{"id":285978,"date":"2023-09-15T00:01:00","date_gmt":"2023-09-14T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285978"},"modified":"2023-09-19T11:32:42","modified_gmt":"2023-09-19T09:32:42","slug":"dsk-anwendungshinweise-zum-eu-us-data-privacy-framework-dpf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/15\/dsk-anwendungshinweise-zum-eu-us-data-privacy-framework-dpf\/","title":{"rendered":"DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)"},"content":{"rendered":"

Die Datenschutzkonferenz (DSK) hat, als Gremium der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder, zum 4. September 2023 einige Anwendungshinweise zum EU-US Trans-Atlantic Data Privacy Framework <\/em>(DPF) ver\u00f6ffentlicht. Diese geben Handreichungen, was Firmen und Beh\u00f6rden beachten m\u00fcssen, wenn sie auf Grund des EU-Angemessenheitsbeschlusses Daten im Rahmen des DPF zu amerikanischen Anbietern \u00fcbertragen m\u00f6chten. Unter anderem m\u00fcssen die US-Anbieter zertifiziert sein und diese Zertifizierung ist zyklisch zu \u00fcberpr\u00fcfen.<\/p>\n

<\/p>\n

Darum geht es beim DPF<\/h2>\n

\"\"Die Verarbeitung pers\u00f6nlicher Daten von EU-B\u00fcrgern im Ausland erfordert laut Datenschutzgrundverordnung (DSGVO, dass\u00a0 in den verarbeitenden L\u00e4ndern der gleiche Rechtsschutz wie innerhalb der EU f\u00fcr betroffene B\u00fcrger gelten. Die EU-Kommission hat einzelne L\u00e4nder durch einen sogenannten Angemessenheitsbeschluss in diese Gruppe entsprechender Staaten eingestuft.<\/p>\n

Mit den USA, die mehr oder weniger die IT-Angebote f\u00fcr europ\u00e4ische Firmen bestimmen, wurde dies von der EU-Kommission mit den Datenschutzabkommen \"Safe Harbor\" und dann \"Privacy Shield\" versucht. Die ersten beiden Datenschutzabkommen, mit denen der Datentransfer in die USA geregelt werden sollte, wurden vom Europ\u00e4ischen Gerichtshof (EuGH) als unzul\u00e4ssig gekippt (siehe Links am Artikelende).<\/p>\n

Zum 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss f\u00fcr das EU-U.S. Datentransferabkommens \"Trans-Atlantic Data Privacy Framework<\/em>\" (DPF) gef\u00e4llt (siehe EU-Kommission f\u00e4llt Angemessenheitsbeschluss f\u00fcr EU-U.S. Data Privacy Framework<\/a>). Damit soll der Transfer privater Daten zu US-Cloud-Anbietern und -Unternehmen legalisiert werden.<\/p>\n

Was beim Transfer zu beachten ist<\/h2>\n

Der Angemessenheitsbeschluss ist nur ein Rechtsakt, d.h. die EU-Kommission glaubt, dass in den USA das gleichen Datenschutzniveau wie innerhalb der europ\u00e4ischen Union herrscht und hat dies formal festgestellt. Firmen oder Beh\u00f6rden und Organisationen, die pers\u00f6nliche Daten von EU-B\u00fcrgern in die USA transferieren, k\u00f6nnen sie aber nicht einfach auf das Data Privacy Framework beziehen – ich hatte hier bereits im Blog erw\u00e4hnt, dass Zertifizierungen der US-Anbieter erforderlich sind (siehe Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme<\/a>). Aufh\u00e4nger war eine Art Checkliste einer Anwaltskanzlei.<\/p>\n

Nun hat die Deutsche Datenschutzkommission (DSK) sich der Angelegenheit angenommen und einige Anwendungshinweise geliefert. Die DSK ist das Gremium der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder. Das PDF-Dokument<\/a> mit dem Titel \u00dcbermittlung personenbezogener Daten aus Europa an die USA <\/em>um fasst satte 32 Seiten. Die Anwendungshinweise richten sich sowohl an Verantwortliche und Auftragsverarbeiter in Deutschland, die personenbezogene Daten an die USA \u00fcbermitteln. Das Dokument kann aber auch von betroffenen Personen herangezogen werden.<\/p>\n

Laut DSK beleuchten die Anwendungshinweise insbesondere die Reichweite und den Anwendungsbereich der Neuregelung, den Einsatz alternativer Instrumente f\u00fcr \u00dcbermittlungen an die USA sowie Umfang und Durchsetzung von Rechten betroffener Personen gegen\u00fcber Stellen in den USA.<\/p>\n