DSGVO: Nachfolger des „Privacy Shields“, das „EU-US Data Privacy Framework“ (DPF) von EU-Kommission angenommen
[Quelle: wko.at]
Die Europäische Kommission hat den bereits erwarteten Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA bzw das EU-US Data Privacy Framework angenommen.
- Darin wird festgelegt, dass die USA ein angemessenes Schutzniveau – vergleichbar mit dem der EU – für personenbezogene Daten, die innerhalb des neuen Rahmens aus der EU an teilnehmende US-Unternehmen übermittelt werden, gewährleisten.
- Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an US-Unternehmen übermittelt werden, die nach dem EU-US Data Privacy Framework zertifiziert sind, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen. Vom US Department of Commerce wurde eine Liste der zertifizierten US-Unternehmen und Organisationen veröffentlicht.
Die wichtigsten Änderungen auf einen Blick:
- Es werden neue verbindliche Garantien eingeführt, um den vom Europäischen Gerichtshof geäußerten Bedenken („Schrems Urteile“) Rechnung zu tragen.
- So ist beispielsweise vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Bürger*innen in der EU Zugang haben. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen.
- Der neue Datenschutzrahmen soll regelmäßig gemeinsam von Kommission, Vertreter*innen der europäischen Datenschutzbehörden sowie den zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis funktionieren.