Für Firmen, die Daten ins Ausland transferieren, geht mit dem Data Privacy Framework (DPF) eine dreijährige Hängepartie zu Ende. Denn: Für Mitgliedsstaaten der EU gibt es nun wieder klare Regeln, was erlaubt ist.
Was das DPF ist, welche Kritik es gibt und wie die Erfolgsaussichten aussehen, erfahren Sie hier.
Unser Beitrag über Data Privacy Framework im Überblick:
Auf Privacy Shield folgt DPF
Für die Übermittlung von Daten aus der Europäischen Union gilt, was die DSGVO besagt: „Personenbezogene Daten [dürfen] grundsätzlich nur dann in ein Drittland übermittelt werden […], wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet.“ Der Privacy Shield erfüllte nach Ansicht der Richter diese Vorgabe nicht und wurde deshalb vor ziemlich genau drei Jahren kassiert.
Dem Ende des Privacy Shield war ein jahrelanger Rechtsstreit vorausgegangen. Auslöser war die Klage eines Aktivisten, der beanstandet hat, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese Daten dort nicht angemessen gegen US-Überwachungsprogramme gesichert seien.
Nachfolger des Privacy Shield ist seit Mitte Juli 2023 das Data Privacy Framework, auch Privacy Shield 2.0 oder einfach DPF genannt. Ganz korrekt heißt es EU-U.S.-Data Privacy Framework, weil es den Datenverkehr zwischen der EU und den USA regelt.
Die USA und die EU haben sich auf das Data Privacy Framework geeinigt. Bild: Pexels/@karolina-grabowska
Das besagt das Data Privacy Framework
Grundsätzlich soll das Data Privacy Framework einen sicheren Datenfluss zwischen der EU und den USA gewährleisten. Dafür wurden folgende Rahmenbedingungen geschaffen:
- Neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf darauf zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
- Zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von EU-Bürgern über den Zugang zu Daten durch US-Nachrichtendienste.
- Strengere Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich einer Selbst-Zertifizierung.
- Spezifische Überwachungs- und Überprüfungsmechanismen.
Damit wurde eine neue Grundlage für eine gemeinsame Datenschutzpolitik zwischen der EU und den USA gelegt. Allerdings: Eine Änderung der Sicherheitsgesetze in den USA gibt es nicht, was Datenschützer auf den Plan ruft.
Kritik von Datenschutzaktivist Schrems
Datenschutzaktivist Max Schrems war es, der ursprünglich gegen die Datenweitergabepraxis von Facebook Irland in die USA geklagt und damit das Ende des Privacy Shield ausgelöst hatte. Auch das neue Abkommen stößt bei ihm auf Kritik:
„Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. (…) Wir hatten jetzt ‚Harbors‘, ‚Umbrellas‘, ‚Shields‘ und ‚Frameworks‘ – aber keine substanzielle Änderung des US-Überwachungsrechts“, beklagt Schrems.
Zudem seien die aktuellen Presseerklärungen fast eine wortwörtliche Kopie derer von vor 23 Jahren. „Die bloße Behauptung, etwas sei ‚neu‘, ‚robust‘ oder ‚wirksam‘, reicht vor dem Gerichtshof nicht aus“, so Schrems und fordert: „Wir brauchten eine Änderung des US-Überwachungsrechts und die gibt es nicht.“
Die Unsicherheit hat ein ende. Mit dem Data Privacy Framework ist geregelt, welche Rechte beim Datentransfer bestehen. Bild: Pexels/@goumbik
Branchenverband Bitkom zu DPF
Für den Branchenverband Bitkom ist das Data Privacy Framework erst einmal positiv. Denn: „Mit der heutigen Veröffentlichung des ,Data Privacy Frameworks’ geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen“, urteilt Bitkom-Präsident Dr. Ralf Wintergerst.
Vor allem kleine und mittelständische Unternehmen (KMU) profitierten mit dem neuen Abkommen davon, dass künftig keine Einzelfallprüfungen mehr notwendig seien. Die transatlantischen Verhandlungen waren mühsam, waren letztlich aber erfolgreich, weil die aktuelle US-Regierung mit einer „Executive Order“ im Oktober 2022 auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist. Mit der Executive Order werden US-Geheimdienste angewiesen, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken.
Allerdings sieht auch Wintergerst, dass „die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird“. Erst „dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat“.
Unter Data Privacy Framework zertifizieren
Zunächst aber stellt das neue Privacy Framework eine neue Grundlage für die gemeinsame Datenschutzpolitik von EU und USA dar. Bislang war es so, dass jedes Unternehmen bei der Übermittlung von Daten ein angemessenes Datenschutzniveau sicherstellen musste.
Das taten sie, indem sie unter anderem mit Tool-Anbietern aus den USA die von der EU-Kommission bereitgestellten Standardvertragsklauseln (SCC) abschlossen, alle mit der Datenübermittlung verbundenen Risiken prüften und ergänzende technische, organisatorische oder vertragliche Maßnahmen vereinbarten. Unter dem neuen Framework können sich US-Unternehmen wie Google oder Meta zertifizieren und in eine Liste der US-Verbraucherschutzbehörde FTC für Unternehmen aufnehmen lassen, die die Grundsätze der DSGVO freiwillig befolgen.
Inwieweit das Data Privacy Framework dauerhaft Sicherheit bietet, bleibt abzuwarten. Klar ist schon jetzt: Wer beim Einsatz von Software aus den USA auf der sicheren Seite stehen will, sollte unbedingt eng mit einem Datenschutzbeauftragen zusammen arbeiten. Unsere IT-Experten von PC-SPEZIALIST in Ihrer Nähe übernehmen gern die DSGVO-Beratung und vermitteln gern einen Datenschutzbeauftragen, wenn nötig. Nehmen Sie Kontakt zu uns auf.
_______________________________________________
Quellen: datensicherheit, spiegel, datenschutzexperte
Schreiben Sie einen Kommentar