Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt

Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.

Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.

Die gute Nachricht zuerst:

Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.

Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.

Die schlechte Nachricht:

Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.

Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.

„Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt“ weiterlesen

Schrems II – Whats next: Entwurf des neuen EU-US Data Privacy Framework

Worum es geht:

Transfers personenbezogener Daten aus der EU in die USA, die dort dem Zugriff der Sicherheitsbehörden unterliegen („Signals intelligence“, insb. der NSA).

Da viele Anwendungen von US-amerikanischen Unternehmen stammen, die Server in den USA nutzen, sind  personenbezogene Daten europäischer Bürger vor dem Zugriff möglicherweise nicht ausreichend geschützt.

Im Juli 2020 wurde vom EuGH das EU-US Privacy Shield gekippt, siehe Blogbeitrag Safe Harbour ade. Privacy Shield ade. What’s next?

Und nun?

Europäische Unternehmen und öffentliche Stellen müssen den Einsatz solcher Anwendungen seitdem aufwendiger datenschutzrechtlich absichern. Es genügt nicht mehr, dass sich ein US-Unternehmen auf den EU-US Privacy Shield  beruft.

Seitdem sind die neuen von der Europäischen Kommission erarbeiteten Standardvertragsklauseln und zusätzliche Schutzmaßnahmen geeignete Sicherheitsgarantien „Safeguards“, siehe z.B. die Orientierungshilfe der Baden-Württembergischen Datenschutzaufsicht (Oktober 2021): Was jetzt in Sachen internationaler Datentransfer?

Künftig soll der EU-US Data Privacy Framework, der den EU-US Privacy Shield in einigen Punkten erweitert, die Funktion übernehmen – nach der Executive Order des US-Präsidenten im Oktober 2022 hat die Europäische Kommission einen Angemessenheitsbeschluss als Entwurf vorbereitet, mit dem künftig Datentransfers in die USA datenschutzrechtlich abgesichert werden können:

Der europäische Datenschutzausschuss EDPB hat dazu im Februar 2023 Stellung genommen, begrüßt die vorgenommenen Verbesserungen, sieht aber noch weiteren Regelungsbedarf, u.a. für den sogenannten „bulk-upload“, bei dem große Datenmengen transferiert werden und erst im Anschluss gefiltert/selektiert wird:

Was in 2023 geschehen wird

Die Europäische Kommission nimmt die Stellungnahme des europäischen Datenschutzausschuss zur Kenntnis, das europäische Parlament kann eine Prüfung vornehmen und Anmerkungen geben und möglicherweise gibt es noch (Nach-)Verhandlungen mit der US-amerikanischen Seite. Letztlich ist ein finaler Angemessenheitsbeschluss der EU-Kommission für den EU-US Data Privacy Framework zu erwarten.

Damit könnten dann Datentransfers in die USA rechtlich abgesichert werden. Allerdings nur bis zum erwartbaren dritten Urteil des EuGH „Schrems III“ in einigen Jahren, da Max Schrems die Klage bereits ankündigte…

Nachtrag vom 13. Juli

Der Angemessenheitsbeschluss wurde nun gefällt, siehe Blogbeitrag