Am 10. Juli 2023 gab die Europäische Kommission bekannt, dass sie eine Angemessenheitsentscheidung im Rahmen des EU-US-Datenschutzrahmens (DPF) angenommen hat.
Sie können nun legale Datenübertragungen aus der EU in die USA vornehmen, sofern Ihr Unternehmen die im Programm beschriebenen Datenschutzmaßnahmen selbst zertifiziert.
Es besteht jedoch immer noch eine gewisse Ungewissheit über die langfristige Zukunft und Nachhaltigkeit des EU-US-DPF-Programms.
In diesem Leitfaden erkläre ich Ihnen alles, was Sie über das DPF-Programm wissen müssen, führe Sie durch den Einhaltungsprozess und erläutere die interessante Geschichte der internationalen Datenübermittlung zwischen den USA und der Europäischen Union.
- Was ist das Data Privacy Framework (DPF) Programm?
- Für wen gilt das Datenschutz-Rahmenprogramm?
- Was müssen Unternehmen über den DPF wissen?
- Was sind die wichtigsten Anforderungen des Datenschutzrahmens?
- Wer setzt das Datenschutz-Rahmenprogramm durch?
- Eine kurze Geschichte des EU-US-Datenschutzrahmens
- Wie Termly bei der Einhaltung des Datenschutzes hilft
- Zusammenfassung
Was ist das Data Privacy Framework (DPF) Programm?
Das Data Privacy Framework (DPF) Programm ist ein Angemessenheitsbeschluss, der entwickelt wurde, um den transatlantischen Handel zu erleichtern und einen zuverlässigen Mechanismus für die Übermittlung personenbezogener Daten aus der EU, dem Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich (UK), Gibraltar und der Schweiz in die Vereinigten Staaten zu schaffen.
Sie stellt sicher, dass die Datenverarbeiter in den USA die Datenschutzgesetze der EU, des Vereinigten Königreichs und der Schweiz wie DSGVO, des Vereinigten Königreichs DSGVO und das Bundesdatenschutzgesetz (FDPA) angemessen einhalten.
Technisch gesehen besteht es aus den folgenden drei Hauptrahmen, die für jeden Standort gelten:
- Der EU-US-Datenschutzrahmen (EU-U.S. DPF)
- Die britische Erweiterung des EU-US-Datenschutzrahmens (U.K. Extension to the EU-U.S. DPF)
- Das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF)
Was ist eine Angemessenheitsentscheidung?
Ein Angemessenheitsbeschluss ist ein förmliches Verfahren der Europäischen Kommission, mit dem festgestellt wird, dass ein Drittland oder eine internationale Organisation personenbezogene Daten von Personen in der EU, dem EWR, dem Vereinigten Königreich und der Schweiz angemessen schützen kann.
Nach der Datenschutz-Grundverordnung (DSGVO ) ist ein Angemessenheitsbeschluss erforderlich, damit internationale Übermittlungen ohne weitere Genehmigung einer Aufsichtsbehörde erfolgen können.
Es wurde vom EU-Gesetzgeber im Jahr 2023 verabschiedet und eine Website für den DPF-Rahmen entwickelt, auf der alle Unternehmen aufgeführt sind, die an dem Programm teilnehmen.
Für wen gilt das Datenschutz-Rahmenprogramm?
Das DPF-Programm betrifft Unternehmen in den Vereinigten Staaten, die personenbezogene Daten von Personen aus der EU, dem EWR, Großbritannien, Gibraltar und der Schweiz auf Server in den USA übertragen wollen.
Im nächsten Abschnitt werde ich kurz darauf eingehen, wer von den drei im Rahmen dieses Programms geschaffenen Datenschutzrahmen betroffen ist.
EU-U.S. DPF
Der EU-US-Datenschutzrahmen gilt für die Übermittlung personenbezogener Daten von Einzelpersonen in der EU und dem EWR an teilnehmende Organisationen in den Vereinigten Staaten, deren Datenverarbeitungspraktiken mit dem EU-Recht übereinstimmen - in diesem Fall die DSGVO.
Die EU-U.S. DPF-Prinzipien traten am 10. Juli 2023 in Kraft.
Erweiterung des EU-U.S. DPF auf Großbritannien
Die britische Erweiterung des EU-US-Datenschutzrahmens betrifft US-Unternehmen, die personenbezogene Daten von Einzelpersonen aus dem Vereinigten Königreich oder Gibraltar auf Server in den Vereinigten Staaten übertragen wollen. Sie ermöglicht es diesen US-Organisationen, die Einhaltung der DPF selbst zu zertifizieren.
