Transatlantische Übermittlung personenbezogener Daten: Übertragung der Privacy Shield-Zertifizierung auf das neue EU-US-Datenschutzrahmenwerk | Jackson Lewis-Computer
Mit Wirkung zum 10. Juli 2023 ersetzte das EU-US-Datenschutzrahmenwerk („EU-US DPF“) das aufgehobene EU-US-Datenschutzschild („Privacy Shield“). Teilnehmende US-Organisationen können nun gemäß der EU-Datenschutzgrundverordnung und ohne weitere Bedingungen aus dem EWR übermittelte personenbezogene Daten empfangen.
Wie Privacy Shield wird das Programm vom US-Handelsministerium verwaltet und US-Organisationen müssen sich für die Teilnahme zertifizieren. Das EU-US-DPL-Rahmenwerk erfordert eine Anwendungs- und Datenschutzrichtlinie im Einklang mit den EU-US-DPL-Grundsätzen, eine Zertifizierung der Einhaltung der EU-US-DPL-Grundsätze und die Benennung eines unabhängigen Rechtsbehelfsmechanismus. US-Organisationen, die den DPF zertifizieren möchten, aber keine aktive Privacy Shield-Zertifizierung haben oder noch nie eine Zertifizierung erhalten haben, können sofort mit dem DPF-Zertifizierungsprozess zwischen der EU und den USA beginnen.
US-Organisationen, die ihre Zertifizierung im Rahmen des Privacy Shield Framework aufrechterhalten haben, können diese Zertifizierung bis spätestens 10. Oktober 2023 übertragen. Das EU-US Policy Framework schafft keine wesentlichen neuen Verpflichtungen für US-Organisationen, die am Privacy Shield Framework teilgenommen haben; Sie müssen jedoch ihre Datenschutzrichtlinien und Hinweise aktualisieren, um auf das EU-US-Richtlinienabkommen und seine Grundsätze zu verweisen.
Im Rahmen des EU-US-Darlehens für die Entwicklungspolitik gelten zusätzliche Schutzmaßnahmen für die Übermittlung von Personaldaten, die im Zusammenhang mit der Einstellung erhoben werden. Beispielsweise muss ein US-Datenimporteur jährlich seine Verpflichtung zur Zusammenarbeit mit den EU-Datenschutzbehörden („DPAs“) in Bezug auf Personaldaten bescheinigen. Zur Zusammenarbeit gehört es, direkt auf die Untersuchungen der Datenschutzbehörde zu reagieren und den Ratschlägen der Datenschutzbehörde Folge zu leisten.
Nach der Zertifizierung der Einhaltung des EU-US DPP kann sich eine US-Organisation dafür entscheiden, die Einhaltung der britischen Erweiterung des EU-US DPP zu zertifizieren, um ab dem 12. Oktober 2023 aus dem Vereinigten Königreich übermittelte personenbezogene Daten zu empfangen. Um übertragene personenbezogene Daten zu erhalten Wem Schweizer und US-amerikanische Organisationen ihre Einhaltung der DPF-Richtlinie zwischen der Schweiz und den USA bestätigen können; Mit der Übermittlung personenbezogener Daten aus der Schweiz kann jedoch erst begonnen werden, wenn die Schweiz offiziell eine positive Entscheidung gegenüber den Vereinigten Staaten erlässt
Das EU-US DPF, die UK Extension und das Swiss-US DPF bieten eine Alternative zu den EU-Standardvertragsklauseln, dem International Data Transfer Agreement und den Binding Business Rules für transatlantische Übermittlungen personenbezogener Daten gemäß den Anwendbaren Daten. Abhängig von der Organisation und der geplanten Datenübertragung kann die jährliche DPF-Zertifizierung praktischer, zeiteffizienter und wirtschaftlicher sein als die Umsetzung der EU-Standardvertragsklauseln oder des IDTA für jede geplante Übertragungsaktivität.
Für weitere Einblicke in das DPF-Abkommen zwischen der EU und den USA hören Sie sich unseren Podcast an: EU-US-Datenschutzrahmen: Übermittlung personenbezogener Daten im Rahmen des neuen Privacy Shield
„Böser Kaffee-Nerd. Analyst. Unheilbarer Speckpraktiker. Totaler Twitter-Fan. Typischer Essensliebhaber.“