Das neue EU-US Data Privacy Framework: Fragen und Antworten

Der 10. Juli 2023 ist das Start-Datum für das neue EU-US Data Privacy Framework. Der Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA, den die Europäische Kommission (EK) an diesem Tag freigegeben hat, macht das Abkommen nach dem Safe Harbour und nach dem Privacy Shield erneut möglich.

Die Privatsphäre aller EU-Bürger und die Wirtschaftsbeziehungen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) sollen davon profitieren.

Das neue Abkommen wirft Fragen auf, z.B.:

Was sind die wichtigsten Grundsätze des EU-US Data Privacy Frameworks aus Sicht der EU Kommission:

1. Basierend auf der Angemessenheitsentscheidung sollen personenbezogene Daten frei und sicher zwischen der EU und teilnehmenden US-Unternehmen fließen können.
   
2. Ein neuer Satz von Regeln und verbindlichen Schutzmaßnahmen, um den Zugriff auf Daten durch US-Geheimdienste auf das zu beschränken, was notwendig und verhältnismäßig ist, um die nationale Sicherheit zu schützen; US-Geheimdienste sollen Verfahren einführen, um eine wirksame Überwachung neuer Datenschutz- und Bürgerrechtsstandards sicherzustellen.
   
3. Ein neues zweistufiges Beschwerdesystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugriff von US-Geheimdiensten auf Daten, das einen Datenschutzüberprüfungsgericht umfasst.
   
4. Strikte Verpflichtungen für Unternehmen, die Daten aus der EU verarbeiten, einschließlich der Anforderung, sich selbst zu zertifizieren, dass sie sich an die Standards durch das US-Handelsministerium halten.
   
5. Spezifische Überwachungs- und Überprüfungsmechanismen.

Was ist die Bedeutung einer Angemessenheitsentscheidung?

Wenn es um die Übertragung personenbezogener Daten aus der EU in Drittländer geht, spielt eine sogenannte Angemessenheitsentscheidung eine entscheidende Rolle. Was genau bedeutet das?

Unter der DSGVO ist eine Angemessenheitsentscheidung ein Instrument, das es ermöglicht, personenbezogene Daten aus der EU in Drittländer zu übertragen, welche nach Einschätzung der Kommission ein vergleichbares Schutzniveau für personenbezogene Daten bieten wie die Europäische Union selbst.

Durch diese Angemessenheitsentscheidungen sollen personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR) in ein Drittland übertragen werden, ohne dass dafür weitere Bedingungen oder Genehmigungen erforderlich sind. Übertragungen in das Drittland sollen genauso behandelt werden wie datenschutzkonforme Datenübermittlungen innerhalb der EU.

Die Entscheidung für das neue Framework betrifft die Übertragung von Daten von beliebigen öffentlichen oder privaten Einrichtungen im EWR an US-Unternehmen, die am EU-US-Datenschutzrahmenabkommen teilnehmen.

Durch die Angemessenheitsentscheidungen soll gewährleistet sein, dass persönliche Informationen über Grenzen hinweg fließen können, ohne dass dabei die Datenschutzstandards beeinträchtigt werden. Die Entscheidungen sollen eine wichtige Grundlage bieten, um den transatlantischen Datenaustausch zu erleichtern und gleichzeitig den Schutz der Privatsphäre zu wahren.

Was sind die Kriterien für eine Angemessenheitsentscheidung?

Eine Angemessenheitsentscheidung wird von der Europäischen Kommission erlassen, wenn ein Drittland ein vergleichbares Schutzniveau für personenbezogene Daten wie die Europäische Union bietet. Die Kommission bewertet dabei das Datenschutzniveau des Drittlandes anhand von verschiedenen Kriterien, die in einer umfassenden Bewertung des Datenschutzrahmens des Drittlandes berücksichtigt werden.

Zu den Kriterien, die bei der Bewertung der Angemessenheit des Datenschutzniveaus eines Drittlandes berücksichtigt werden, gehören unter anderem die Existenz von Kernprinzipien des Datenschutzes, individuellen Rechten, unabhängiger Aufsicht und wirksamen Rechtsbehelfen. Die Europäische Kommission hat auch eine Liste von Elementen entwickelt, die bei der Bewertung der Angemessenheit berücksichtigt werden müssen.

Die Kernprinzipien des Datenschutzes umfassen unter anderem die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Die individuellen Rechte umfassen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Die unabhängige Aufsicht bezieht sich auf die Existenz einer unabhängigen Datenschutzbehörde, die für die Überwachung der Einhaltung des Datenschutzrahmens des Drittlandes zuständig ist. Wirksame Rechtsbehelfe beziehen sich auf die Verfügbarkeit von Rechtsmitteln für betroffene Personen, um ihre Datenschutzrechte durchzusetzen.

Die Europäische Kommission bewertet auch die Verfügbarkeit von wirksamen Rechtsbehelfen für betroffene Personen, um ihre Datenschutzrechte durchzusetzen. Dazu gehört beispielsweise die Möglichkeit, Beschwerden bei einer unabhängigen Datenschutzbehörde einzureichen oder gerichtliche Schritte einzuleiten.

Was genau besagen die umfassenden Bewertungen?

Die Elemente, die bei Bewertungen berücksichtigt werden müssen, umfassen die Existenz und effektive Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden, einschlägige Gesetzgebung, die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten sowie die internationalen Verpflichtungen, die das Drittland oder die internationale Organisation eingegangen ist.

