Eine bedeutsame Veränderung im Datenschutz ist eingetreten – wir nehmen sie genauer unter die Lupe.
Data Privacy Framework
Das frisch eingeführte Datenschutzabkommen zwischen der EU und den USA, das unter dem Namen „Data Privacy Framework“ bekannt ist, hat die Bühne betreten und sorgt für Aufsehen. Dieses Abkommen, das von der Europäischen Kommission mit den USA abgeschlossen wurde, hat das Ziel, Datenschutzstandards zu wahren und ein solides Fundament für Datenschutz und Rechtssicherheit zu legen.
Datenübertragung in die USA
Aber was bedeutet das konkret für Unternehmen, die Daten an Unternehmen in den USA übertragen möchten?
Hier sind die essenziellen Punkte, die es zu beachten gilt:
- Teilnahme am Datenschutzrahmen EU-USA: Unternehmen, die personenbezogene Daten von der EU an Unternehmen in den USA übertragen möchten, müssen dem sogenannten Framework in den USA beitreten. Dieser Schritt bedeutet, dass sie sich dazu verpflichten, die darin festgelegten Datenschutzpflichten gemäß EU-Standards einzuhalten.
- Verantwortung für Datenschutzpflichten: Dies schließt verschiedene Verpflichtungen ein, darunter die Löschung von Daten, wenn der ursprüngliche Zweck ihrer Speicherung nicht mehr gegeben ist, sowie den Schutz der Daten beim Weitergeben an Dritte.
- Beschränkter Zugriff durch US-Nachrichtendienste: Der Zugriff von US-Nachrichtendiensten auf Daten aus der EU wird auf das notwendige und angemessene Maß begrenzt. Unternehmen müssen sicherstellen, dass der Zugriff auf ihre übermittelten Daten im Einklang mit den vorgegebenen Beschränkungen steht.
- Datenschutzüberprüfungsgericht: Ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC) wird eingerichtet, an das Einzelpersonen in der EU Beschwerden im Zusammenhang mit der Erhebung und Nutzung ihrer Daten durch US-Nachrichtendienste richten können. Unternehmen sind angehalten, bei der Zusammenarbeit mit diesem Gericht zu kooperieren, wenn Beschwerden eingehen.
- Regelmäßige Überprüfung: Die Einhaltung des Datenschutzabkommens wird regelmäßig von der Europäischen Kommission, europäischen Datenschutzbehörden und zuständigen US-Behörden überwacht. Unternehmen sollten sich auf potenzielle Überprüfungen vorbereiten und sicherstellen, dass sie die Rahmenbedingungen kontinuierlich erfüllen.
Gibt es Zertifizierungen und Verträge?
Es ist wichtig zu betonen, dass für den Datenaustausch keine zusätzlichen Maßnahmen erforderlich sind, sofern das empfangende Unternehmen in den USA gemäß dem EU-US-Datenschutzrahmen zertifiziert ist UND entsprechende Verträge zwischen den Unternehmen abgeschlossen wurden (Controller to Controller, Controller to Processor). Unternehmen in der EU müssen vor der Datenübermittlung prüfen, ob das US-Unternehmen sich dem Framework unterworfen hat. Die Liste der zertifizierten Organisationen wird vom U.S. Department of Commerce veröffentlicht.
Verantwortung der EU-Unternehmen
Insgesamt liegt es in der Verantwortung der EU-Unternehmen, sicherzustellen, dass sie mit zertifizierten US-Unternehmen zusammenarbeiten, die die erforderlichen Datenschutzstandards einhalten. Die Zertifizierung und Überwachung dienen dazu, die Daten der EU-Bürger angemessen zu schützen und den transatlantischen Datenaustausch auf eine vertrauenswürdige Grundlage zu stellen.
Ein Tipp zum Abschluss
Nehmen Sie das Thema ernst. Nicht alle US-Software-Provider haben sich bisher dem Framework unterworfen, hier muss man sorgfältig prüfen. Entsprechende Datenverarbeitungsverträge müssen trotzdem abgeschlossen werden (Stichwort Auftragsverarbeitervertrag!). Wir unterstützen Sie auch bei diesem Thema selbstverständlich jederzeit gerne und monitoren permanent die „Mitglieder“ des Frameworks.