Die britische Erweiterung des EU-US-DSGVO wurde am 17. Juli 2023 angenommen und trat am 12. Oktober desselben Jahres in Kraft.
Schweiz-U.S. DPF
Das Swiss-U.S. Data Privacy Framework gilt für US-amerikanische Unternehmen, die personenbezogene Daten von Personen in der Schweiz auf Server in den USA übertragen wollen.
Die Swiss-U.S. DPF Principles wurden am 14. August 2024 verabschiedet und traten am 15. September desselben Jahres in Kraft.
"US-Unternehmen, die auf dem EU-Markt tätig sind, werden von dem Datenschutzrahmen in hohem Maße profitieren. Die DPF wird es US-Unternehmen ermöglichen, auf EU-Daten zuzugreifen und mit ihnen umzugehen, ohne dass sie Folgenabschätzungen für den Datentransfer durchführen, SCCs einbauen oder zusätzliche Schritte unternehmen müssen." - Ali Talip Pınarbaşı, CIPP/E, & LLM
Was müssen Unternehmen über den DPF wissen?
Im Rahmen dieses neuen Rahmenprogramms für den Datenschutz müssen die Unternehmen mehrere wesentliche Aspekte beachten.
EU-U.S. DPF Programm und Teilnahme
Im Rahmen des DPF-Programms können sich US-Organisationen selbst zertifizieren lassen, dass sie bestimmte Rahmenbedingungen einhalten.
Es ist jedoch wichtig zu wissen, dass die Teilnahme an der britischen Erweiterung der DPF EU-USA ausdrücklich die vorherige Teilnahme an der DPF EU-USA voraussetzt.
Einhaltung des EU-U.S. DFP-Programms
Organisationen, die zuvor selbst die Einhaltung des EU-U.S. Privacy Shield oder des Swiss-U.S. Privacy Shield zertifiziert haben, müssen nun die entsprechenden DPF-Prinzipien einhalten, um weiterhin in den Genuss der Vorteile der jeweiligen Rahmenwerke zu kommen.
Datenschutz-Rahmenliste
Um sich auf die DPF-Prinzipien für Datenrahmen zu stützen, müssen Organisationen auf der Data Privacy Framework List stehen.
Die International Trade Administration(ITA) aktualisiert diese Liste auf der Grundlage der jährlich neu eingereichten Zertifizierungen und kann Organisationen, die die Anforderungen nicht erfüllen, streichen.
Ressourcen für den EU-U.S. DPF-Rahmen
Das ITA stellt Ressourcen und häufig gestellte Fragen (FAQs) zur Verfügung, um Organisationen zu unterstützen, die an einer Selbstzertifizierung ihrer Einhaltung der DPF-Rahmenbedingungen interessiert sind.
"Die Unternehmen müssen in ihren Datenschutzrichtlinien eine öffentliche Erklärung abgeben, in der sie sich zur Einhaltung der Grundsätze des Datenschutzrahmens verpflichten, und die Betroffenen über die ihnen durch den Rahmen gewährten Rechte informieren. Wichtig ist auch, dass die Unternehmen nur die personenbezogenen Daten verarbeiten, die für den Zweck der Verarbeitung relevant sind, und die Bestimmungen zur Datenaufbewahrung einhalten." - Teodor Stanciu, CIPP/E, CIPM
Was sind die wichtigsten Anforderungen des Datenschutzrahmens?
Um die Einhaltung des EU-U.S. DPF-Programms selbst zu zertifizieren, müssen Sie bestimmte Anforderungen erfüllen, die wir gemeinsam durchgehen wollen.
Information der Bürger über die Datenverarbeitung
Im Rahmen des EU-US-DSGVO-Programms müssen Sie Einzelpersonen durch eine umfassende Datenschutzrichtlinie über Ihre Datenverarbeitungsaktivitäten informieren.
Ihre Datenschutzpolitik muss die Verpflichtung Ihrer Organisation zur Einhaltung der DPF-Prinzipien erklären und nach US-Recht durchsetzbar sein.
Sie müssen auch Links zur Website des DPF-Programms und zu unabhängigen Beschwerdemechanismen enthalten, über die Einzelpersonen Beschwerden zur Untersuchung einreichen können.
Darüber hinaus muss der Inhalt Ihrer Datenschutzerklärung die einzelnen Nutzer über ihre Rechte auf Datenzugriff, die Offenlegungspflicht gegenüber Behörden, die Durchsetzungsbefugnis und die Haftung für die Weitergabe von Daten informieren.