Darüber hinaus leiten sich die „Kern“-Datenschutzprinzipien und „Verfahrens-/Durchsetzungs“-Anforderungen, die als Mindestanforderung für eine angemessene Schutzstufe angesehen werden können, aus der EU-Grundrechtecharta und der DSGVO ab.

Das Datenschutzsystem muss auch Unterstützung und Hilfe für einzelne betroffene Personen bei der Ausübung ihrer Rechte und angemessene Abhilfemaßnahmen bieten, einschließlich wirksamer Verwaltungs- und gerichtlicher Rechtsbehelfe, Schadensersatz für Schäden und ein System unabhängiger Schiedsgerichtsbarkeit oder Schiedsgerichtsbarkeit, das die Zahlung von Entschädigungen und die Verhängung von Sanktionen ermöglicht, wo dies angebracht ist.

Wie wird der Zugriff von US-Geheimdiensten auf Daten durch das EU-US Data Privacy Framework eingeschränkt?

Der Zugriff von US-Geheimdiensten auf Daten wird durch das EU-US Data Privacy Framework durch eine Reihe von neuen Regeln und verbindlichen Schutzmaßnahmen eingeschränkt. Zu den wichtigsten Maßnahmen gehören:

1. Neue Regeln und verbindliche Schutzmaßnahmen, die den Zugriff von US-Geheimdiensten auf Daten auf das beschränken, was notwendig und angemessen ist, um die nationale Sicherheit zu schützen.
   
2. US-Geheimdienste müssen Verfahren einführen, um eine wirksame Überwachung neuer Datenschutz- und Bürgerrechtsstandards sicherzustellen.
   
3. Ein neues zweistufiges Beschwerdesystem, das es Europäern ermöglicht, Beschwerden über den Zugriff von US-Geheimdiensten auf ihre Daten einzureichen.
   
4. Ein neues Datenschutzüberprüfungsgericht, das Beschwerden von Europäern über den Zugriff von US-Geheimdiensten auf ihre Daten untersucht und Entscheidungen trifft.
   
5. Starke Verpflichtungen für Unternehmen, die Daten von der EU in die USA übertragen, einschließlich der Anforderung, sich selbst zu zertifizieren, dass sie den Standards des EU-US-Datenschutzrahmens entsprechen.

Wie wird die Einhaltung des EU-US Data Privacy Frameworks durch US-Unternehmen überwacht?

Die Einhaltung des EU-US Data Privacy Frameworks durch US-Unternehmen wird durch eine Reihe von Überwachungs- und Durchsetzungsmechanismen sichergestellt. Zu den wichtigsten Mechanismen gehören:

1. Unternehmen, die Daten von der EU in die USA übertragen, müssen sich selbst zertifizieren, dass sie den Standards des EU-US Data Privacy Frameworks entsprechen. Diese Zertifizierung muss durch das US-Handelsministerium überwacht werden.
   
2. Das US-Handelsministerium wird eine Liste der zertifizierten Unternehmen führen und diese Liste der Öffentlichkeit zugänglich machen.
   
3. Die Einhaltung EU-US Data Privacy Frameworks wird von der Federal Trade Commission (FTC) in den USA überwacht. Die FTC hat die Befugnis, Unternehmen, die gegen den Datenschutzrahmen verstoßen, zu untersuchen und zu bestrafen.
   
4. Europäer können Beschwerden über den Zugriff von US-Geheimdiensten auf ihre Daten bei einem neuen Datenschutzüberprüfungsgericht einreichen. Das Gericht wird die Beschwerde untersuchen und eine Entscheidung treffen, ob der Zugriff auf die Daten durch US-Geheimdienste rechtmäßig war oder nicht. Das Gericht kann auch Anweisungen an das US-Unternehmen geben, um sicherzustellen, dass der Zugriff auf die Daten in Zukunft rechtmäßig ist.

Wann wird das EU-US Data Privacy Framework erstmals überprüft?

Das EU-US Data Privacy Framework wird erstmals im Jahr 2024 einer periodischen Überprüfung unterzogen.

Gibt es bereits Informationen, wie eine Überprüfung ganau aussehen soll?

Die EU-Kommission hat zu den Überprüfungen noch keine detaillierten Angaben gemacht.

Welche kritischen Fragen ergeben sich aus Sicht der EU-Bürger zu diesem Framework?

Es ist bekannt, dass einige Datenschutzaktivisten und Bürgerrechtsgruppen Bedenken hinsichtlich der Wirksamkeit der Überwachungs- und Durchsetzungsmechanismen des Frameworks haben und befürchten, dass US-Geheimdienste weiterhin Zugang zu persönlichen Daten von EU-Bürgern haben könnten. Einige haben auch Bedenken hinsichtlich der Rolle des US-Handelsministeriums bei der Überwachung der Einhaltung des Datenschutzrahmens durch US-Unternehmen geäußert.

Die neu aufkommenden & kritischen Fragen werden wir sammeln und in einem weiteren Post zur Verfügung stellen.

Weitere spannende Themen im Datenschutz

• Leichte Entwarnung für Zoom DSGVO konform nutzen
• ZOOMs neue AGB: keine DSGVO-Konformität!
• Datenschutz und KI in der Praxis – Anonymisierungs Tools und Schulungen
• Interessante Fragen zum neuen Data Privacy Framework:
• Das neue EU-US Data Privacy Framework: Fragen und Antworten