Data Privacy Framework (DPF): Ein Wendepunkt für den transatlantischen Datenschutz
Marc Solans Solé
Economist. Lawyer & Telecomm. Engineer | Former Athlete | Entrepreneur & Investor
Es ist bereits einige Jahre her, seitdem am 16. Juli 2020 der Europäische Gerichtshof (EuGH) das zu dieser Zeit gültige Datenschutzabkommen für die internationale Übertragung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten, das sogenannte Privacy Shield, für ungültig erklärt hat.
In der Zwischenzeit waren Unternehmen gezwungen, alternative Sicherheitsmaßnahmen zu ergreifen, um weiterhin problemlos auf beiden Seiten des Atlantiks operieren zu können. Die Hauptstütze in dieser Hinsicht waren die Standardvertragsklauseln der Europäischen Kommission (SCC) sowie andere Mechanismen wie die Binding Corporate Rules (BCRs).
Das Data Privacy Framework (DPF): Ein neuer Anfang
Mit der Zustimmung zum Data Privacy Framework (DPF) am 10. Juli 2022 scheinen die Europäische Union und die Vereinigten Staaten endlich eine gemeinsame Lösung gefunden zu haben, um den Datenfluss personenbezogener Daten zwischen beiden Regionen zu erleichtern.
Aber was genau ist das Data Privacy Framework?
Das DPF stellt das neue Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten für die internationale Übertragung personenbezogener Daten dar.
Während das Privacy Shield durch den EuGH aufgrund unzureichender Datenschutzgarantien seitens der USA aufgehoben wurde, bringt dieses neue Abkommen verbindliche Schutzmaßnahmen mit sich. Diese Maßnahmen sollen sämtliche Bedenken des EuGH adressieren und die geforderte Privatsphäre sicherstellen, indem der Zugang zu Daten durch US-Geheimdienste auf das absolut Notwendige für spezifische Zwecke begrenzt wird. Zusätzlich erhalten EU-Bürger Möglichkeiten zur Durchsetzung ihrer Rechte und zum Schutz ihrer Daten vor Missbrauch durch US-Unternehmen.
Das neue Rahmenwerk schließt mit der Feststellung ab, dass die USA ein angemessenes Datenschutzniveau gewährleisten, welches mit dem der EU vergleichbar ist. Dies bietet sowohl Bürgern als auch Unternehmen auf beiden Seiten des Atlantiks rechtliche Sicherheit.
Das DPF fordert die Löschung personenbezogener Daten, sobald sie für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind. Des Weiteren sind Sicherheitsvorkehrungen bezüglich des Zugangs zu Daten durch US-Behörden getroffen worden, insbesondere im Hinblick auf polizeiliche, strafrechtliche und nationale Sicherheitszwecke. Der Zugang zu personenbezogenen Daten wird auf das unbedingt Notwendige und Verhältnismäßige beschränkt, um die nationale Sicherheit zu schützen.
Zudem werden Beschwerden von einem "Verantwortlichen für den Schutz der Bürgerrechte" der US-Geheimdienstgemeinschaft geprüft. Diese Person ist für die Gewährleistung der Einhaltung der Grundrechte und der Privatsphäre durch US-Geheimdienstbehörden verantwortlich.
EU-Bürger haben die Möglichkeit, Entscheidungen des "Verantwortlichen für den Schutz der Bürgerrechte" vor dem neu geschaffenen Datenschutzprüfungstribunal (DPRC) anzufechten.
Darüber hinaus haben EU-Bürger Zugang zu Möglichkeiten der Schadensregulierung im Falle einer unsachgemäßen Verarbeitung ihrer personenbezogenen Daten. Dazu gehören unabhängige und kostenlose Streitbeilegungsmechanismen sowie ein Schiedsgericht.
Empfohlen von LinkedIn
Personen können Beschwerden bei ihrer nationalen Datenschutzbehörde einreichen, um sicherzustellen, dass Betroffene sich an eine Behörde in ihrer Nähe wenden können und in ihrer eigenen Sprache kommunizieren können. Die Beschwerden werden dem Datenschutzausschuss der Europäischen Union übermittelt, der sie an die Vereinigten Staaten weiterleitet.
Für wen ist das DPF relevant?
Unternehmen in den USA können sich unter diesem neuen Rahmenwerk zertifizieren lassen (oder ihre Zertifizierung jährlich erneuern). Dabei müssen Organisationen öffentlich ihr Engagement zur Einhaltung der Grundsätze bekunden, ihre Datenschutzrichtlinien bereitstellen und diese in vollem Umfang umsetzen.
Im Rahmen ihres Zertifizierungsantrags müssen Organisationen dem Department of Commerce (DoC) Informationen zur Verfügung stellen, darunter den Namen der betreffenden Organisation, eine Beschreibung der Zwecke, für die die Organisation personenbezogene Daten verarbeiten wird, die von der Zertifizierung erfassten personenbezogenen Daten sowie die gewählte Überprüfungsmethode, den relevanten unabhängigen Rechtsbehelfsmechanismus und die zuständige gesetzliche Stelle, die die Einhaltung der Grundsätze durchsetzen kann.
Alle diese Organisationen und Unternehmen werden in einer öffentlichen Liste erfasst, die für Dritte zur Überprüfung zugänglich ist.
Um rechtliche Sicherheit zu gewährleisten und "falsche Behauptungen" zu verhindern, dürfen Organisationen, die sich erstmals zertifizieren lassen, öffentlich nicht auf ihre Einhaltung der Grundsätze hinweisen, bevor das DoC festgestellt hat, dass der Zertifizierungsantrag der Organisation vollständig ist und die Organisation der DPF-Liste hinzugefügt wurde.
Um im DPF weiterhin Daten von der Europäischen Union zu erhalten, müssen diese Organisationen ihre Teilnahme am Rahmenwerk jährlich erneut zertifizieren lassen. Wenn eine Organisation aus irgendeinem Grund das DPF verlässt, muss sie alle Aussagen löschen, die darauf hinweisen, dass die Organisation weiterhin daran teilnimmt.
Ausblick in die Zukunft
Angesichts der bisherigen Entwicklungen hat die Europäische Kommission ein System zur Überprüfung des DPF implementiert. Die Kommission wird die Situation des Abkommens innerhalb eines Jahres nach Inkrafttreten überprüfen und danach, abhängig von den Bedingungen für die internationale Übertragung personenbezogener Daten, mindestens alle vier Jahre eine erneute Überprüfung durchführen, wie im Artikel 45.3 der Datenschutz-Grundverordnung (DSGVO) festgelegt.
Schlussgedanken
Das Data Privacy Framework markiert zweifellos einen Wendepunkt im transatlantischen Datenschutz. Es bietet rechtliche Sicherheit, Datenschutzgarantien und Rechtsmittel für EU-Bürger und ermöglicht gleichzeitig den reibungslosen Datenfluss zwischen der EU und den USA. Unternehmen sollten sich darauf vorbereiten, von diesem neuen Rahmenwerk zu profitieren und sicherzustellen, dass sie die Grundsätze in vollem Umfang einhalten.
#Datenschutzrahmenwerk #TransatlantischerDatenschutz #EUUS-Datenschutzabkommen #DataSecurityCompliance