Kostenlose und zugängliche Streitschlichtung
Sie müssen kostenlose Streitbeilegungsverfahren anbieten und innerhalb von 45 Tagen auf individuelle Nutzerbeschwerden reagieren, um sich im Rahmen des EU-U.S. DPF-Programms selbst zu zertifizieren.
Sie müssen einen unabhängigen Mechanismus zur kostenlosen Beilegung von Beschwerden und Streitigkeiten vorsehen.
Das ITA erleichtert die Bearbeitung der bei den Datenschutzbehörden eingereichten Beschwerden innerhalb eines Zeitrahmens von 90 Tagen.
Sie müssen auch ein verbindliches Schiedsverfahren anbieten, wenn Beschwerden nicht durch andere Mechanismen gelöst werden können.
Zusammenarbeit mit dem U.S. Department of Commerce
Eine weitere Anforderung im Rahmen des DPF-Programms zwischen der EU und den USA ist die Zusammenarbeit mit dem US-Handelsministerium bei Anfragen oder Ersuchen, die an das ITA gerichtet werden.
Insbesondere müssen Sie unverzüglich auf alle Anfragen im Zusammenhang mit dem DPF-Programm antworten.
Wahrung der Datenintegrität und Zweckbeschränkung
Gemäß dem DPF-Programm der EU und der USA müssen Sie die Erhebung personenbezogener Daten auf die Zwecke beschränken, die Sie für die Verarbeitung der Daten angeben.
Unter DSGVO ist dies auch als Ihre Rechtsgrundlage bekannt.
Darüber hinaus müssen Sie auch alle Bestimmungen zur Datenaufbewahrung von DSGVO einhalten. Dies bedeutet, dass Sie die Daten nur so lange aufbewahren dürfen, wie es zur Erreichung der von Ihnen beschriebenen Zwecke für die Verarbeitung der Informationen erforderlich ist.
Sicherstellung der Verantwortlichkeit für an Dritte übermittelte Daten
Für die Übermittlung von Daten an einen Dritten müssen Organisationen die so genannten Grundsätze der Benachrichtigung und Wahlmöglichkeit einhalten und einen Vertrag abschließen, der begrenzte und spezifizierte Zwecke und Schutzniveaus gewährleistet.
Die "Grundsätze der Benachrichtigung und Wahlmöglichkeit" bedeuten im Wesentlichen, dass Personen darüber informiert werden, welche personenbezogenen Daten Sie sammeln, und dass sie die Wahl haben, wie diese Daten verarbeitet oder verwendet werden.
Organisationen müssen bei der Übermittlung von Daten an Dritte für begrenzte Zwecke und den Schutz der Privatsphäre sorgen und Maßnahmen für eine ordnungsgemäße Verarbeitung ergreifen.
Transparenz in Bezug auf Durchsetzungsmaßnahmen
Eine weitere wichtige Anforderung des EU-US-Datenschutzrahmenprogramms ist die Transparenz der Compliance-Berichte.
Organisationen müssen relevante DPF-bezogene Abschnitte ihrer Compliance-Berichte veröffentlichen, wenn sie einer Anordnung der Federal Trade Commission(FTC) oder eines Gerichts wegen Nichteinhaltung der Datenschutzbestimmungen unterliegen.
Sicherstellen, dass die Verpflichtungen eingehalten werden, solange die Daten gespeichert sind
Die Einrichtungen unterliegen bestimmten Datenschutzverpflichtungen, wenn sie aus dem DPF-Programm ausscheiden, aber die erfassten personenbezogenen Daten behalten wollen.
Insbesondere müssen die Organisationen nach dem Ausstieg aus dem System jährlich bestätigen, dass sie sich verpflichten, alle Grundsätze der DSGVO auf die aufbewahrten Daten anzuwenden oder einen angemessenen Schutz durch andere zulässige Mittel zu gewährleisten.
Wer setzt das Datenschutz-Rahmenprogramm durch?
Als Teil des US-Handelsministeriums verwaltet die International Trade Administration (ITA) das DPF-Programm.
Berechtigte Organisationen mit Sitz in den USA können ihre Konformität mit der EU-US-DSGVO, der britischen Erweiterung der EU-US-DSGVO oder der Swiss-US-DSGVO über die Website des ITA-Programms zum Datenschutz (Data Privacy Framework, DPF) selbst zertifizieren.
Sobald eine Organisation ihre Konformität selbst zertifiziert hat, muss sie sich an die DPF-Prinzipien halten, die nach amerikanischem Recht durchsetzbar sind.
