Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Data Privacy Framework
  • Datenschutz

Data Privacy Framework

Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage für Datenübermittlung an zertifizierte Organisationen in die USA dienen kann.

Damit soll die bisher kritisch begutachtete Datenübertragung nach den USA abgesichert werden.

Vorab aber dazu eine kurze Entstehungsgeschichte des EU‐US Data Privacy Framework um die Einordnung zu erleichtern.

Der Europäische Gerichtshof (EuGH) erklärte 2015 und 2020 in den sog. „Schrems I“‐ und „Schrems II“‐Urteilen zwei frühere Angemessenheitsbeschlüsse für zertifizierte Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US‐Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten für betroffene Personen für ungültig.

Dies lag zu einem sehr großen Teil an den Offenlegungen, dass US‐Sicherheitsbehörden systematisch und massenhaft auf personenbezogene Daten von EU‐Bürgerinnen und EU‐Bürgern zugreifen. Damit wurden die Grundsätze der Besagten gravierend verletzen. Daraufhin erklärte der EuGH im Oktober 2015 in der sog. „Schrems I“‐Entscheidung den „Safe Harbor“‐Angemessenheitsbeschluss der Europäischen Kommission für ungültig.

Der nachfolgende Angemessenheitsbeschluss, der auf das sog. „Privacy Shield“ beruhte, wurde aus ähnlichen Gründen durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinfällig.

I. Das Problem der Übermittlung an sog. unsichere Drittländer

Problematisch seit dem war, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittland (beispielsweise für administrative oder Supportzwecke) um eine Übermittlung nach Drittländern handeln kann. Die seitdem von US-Dienstleistern angeführten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-Bürgern abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erfüllbare) Garantie, die Datenverarbeitung auf EU-Länder zu beschränken, datenschutzrechtlich gesehen, häufig irrelevant .

Als Lösung sollten die von der Europäischen Kommission verfassten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer dienen.

Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gründen, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.

Dieses Problem soll aber nun mit dem EU‐US Data Privacy Framework abgeschafft worden sein.

Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU‐US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Datenübermittlungen an teilnehmende US‐Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss für die gesamten USA.

Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses Übermittlungsinstrumentes vorgenommen werden können.

II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?

Eine Selbstzertifizierung unter dem EU‐US DPF ist jeder US‐Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US‐Bundesbehörde, die für Wettbewerbskontrolle sowie Verbraucherschutz zuständig ist) oder des US Department of Transportation (DOT, US‐Verkehrsministerium) unterliegen, möglich.
Zukünftig können gegebenenfalls weitere Zuständigkeiten hinzukommen.
Bislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbehördlichen Zuständigkeiten unterliegen.

Für die Aufnahme der Zertifizierung in die Liste des US‐Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
Dem Handelsministerium müssen unter anderem bestimmte 25 Informationen übermittelt werden:
• den Namen der betreffenden US‐Organisation (US‐Unternehmen oder US‐Tochtergesellschaften),
• den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
• die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
• die gewählte Überprüfungsmethode,
• den einschlägigen unabhängigen Regressmechanismus und
• die für die Durchsetzung der Grundsätze zuständigen gesetzlichen Stelle.

Werden sämtliche Anforderungen nach Überprüfung durch das Handelsministerium erfüllt, erklären die jeweiligen US‐Organisationen öffentlich, dass sie sich zur Einhaltung der Vorgaben des EU‐US DPF verpflichten, ihre Datenschutzrichtlinien zur Verfügung zu stellen und diese vollständig umsetzen.

Zur Überprüfung wird eine „Data Privacy Framework List“ veröffentlicht, welche diejenigen US‐Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU‐US DPF abgeschlossen haben.

Nur Übermittlungen an dort aufgelistete US‐Organisationen können auf den EU‐US DPF gestützt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverhältnisses eine Überprüfung erfolgen, ob die jeweilige US-Organisation eine entsprechend gültige Zertifizierung besitzt.

Auf Grundlage des EU‐US DPF, können personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, übermittelt werden.

Zum Erhalt der Zertifizierung erfolgt eine jährliche „Neu‐Zertifizierung“ mit Verpflichtungserklärungen gegenüber dem Handelsministerium und einer erneuten Prüfung durch dieses.

Die FTC, deren Zuständigkeit in 15 U.S.C. § 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschränkte Zuständigkeiten hat.

Sollte der Datenexporteur daher Übermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU/US DPF erfolgen. Betroffen sind insbesondere die Betreiber öffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau prüfen, ob der Datenimporteur auf der EU/US/DPF /Liste gelistet wurde.

III. Welche Übermittlungen sind erfasst?

Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.

Allerdings sind keine Datenübermittlungen von Stellen außerhalb der EU (EWR), welche der DS‐GVO gem. Art. 3 Abs. 2 DS‐GVO unterfallen, an Organisationen in den USA, welche in der EU‐US‐DPF‐Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven. Diese Daten können nicht auf Grundlage des EU‐US DPF übermittelt werden.

Bei Beschäftigtendaten, welche im Beschäftigungskontext übermittelt werden, muss vorher geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.

Zurück
© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo