Das Data Privacy Framework ist da

Die EU-Kommission hat mit ihrem Beschluss zum EU-U.S. Data Privacy Framework (DPF) zum dritten Mal eine Regelung zum Datenverkehr mit den USA geschaffen. [...]

Foto: SteveBuissinne/Pixabay

Die EU-Kommission hat mit ihrem mit Spannung erwarteten Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF) zum dritten Mal eine Regelung zum Datenverkehr mit den USA geschaffen. Die Vorgänger, Safe Harbor (2015) und Privacy Shield (2020), wurden aufgrund von Bedenken hinsichtlich der Überwachung durch die US-Regierung und des fehlenden Rechtsschutzes für EU-Bürger gekippt. Seit dem 11. Juli 2023 erlaubt der Angemessenheitsbeschluss wieder die Übermittlung personenbezogener Daten an US-zertifizierte Unternehmen.

Was bedeutet das für Unternehmen?

Nach der Einigung zwischen der Regierung Biden und der EU-Kommissionspräsidentin von der Leyen auf einen neuen transatlantischen Datenschutzpakt im März 2022 erließ der US-Präsident die Executive Order (EO) 14086, um die vom EuGH in seinem Schrems-II-Urteil aufgeworfenen Fragen zu klären.

Die EU-Kommission ist der Ansicht, dass das DPF die vom EuGH geäußerten Bedenken ausräumt, indem der Umfang der US-Überwachungstätigkeiten auf das notwendige und verhältnismäßige Maß beschränkt wird und der Data Protection Review Court (DPRC) eingerichtet wird, um EU-Bürgern die Möglichkeit zu geben, vor einem unabhängigen Gericht Rechtsmittel einzulegen.

Mit der Annahme dieses Angemessenheitsbeschlusses wird davon ausgegangen, dass die Unternehmen, die die Einhaltung der DSGVO in den USA unter dem DPF-Programm zertifiziert haben, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

Was können US-Unternehmen jetzt tun?

Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es US-Unternehmen, im Wege der Selbstzertifizierung ihre Konformität mit dem DPF zu bestätigen. Die Entscheidung zur Selbstzertifizierung für Unternehmen ist freiwillig.

Sobald ein Unternehmen sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass es sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar. Unternehmen, die ihre Privacy-Shield-Zertifizierung seit 2020 aufrechterhalten haben, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben.

Hierfür gilt eine Übergangsfrist von drei Monaten. Unternehmen, die den Zertifizierungsprozess nicht durchlaufen möchten, müssen wie bisher auf andere Transfermechanismen wie die EU-Standardvertragsklauseln oder die sogenannte Binding Corporate Rules zurückgreifen.

Wie geht es weiter?

Die Angemessenheitsentscheidung wird von der EU-Kommission alle vier Jahre überprüft. Die erste Überprüfung ist für 2024 geplant. Stellt die EU-Kommission dabei fest, dass das DPF kein angemessenes Schutzniveau bietet, kann sie die Angemessenheitsentscheidung aussetzen, ändern, aufheben oder ihren Geltungsbereich einschränken.

Max Schrems, der die bisherigen EU-U.S.-Transferpakte zu Fall gebracht hat, hat bereits angekündigt, dass er auch das DPF vor nationalen und EU-Gerichten anfechten wird. Wie lange es dauern wird, bis wir möglicherweise eine Schrems-III-Entscheidung haben, kann niemand genau sagen.

*Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor. www.fieldfisher.de


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*