Das Wichtigste zum EU-US Data Privacy Framework in Kürze
Das EU-US Data Privacy Framework ist ein Datenschutzabkommen, auf dem der Angemessenheitsbeschluss der Europäischen Kommission erging. Beides sorgt für eine Erleichterung für die Übermittlung von personenbezogenen Daten von EU-Unternehmen in die USA.
Das Abkommens beinhaltet ein neues Regelwerk und Schutzmaßnahmen, um den Zugriff der US-Nachrichtendienste auf das Notwendige zu beschränken. Es sieht ein neues Rechtsbehelfssystem vor und den “Data Protection Review Court”. Mehr zum Inhalt erfahren Sie hier.
Das EU-US DPF als Nachfolger des Privacy Shield erfasst alle Übermittlungen personenbezogener Daten an US-Unternehmen, die sich in einem Zertifizierungsmechanismus zur Einhaltung bestimmter Grundsätze des Datenschutzes verpflichtet haben. Ausgenommen sind personenbezogene Daten, die im Rahmen journalistischer Aktivitäten zu Zwecken der öffentlichen Kommunikation gesammelt werden und Informationen aus früher veröffentlichtem Material aus Medienarchiven. Bei Personaldaten muss das US-Unternehmen bei der Zertifizierung ausdrücklich angeben, dass auch die Übermittlung von Personaldaten erfasst ist.
Neues Datenschutzabkommen zwischen EU und den USA: Welchen Inhalt hat es?
Inhaltsverzeichnis
Um den Datenschutz auch grenzüberschreitend zu gewährleisten, schließen Staaten und Verbände internationale Abkommen. So einigten sich auch die Europäische Kommission und die Regierung der USA im März 2022 auf das “EU-US Data Privacy Framework”(auf deutsch “EU-US Datenschutzrahmen”). Dieses Datenschutzabkommen soll den Schutz der Privatsphäre und die bürgerlichen Freiheiten stärken und schafft Rechtssicherheit für Betroffene und Datenexporteure.
Personenbezogene Daten können aus der EU an die USA gesendet werden ohne weitere Maßnahmen. Unternehmen in der EU müssen vorab prüfen, ob die beteiligte Organisation unter dem “EU-US Data Privacy Framework” (EU-US DPF) zertifiziert ist. Verfügt das Unternehmen über keine Zertifizierung, ist weiterhin die Vereinbarung von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessment erforderlich, um das Datenschutzniveau zu halten.
Die Grundprinzipien dieses Datenschutzabkommens, die die Europäische Kommission in einem Factsheet im März 2022 veröffentlichte, sind folgende:
- Aufgrund des Abkommens fließen Daten frei und sicher zwischen der EU und teilnehmenden Unternehmen der USA.
- Ein Zugriff durch US-Nachrichtendienste soll nur erfolgen, wenn er notwendig für die nationale Sicherheit ist und Rechte und Freiheiten des Einzelnen nicht unverhältnismäßig beeinträchtigt. Ein neues Regelwerk und Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken.
- Die Beschwerden von Bürgern über Datenzugriff durch US-Nachrichtendienste können durch ein neues Rechtsbehelfssystem besser untersucht und behandelt werden. Ein neuer “Data Protection Review Court” soll solche Fälle unabhängig gerichtlich prüfen.
- US-Unternehmen haben sich bei der Verarbeitung von Daten aus der EU an strenge Vorgaben zu halten. Sie müssen die Einhaltung dieses Abkommens mit einer Selbstzertifizierung bestätigen.
Eine Liste, die das U.S. Department of Commerce auf der offiziellen Website des Datenschutzabkommens veröffentlicht hat, gibt Auskunft, welche Unternehmen zertifiziert sind. An diese können personenbezogene Daten übermittelt werden.
Angemessenheitsbeschluss durch die Europäische Kommission
Das Datenschutzabkommen “EU-US Data Privacy Framework” bildet die Grundlage für den Angemessenheitsbeschluss der Europäischen Kommission im Juli 2023, womit sie das EU-US DPF annahm. Die Europäische Kommission meint darin, dass das Abkommen ein ausreichendes Schutzniveau aufweise. Der Beschluss kann nun als Grundlage für die Übermittlung von Daten an zertifizierte Organisationen in den USA dienen.
Doch was ist eigentlich ein Angemessenheitsbeschluss? Der Transfer personenbezogener Daten in Drittländer ist gemäß Art. 44 DSGVO nur dann zulässig, wenn ein Transfermechanismus den Datentransfer regelt. Eine Art des Transfermechanismus ist der Angemessenheitsbeschluss nach Art. 45 DSGVO.
Geltung und Durchführung des EU-US Data Privacy Framework in Deutschland
Völkerrechtliche Verträge der EU, so wie das EU-US Data Privacy Framework, unterliegen dem Unionsrecht und gelten unmittelbar im deutschen Recht. Damit das EU-US DPF Unionsrecht wird, bedarf es innerhalb der EU eines Durchführungsrechtsaktes (Art. 291 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union – AEUV).
Gut zu wissen: Der Angemessenheitsbeschluss ist in dem Fall der Durchführungsrechtsakt. Er entfaltet unmittelbare Wirkung auch innerhalb Deutschlands.
Ablauf der Annahme des Angemessenheitsbeschlusses für den EU-US Data Privacy Framework
Im Dezember 2022 legte die Europäische Kommission einen Entwurf für den Angemessenheitsbeschluss vor. Er durchlief ein Annahmeverfahren, bei dem ihn zunächst der Europäische Datenschutzausschuss (EDSA) prüfte. Im Anschluss musste ein Ausschuss, bestehend aus Vertretern der Mitgliedstaaten, zustimmen. Dann musste das Europäische Parlament ihn kontrollieren. Anschließend konnte die Europäische Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework annehmen.
Privacy Shield 2.0
Das Abkommen EU-US Data Privacy Framework ist der Nachfolger des Privacy Shields. Dieses hat der Europäische Gerichtshof 2020 beanstandet. Für ein dem unionsrechtlichen Standard gleichwertiges Schutzniveau für übermittelte Daten musste der Datenexporteur geeignete Garantien vornehmen, wie Standardschutzklauseln und zusätzliche Maßnahmen.
Drittstaaten außerhalb der EU sind nicht von dem Beschluss EU-US Data Privacy Framework betroffen. Hier müssen immer noch eine aufsichtsbehördliche Genehmigung sowie besondere Schutzmaßnahmen für ein gleichwertiges Datenschutzniveau vorliegen.
Quellen und weiterführende Links
(49 Bewertungen, Durchschnitt: 4,16 von 5)
Loading...Über den Autor
Schreibe einen Kommentar