Eine kurze Geschichte des EU-US-Datenschutzrahmens
Wie versprochen, werde ich die Geschichte der Übermittlung personenbezogener Daten zwischen den USA und Europa erläutern, damit Sie verstehen, wie es zum EU-US-Datenschutzrahmenprogramm gekommen ist - und warum bereits über einen möglichen Fall Schrems III diskutiert wird.
Der "Safe Harbor"-Rahmen und Schrems I
Im Jahr 2000 wurde der internationale Datentransfer zwischen den USA und Europa durch das Safe-Harbor-Abkommen geregelt. Dieses Abkommen bestand über ein Jahrzehnt und ermöglichte den grenzüberschreitenden Datenverkehr ohne Standardvertragsklauseln (SCC).
Darin werden sieben Schlüsselprinzipien umrissen, unter anderem:
- Hinweis
- Auswahl
- Weiterer Transfer
- Sicherheit
- Integrität der Daten
- Zugang
- Vollstreckung
Doch am 6. Oktober 2015 erließ der Gerichtshof der Europäischen Union (EuGH) ein Urteil, mit dem das Safe-Harbor-Abkommen für ungültig erklärt wurde.
Ihre Argumentation?
Max Schrems, ein österreichischer Datenschutzaktivist und Rechtsanwalt, der damals Jura studierte, reichte beim irischen Datenschutzbeauftragten eine Beschwerde ein, in der er behauptete, dass Facebook Irland seine persönlichen Daten unrechtmäßig an die US-Regierung weitergegeben habe.
Dieser Fall, der als Schrems I bekannt ist, wurde nach den Enthüllungen von Edward Snowden über das Überwachungsprogramm der National Security Agency (NSA) bekannt.
Da die Website DSGVO den Zugriff auf personenbezogene Daten nur dann erlaubt, wenn er unbedingt erforderlich ist, während die US-Gesetze den Behörden einen umfassenderen Zugriff auf diese Informationen gestatten, hat der EuGH das Safe-Harbor-Programm gekippt.
Das EU-US-Datenschutzschild und Schrems II
Am 12. Juli 2016 ersetzte die Europäische Kommission den Safe Harbor-Rahmen durch das EU-U.S. Privacy Shield.
Das in Zusammenarbeit zwischen dem US-Handelsministerium und der Europäischen Kommission entwickelte EU-U.S. Privacy Shield wurde am 16. Juli 2020 vom EuGH mit der Begründung gekippt, dass die US-Gesetze personenbezogene Daten aus der EU nach DSGVO nicht schützen.
Auch dies ist das Ergebnis eines Rechtsstreits zwischen Schrems und Facebook Irland, bekannt als Schrems II.
Schrems aktualisierte seine ursprüngliche Beschwerde und behauptete, dass Facebook seine persönlichen Daten weiterhin unrechtmäßig in die USA übermittelt.
In diesem Fall wurde die Verwendung von Standardvertragsklauseln (SCC) als angemessenes Schutzniveau bestätigt.
Es dauerte drei Jahre, in denen die Europäische Kommission und die US-Regierung debattierten, entwarfen und neu formulierten, bis sie sich auf das aktuelle EU-US-Datenschutzrahmenprogramm einigten .
Die Zukunft des DPF-Programms
Wie sieht also die Zukunft des Datenschutz-Rahmenprogramms aus?
Zu diesem Zeitpunkt scheinen die Dinge noch in der Schwebe zu sein.
Die EU-US-DSGVO ist ein vielversprechendes Instrument zum Schutz der Daten europäischer Verbraucher, da sie die Übermittlung personenbezogener Daten aus dem EWR in die USA ermöglicht.
Es gibt jedoch potenzielle Herausforderungen am Horizont, so dass es für Unternehmen von entscheidender Bedeutung ist, bei der Übermittlung personenbezogener Daten informiert und vorsichtig zu sein.
Ein mögliches Schrems III am Horizont?
Meiner Meinung nach ist die DPF eine begrüßenswerte Entwicklung, die darauf abzielt, ein Gleichgewicht zwischen dem Schutz der Persönlichkeitsrechte und der Erleichterung der notwendigen Datenübermittlung herzustellen.
Obwohl Experten den neuen Rechtsbehelfsmechanismus für robust halten, ist es erwähnenswert, dass Max Schrems (und seine Gruppe NOYB) beabsichtigen, den Rahmen rechtlich anzufechten.
Als datenschutzbewusste Verbraucher müssen wir uns darüber im Klaren sein, dass die DPF einer jährlichen Überprüfung unterzogen wird.
