Schlagwort: Art. 45 DSGVO

DSK veröffentlicht Anwendungshinweise zum EU‐US Data Privacy Framework

8. September 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.

Allgemeines zu Drittstaatenübermittlungen

Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.

Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.

Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer

Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).

Kapitel V – Übersicht zu den Übermittlungsinstrumenten

Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.

Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.

Informationen für Daten übermittelnde Stellen (Datenexporteure)

US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.

Umfassende Erläuterungen

Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.

Fazit

Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.

In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.

Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.

Was sieht der Brexit-Deal im Hinblick auf Datenschutz vor?

16. November 2018

Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.

EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.

Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.

Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.