datenübertragungsmechanismen (wie Standardvertragsklauseln oder verbindliche Unternehmensregeln) erforderlich sind. Ferner müssen Organisationen, die personenbezogene Daten an Importeure übermitteln, die am DPF teilnehmen, keine Risikobewertungen für die Übertragung durchführen, da das DPF von einer Angemessenheitsentscheidung profitiert.
„Dieser neue Rahmen unterscheidet sich wesentlich vom EU-US-Rahmen, ‚Privacy Shield‘“, sagte EU-Justizkommissar Didier Reynders. „Bei der Entscheidung, ob und in welchem Umfang US-Geheimdienste auf Daten zugreifen sollten, müssen sie die gleichen Faktoren abwägen, wie sie die Rechtsprechung des EU-Gerichtshofs verlangt.“
Der Europäische Datenschutzausschuss (EDSA) – ein europaweites Netzwerk von Datenschutzbeauftragten – sagte, das neue Abkommen zeige „erhebliche Verbesserungen“ im Vergleich zu früheren Abkommen, es fehle jedoch immer noch an einigen Schutzmaßnahmen. Das Europäische Parlament hatte sich gegen das neue Abkommen ausgesprochen und argumentiert, es erlaube immer noch eine gewisse Massenerfassung personenbezogener Daten und biete keinen ausreichenden Schutz für die Privatsphäre der Europäer.
Wie funktioniert das Datenschutz-Framework?
Unternehmen, die sich auf das DPF verlassen und es korrekt nutzen, drohen keine Bußgelder für Datenübermittlungen in den USA. Die DPF-Entscheidung schützt Unternehmen, die sich auf den DPF verlassen, auch vor Schadensersatzansprüchen vor nationalen Gerichten.
US-Unternehmen, die Datentransfers empfangen, können nun wählen, ob sie sich weiterhin auf Standardvertragsklauseln verlassen oder sich nach dem neuen DPF zertifizieren lassen möchten.
Die Verwendung von SCCs bietet einige Vorteile. Sie gelten für alle Drittländer, nicht nur für die USA. Auch Unternehmen sind geschützt, wenn der DPF gestrichen wird. Als der EuGH den Datenschutzschild aufhob, geschah dies mit sofortiger Wirkung und es wurde den Unternehmen keine Schonfrist eingeräumt.
Der DPF ist jedoch einfacher und unkomplizierter.
Selbstzertifizierung
Unternehmen führen eine Selbstverifizierung durch und verpflichten sich öffentlich zu den DPF-Grundsätzen.
Bewertung des Übertragungsrisikos
Unternehmen, die personenbezogene Daten aus der EU in die USA übermitteln, müssen keine weiteren Risikobewertungen durchführen.
Privacy Shield-Umstellung
Organisationen, die sich zuvor im Rahmen des Privacy Shield selbst zertifiziert haben, können ihre Zertifizierung in eine DPF-Zertifizierung umwandeln.
Mit Beschwerden umgehen
Zweistufiges Beschwerdeverfahren zur Lösung von Beschwerden von EU-Bürgern über den Zugriff von US-Geheimdiensten auf ihre Daten. Beschwerden können beim betreffenden Unternehmen eingereicht werden, das diese kostenlos bearbeiten muss, oder bei den EU-Datenschutzbehörden und schließlich bei einem neu eingerichteten Datenschutzüberprüfungsgericht.
Regelmäßige Rezensionen
Die EU-Kommission wird regelmäßige Überprüfungen durchführen und kontinuierlich die Funktionsweise des DPF und die Einhaltung der Vorschriften durch die USA überwachen.
Die SCC sind weiterhin gültig
Standardvertragsklauseln bleiben weiterhin gültig und können als Ersatzoption verwendet werden, wenn die DPF-Teilnahme ausgesetzt oder aufgehoben wird.
Compliance: Neu Erfunden
VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen