Interessante Fragen zum neuen Data Privacy Framework:

Im Framework wird auf Seite 60 wird darauf hingewiesen, dass US-Behörden nur unter bestimmten Bedingungen auf personenbezogene Daten zugreifen dürfen und dass der Zugriff und die weitere Verwendung der Daten auf das beschränkt sein müssen, was für das öffentliche Interesse erforderlich und angemessen ist.

Werden die bestimmten Bedingungen näher konkretisiert?

Es wird nicht näher auf die bestimmten Bedingungen eingegangen, unter denen US-Behörden auf personenbezogene Daten zugreifen dürfen. Es wird darauf hingewiesen, dass der Zugriff und die weitere Verwendung der Daten auf das beschränkt sein müssen, was für das öffentliche Interesse erforderlich und angemessen ist*.

*Wird die Beschränkung oder Angemessenheit, was für das öffentliche Interesse erforderlich und angemessen ist, näher definiert?

In der Implementing Decision wird nicht näher definiert, was für das öffentliche Interesse erforderlich und angemessen ist.

Es wird jedoch darauf hingewiesen, dass Beschränkungen und Limitierungen des Schutzes personenbezogener Daten nur insofern gelten dürfen, wie es strikt notwendig ist, um spezifische Ziele des öffentlichen Interesses zu erreichen**.

**Was sind die spezifische Ziele des öffentlichen Interesses?

Die Implementing Decision nennt keine spezifischen Ziele des öffentlichen Interesses, für die Beschränkungen und Limitierungen des Schutzes personenbezogener Daten zulässig sind.

Was sind die Verpflichtungen, die am Framework teilnehmende US-Firmen einhalten müssen?

Auf Seite 101 wird darauf hingewiesen, dass Organisationen, die am EU-US-Datenschutzschild teilnehmen, verpflichtet sind:

  1. Eine konforme Datenschutzrichtlinie zu entwickeln.
  2. Sich öffentlich zu den „EU-US-Datenschutzschild-Grundsätzen“, einschließlich der ergänzenden Grundsätze, zu bekennen, damit das Bekenntnis unter US-Recht durchsetzbar wird.
  3. Jährlich ihre Einhaltung gegenüber dem Department of Commerce zu zertifizieren.
  4. Kostenlose, unabhängige Streitbeilegungsmechanismen für Einzelpersonen bereitzustellen, um Beschwerden über die Einhaltung der Grundsätze zu bearbeiten.
  5. Die Untersuchung und Beilegung von Beschwerden durch die zuständigen Datenschutzbehörden zu erleichtern.
  6. Die Verarbeitung personenbezogener Daten im Einklang mit den Grundsätzen und den ergänzenden Grundsätzen zu gewährleisten.
  7. Die Weitergabe personenbezogener Daten an Dritte nur in Übereinstimmung mit den Grundsätzen und den ergänzenden Grundsätzen zu ermöglichen.
  8. Die Einhaltung der Grundsätze und der ergänzenden Grundsätze durch ihre Vertreter und Unterauftragnehmer sicherzustellen.
  9. Die Zusammenarbeit mit dem Department of Commerce, der Federal Trade Commission (FTC) und anderen zuständigen Behörden bei der Durchsetzung der Grundsätze und der ergänzenden Grundsätze zu erleichtern.
  10. Die Einhaltung der Grundsätze und der ergänzenden Grundsätze durchzusetzen und Sanktionen zu verhängen, wenn die Einhaltung nicht gewährleistet ist.

Was genau schreibt die Zertifizierung vor, um jährlich ihre Einhaltung gegenüber dem Department of Commerce zu dokumentieren und um die Zertifizierung zu erlangen?

Die Überprüfungen umfassen:

  1. die Bestätigung der Organisationen zur Einhaltung der Grundsätze und der ergänzenden Grundsätze gegenüber dem Department of Commerce;
  2. die Überprüfung der Datenschutzrichtlinie der Organisationen, um sicherzustellen, dass sie den Anforderungen des Notice-Prinzips entspricht,
  3. die Überprüfung, ob die Organisationen eine Verbindung zu dem richtigen Beschwerdeformular auf der Website des zuständigen Streitbeilegungsmechanismus herstellen.

Es gibt jedoch keine spezifischen Vorgaben, wie die Zertifizierung durchgeführt werden soll, da dies von Organisation zu Organisation unterschiedlich sein kann.

Weitere spannende Themen zum Datenschutz