Regelmäßige Evaluierungen zeigen das unermüdliche Engagement der Behörden bei der proaktiven Bewältigung potenzieller Gefahren für die Privatsphäre der Verbraucher.
Um unsere Daten wirksam zu schützen, sollten wir in Erwägung ziehen, unsere Datenübermittlungen in die USA durch zusätzliche Maßnahmen zu ergänzen. Bei Übermittlungen, die nicht in der offiziellen "Data Privacy Framework List" aufgeführt sind, ist besondere Vorsicht geboten.
In solchen Fällen können zusätzliche Maßnahmen wie Standarddatenschutzklauseln oder verbindliche unternehmensinterne Vorschriften eine zusätzliche Sicherheit bieten.
Wenn ein Verbraucher der Meinung ist, dass seine Datenschutzrechte verletzt wurden, hat er die Möglichkeit, eine Beschwerde bei der nationalen Datenschutzbehörde einzureichen und den kürzlich eingeführten Rechtsbehelfsmechanismus in Anspruch zu nehmen.
Die Möglichkeit einer Zusammenarbeit auf Bundesstaatsebene innerhalb der USA, insbesondere mit den kalifornischen Datenschutzbestimmungen, eröffnet Möglichkeiten für noch robustere Datenschutzmaßnahmen und zeigt, dass die Behörden aktiv nach Wegen suchen, um den Schutz der Privatsphäre der Verbraucher zu verbessern, verdeutlicht aber auch die Komplexität des grenzüberschreitenden Datenschutzes.
Zusammenfassend lässt sich sagen, dass der EU-US-Datenschutzrahmen einen bedeutenden Fortschritt beim Schutz personenbezogener Daten bei grenzüberschreitenden Übermittlungen darstellt.
Die Ergänzung von Datenübertragungen durch zusätzliche Sicherheitsvorkehrungen, insbesondere für solche, die nicht unter den Rechtsrahmen fallen, ist ein kluger Schritt zum Schutz Ihres Unternehmens.
Denken Sie daran, dass Ihre Privatsphäre in Ihren Händen liegt.
"Der Datenschutzrahmen hat für Unternehmen auf beiden Seiten des Atlantiks die lang erwartete Klarheit gebracht und die Verfahren für die Übermittlung von Daten zwischen der EU und den USA erheblich vereinfacht. Es ist jedoch unwahrscheinlich, dass dies die letzte Wendung in der Geschichte sein wird, und die Aussicht auf weitere rechtliche Anfechtungen ist am Horizont zu sehen. In Anbetracht der Ähnlichkeiten des Rahmens mit dem früheren 'Privacy Shield' ist es von entscheidender Bedeutung, dass sich die neuen Überwachungs- und Durchsetzungsmechanismen des Rahmens als wirksam erweisen, um seine langfristige Tragfähigkeit zu gewährleisten." - James Ó Nuanáin, CIPP/E, CIPM, CIPT
Wie Termly bei der Einhaltung des Datenschutzes hilft
Wenn Sie Gesetze wie die DSGVO einhalten müssen, ist Termly Ihre zentrale Anlaufstelle.
Unterstützt von unserem Rechtsteam und unseren Datenschutzexperten bieten wir Ihnen alles, was Sie brauchen, von einem rechtssicheren Datenschutzerklärung Generator bis hin zu einer anpassbaren Consent Management Platform (CMP), die Sie so konfigurieren können, dass sie die Anforderungen an Opt-in- und Opt-out-Einwilligungen erfüllt.
Wir bieten auch zusätzliche notwendige Website- und Rechtsrichtlinien, die Unternehmen aller Art dabei helfen, ihren Kundenservice zu optimieren und sich selbst und ihre Kunden online besser zu schützen, wie z. B. unseren AGB Generator und der Generator für Rücksendungen und Rückerstattungsrichtlinie .
Wir bieten kostenlose und kostenpflichtige Optionen an. Termly Pro+ Nutzer erhalten Zugang zu allen unseren Angeboten.
Zusammenfassung
Das EU-US-Datenschutzrahmenprogramm betrifft Unternehmen und Verbraucher auf der ganzen Welt, die Daten aus der EU/dem EWR und den USA sicher übertragen wollen.
Aber die Diskussion über internationale Datenübertragungen von Europa in die USA wird wahrscheinlich nicht hier enden.
Sie können sich darauf verlassen, dass Termly Sie über Neuigkeiten zu dieser Angemessenheitsentscheidung und über mögliche Änderungen informieren wird, falls es eine künftige Aktualisierung geben sollte.
