Hinweise der Aufsichtsbehörde zum EU-U.S. Data Privacy Framework
Für die meisten Verantwortlichen, die Datentransfers in die USA legitimieren müssen, war der 10. Juli 2023 ein guter Tag. An diesem Tag erging seitens der Europäischen Kommission ein Angemessenheitsbeschluss für das sog. EU-U.S. Data Privacy Framework. Durch diesen Beschluss wird den USA bescheinigt, dass sie ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die gemäß diesem Rahmen von der Europäischen Union (EU) an US-Unternehmen als Datenimporteure übertragen werden.
Der Angemessenheitsbeschlusses wurde von Verantwortlichen in der EU hoffnungsvoll aufgenommen, da der Europäische Gerichtshof mit seinem „Schrems II“-Urteil den Vorgänger des EU-U.S. Data Privacy Framework, das „EU-U.S. Privacy Shield‘‘, beanstandet und so Datenübermittlungen in die USA auf den in der Praxis eher „steinigen‘‘ Weg der geeigneten Garantien gemäß Art. 46 Datenschutz-Grundverordnung (DS-GVO) verwiesen hatte.
Vor dem Hintergrund der Erwartungen, dass auch dieser Angemessenheitsbeschluss nur von kurzer Dauer sein könnte, bevor er vom EuGH als ungültig erklärt wird, bleibt den Verantwortlichen nicht viel mehr übrig, als bis dahin zu beobachten, wie die Aufsichtsbehörden mit dem neuen Beschluss umgehen.
Der BayLfD fasst seine Erkenntnisse aus dem Beschluss wie folgt zusammen:
- Der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework bestätigt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an die am EU-U.S. Data Privacy Framework teilnehmenden Unternehmen übermittelt werden.
- Am EU-U.S. Data Privacy Framework nehmen US-Unternehmen teil, die hierfür zertifiziert sind und deshalb auf der „Data Privacy Framework List“ stehen.
- Der Angemessenheitsbeschluss vermittelt nicht allein eine Rechtsgrundlage für eine Drittlandübermittlung; Art. 5 ff. DSGVO sind kumulativ zu beachten.
(Foto: PhotoSG – stock.adobe.com)
Verwandte Produkte
-
EU-US Data Privacy Framework - Neuer Angemessenheitsbeschluss zwischen EU und USA
Online-Kompaktkurs
153,51 € Mehr erfahren -
-
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
