MH - Fotolia
Datentransfer in die USA: Anwendungshinweise für Firmen
Personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen in die USA übertragen werden. Die Aufsichtsbehörden geben jetzt Hinweise zum EU-US Data Privacy Framework.
Im Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework (Datenschutzrahmen EU-USA) angenommen. Auf Grundlage dieses neuen Datenschutzrahmens können personenbezogene Daten mit mehr Rechtssicherheit aus der EU an US-Unternehmen übermittelt werden (siehe auch EU-US Data Privacy Framework: Datentransfer in die USA).
Ein Datentransfer in Drittländer ist nur unter bestimmten Bedingungen erlaubt. Damit soll bei der Übermittlung und Weiterverarbeitung sichergestellt sein, dass ein gleichwertiges Datenschutzniveau aufrechterhalten wird. Seit dem Juli 2023 liegt nun ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission für Datenübertragungen in die USA vor. Damit ist jedoch nicht alles automatisch geregelt. Die Datenschutzkonferenz (DSK) hat nun Anwendungsweise zum Anwendungshinweise zum EU‐US Data Privacy Framework veröffentlicht.
Die DSK ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die vorgelegten Anwendungshinweise enthalten unter anderem Informationen für Datenexporteure, sprich für die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln. So werden neben den Details des Data Privacy Framework auch erst einmal die Begrifflichkeiten geklärt, die ja nicht immer selbsterklärend sind.
EU-US Data Privacy Framework: Informationen für Unternehmen und Personen
Im Dokument geht es unter anderem um die Zertifizierung, die entsprechende US-Unternehmen vorweisen müssen, damit das Rahmenwerk für die Datenübertragung überhaupt greift. So wird beispielsweise vom US-Handelsministerium eine Liste mit den zertifizierten Unternehmen veröffentlicht und aktualisiert. Zu den Informationen gehört auch eine Erläuterung, was in diesem Sinne „zertifiziert“ überhaupt bedeutet. Und Datenexporteure, also Unternehmen oder Behörden, die Daten in die USA übertragen, müssen prüfen, ob die geplanten Datenübermittlungen unter den Beschluss fallen.
Die Anwendungshinweise der Datenschutzkonferenz berücksichtigen aber nicht nur den Blickwinkel der Unternehmen und Behörden, also der Datenexporteure, sondern auch Informationen für betroffene Personen. So erfahren diese, welche Rechtsbehelfsmechanismen zur Verfügung gestellt werden müssen und wo betroffene Personen Beschwerde einreichen können.
Die Anwendungshinweise der DSK zum EU-US Data Privacy Framework können hier heruntergeladen werden.
Auch beim EU-US Data Privacy Framework ist ja nicht vorherzusagen, wie lange diese Rechtssituation diesmal Bestand haben wird. Man kann davon ausgehen, dass auch diese Regelung wieder vor Gericht landen wird (siehe auch EU-US Data Privacy Framework: Alte Idee, neu verpackt?).