Was lange dauert, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Pri-vacy Framework. Sie sind möglicherweise noch nicht mit diesem Begriff vertraut? Es handelt sich um eine neue rechtliche Grundlage für die Übermittlung von Daten in die USA. Dabei gibt es einige Schwierigkeiten zu beachten.
Der 16. Juli 2020 weckt negative Erinnerungen
Für Unternehmen, die auf Datenübermittlungen in die USA angewiesen sind, war der 16. Juli 2020 ein schwarzer Tag. Zu dieser Zeit erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum „Privacy Shield“ für ungültig. Ab diesem Tag konnten Unternehmen Datenübermittlungen in die USA nicht mehr auf den Angemessenheitsbeschluss als Rechtsgrundlage stützen.
Dies war schmerzhaft, da Datenübermittlungen auf Basis des „Privacy Shields“ nur einen geringen rechtlichen Aufwand erforderten Im Gegensatz dazu waren alle möglichen Alternativen mit großen bürokratischen Hürden verbunden.
Der rechtliche Unsicherheitszustand hat nun ein Ende
Seit dem 10.Juli 2023 gibt es wieder einen Angemessenheitsbeschluss der EU-Kommission, den Unternehmen zur Übertragung von Daten in die USA nutzen können. Darin ist festgelegt dass unter bestimmten Bedingungen US-Unternehmen ein angemessenes Datenschutzniveau bieten müssen.
Es sei jedoch darauf hingewiesen: unter bestimmten Bedingungen. Doch wenn diese Bedingungen erfüllt sind funktioniert alles wieder so wie vor dem 16. Juli 2020 mit Hilfe des „Privacy Shields“. Unternehmen in der EU können also wieder personenbezogene Daten an ihre US-Geschäftspartner übermitteln, ohne zusätzliche Datenschutzregelungen vereinbaren zu müssen.
Die Begeisterung hält sich dennoch in Grenzen
Die Wirtschaft hat die neuen Regelungen dankbar aufgenommen. Immerhin erleichtern sie erheblich den Alltag im Bereich Datenschutz. Jedoch ist echte Begeisterung selten zu spüren. Stattdessen herrscht eine gewisse Skepsis über die Zukunft der neuen Regelungen vor. Alles deutet darauf hin, dass es früher oder später dazu kommen wird, dass auch diese vom EuGH rechtlich geprüft werden. Werden sie dann Bestand haben?
So verständlich solche Befürchtungen sind – im Augenblick helfen die neuen Regelungen wirklich weiter.
Das Grundschema nachdem sie funktionieren ist relativ einfach: US-Unternehmen können sich in einer Art Register für den Datenschutz eintragen lassen. Dieses trägt den Namen „Data Privacy Framework List“. Um dies tun zu dürfen, müssen viele Voraussetzungen erfüllt sein. So muss zum Beispiel ein angemessenes Maß an Datensicherheit vorhanden sein.
Wenn ein US-Unternehmen diesen Zertifizierungsprozess erfolgreich abgeschlossen hat, können seine Geschäftspartner aus der EU darauf vertrauen ,dass das amerikanische Unternehmen adäquaten Datenschutz bietet. Dadurch wird die Übertragung personenbezogener Daten dorthin ermöglicht.
Für Personaldaten gelten jedoch besondere Regeln
Obwohl auf dieser Basis auch die Übermittlung von Personaldaten zulässig ist,gibt es zusätzliche Verpflichtungen für US-Unternehmen.Dazu gehört besonders die Zusammenarbeit mit Datenschutz-Aufsichtsbehörden in der EU.
Die Zertifizierung muss jährlich erneuert werden US-Unternehmen, die auf der „Data Privacy Framework List“ stehen, müssen ihre Zertifizierung jedes Jahr aktualisieren. Andernfalls werden sie von der Liste gestrichen. Daher müssen sich ihre Geschäftspartner aus der EU jedes Jahr vergewissern , dass die Zertifizierung erneuert wurde. Im Moment richten alle betroffenen Unternehmen in der EU, die dafür notwendigen Prozesse ein, wenn diese nicht ohnehin schon vorhanden sind.
Microsoft 365 bleibt eine Herausforderung
Viele Unternehmen hatten gehofft, dass dieser neue Angemessenheitsbeschluss alle Probleme bei Datenübertragungen in die USA lösen würde. Dies galt insbesondere für den Einsatz von Microsoft 365. Jedoch haben einige Datenschutzaufsichtsbehörden bereits Bedenken geäußert. Sie weisen daraufhin dass immer noch unklar sei welche Daten Microsoft in den USA verarbeitet und was damit geschieht. Ob diese Behauptung wahr ist oder nicht, steht zur Debatte. Allerdings steht fest dass durch diesen neuen Angemessenheitsbeschluss die Pflicht bestehen bleibt jegliche Datenverarbeitung transparent zu machen. Wenn es Unklarheiten gibt, bietet dieser Beschluss keine Hilfe. Es gilt weiterhin Lösungen zu finden.
Für weitere Informationen nehmen Sie bitte Kontakt zu mir auf: Datenschutz Beratung