EU-U.S. Data Privacy Framework

Am 10. Juli 2023 wurde das neue EU-U.S. Data Privacy Framework (DPF) als Nachfolger des Privacy Shield verabschiedet. Das DFP stellt damit eine wichtige Entwicklung dar, die den Herausforderungen des transatlantischen Datenschutzes entgegentreten soll.

Erfahren Sie hier alles, was Sie über das neue  EU-U.S. Data Privacy Framework wissen müssen.

Was ist das EU-U.S. Data Privacy Framework (DPF)?

Das DPF schützt personenbezogene Daten bei der Übertragung von der EU aus an US-Organisationen. Der Mechanismus soll sicherstellen, dass dabei europäische Datenschutzstandards eingehalten werden.

Es gab schon früher Vereinbarungen zwischen der EU und den USA wie zum Beispiel Save Harbour oder Privacy Shield. Diese Abkommen wurden jedoch vom Europäischen Gerichtshof (EuGH) gekippt.

Warum braucht es ein solches Abkommen?

Mit der DSGVO gibt es in der EU eine Rechtsgrundlage, die garantiert, dass ein einheitlichen Datenschutzniveau besteht. Dabei regelt sie auch Einschränkungen für den Datentransfer in Länder außerhalb der EU, die ein solches Schutzniveau nicht bieten können. In diese Länder dürfen unter Umständen keine personenbezogenen Daten aus der EU transferiert werden.

In der heutigen Zeit ist ein globaler Datenaustausch kaum wegzudenken. Dass die Datenschutzstandards in den USA grundsätzlich niedriger sind, als von der DSGVO gefordert, hat diesen Datenaustausch bisher vor große Schwierigkeiten gestellt. Diesen soll das Data Privacy Framework nun begegnen.

Was regelt das DPF?

Das DPF enthält im wesentlichen drei Kernelemente.

Zum einen macht es die Teilnahme am DPF für US-amerikanische Unternehmen notwendig, an einem Selbstzertifizierungsprozess teilzunehmen. Diesen Prozess leitet das US-Handelsministerium. Es überwacht auch, ob die zertifizierten Unternehmen die Regelungen des DFP einhalten. Damit handelt es als Durchsetzungsbehörde.

Des weiteren werden Beschwerdemechanismen eingeführt. So soll die Rechenschaftspflicht gestärkt werden. Hierfür wird ein Data Protection Review Court neu eingerichtet, welches Untersuchungsbefugnisse haben wird und Lösungsvorschläge machen kann, durch die effektive Mittel zur Lösung von Datenschutzbedenken ermöglicht werden.

Zuletzt regelt das DFP die Einführung verbindlicher Sicherheitsvorkehrungen. Damit wird der Zugriff von US-amerikanischen Geheimdiensten auf europäische Daten deutlich beschränkt. Ein Zugriff soll nur noch in einem Maße stattfinden, der für die nationalen Sicherheitszwecke notwendig und angemessen ist. Hier wird deutlich auf die bisherige Kritik des EuGH an den früheren Abkommen eingegangen.

Welche Auswirkungen hat das DPF auf Unternehmen?

Zunächst einmal sorgt das DPF für Unternehmen für mehr Sicherheit. Die Datenübertragung von der EU in die USA war im Datenschutzrecht lange ein rotes Tuch. Nun existieren aber klare Regelungen. Das DPF schreibt eine vertragliche Vereinbarung zwischen den Akteuren vor, die die Einhaltung des Sicherheitsniveaus gewährleistet.

US-amerikanische Unternehmen müssen ihre Berechtigung behördlich bestätigen lassen und vorher zunächst einmal selbst überprüfen.

Zwar wird die Einbeziehung von Standardvertragsklauseln weiterhin empfohlen, ist aber keine Notwendigkeit mehr. Dies erleichtert das Agieren für multinationale Unternehmen enorm.

Trotz des DPF ist von Unternehmen weiterhin kontinuierliches Handeln erforderlich, um den datenschutzrechtlichen Bestimmungen gerecht zu werden. Unternehmen sind weiterhin gefragt, wenn es um die Einrichtung von Mechanismen zur Streitbeilegung und Verfahren zum Beschwerdemanagement geht. Auch müssen sie weiter die Verantwortung für die von ihnen verarbeiteten Daten übernehmen.

Zudem ist damit zu rechnen, dass das DPF sich in einem fortlaufenden Prozess der Anpassung befinden wird, womit Unternehmen dauerhaft umgehen können müssen.

Fazit

Das EU-U.S. Data Privacy Framework ist ein großer Schritt hin zu mehr globalem Datenschutz. Es wagt dabei einen schwierigen Balanceakt zwischen der Regulierung des Schutzes und der Erleichterung der Übertragung.

Das Abkommen ist ein Beispiel für internationale Zusammenarbeit im Bereich Datenschutz, wird aber nicht alle Schwierigkeiten von heute auf morgen beseitigen. Vielmehr ist auch hier mit einem stetigen Prozess zu rechnen, der viele weitere Entwicklungen nach sich ziehen wird.

Sie brauchen Unterstützung und Beratung im Bereich Datenschutz und Datensicherheit? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier!