ONLINE - JOURNAL

EU-US Digital Privacy Framework (DPF)

Inhaltsverzeichnis

Am 10.07.2023 ist ein neuer transatlantischer Datenschutzrahmen, der sog. Data Privacy Framework (kurz: DPF) in Kraft getreten. Mit dem „Privacy Shild 2.0“ ist die Nutzung von amerikanischen Webtracking-, Webanalyse- und Marketingtools auf EU-Webseiten nun wieder zulässig – vorausgesetzt der Softwareanbieter ist Teilnehmer des EU-/Swiss-/UK-US-Datenschutzabkommen.

Die Verwendung eines Cookie-Banners auf der firmeneigenen Webseite entfällt dadurch nicht! 

Hintergrund

Im Juli 2020 hat der Europäische Gerichtshof den Privacy Shield 1.0, der den ungehinderten Datenverkehr zwischen der EU und den USA ermöglichte, abgeschafft. Dieser erlaubte es US-Handelsunternehmen personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern. Durch das Urteil des EuGH, auch als Schrems II bekannter Fall (C-3111/18), wurden die USA zu einem nicht-adäquaten Land ohne gesonderten Zugang zu Europas personenbezogenen Datenströmen. Das soll das neue Privacy Shield 2.0 nun ändern:

„Die Datenschutzrahmen der EU, Schweiz und die britische Erweiterung des EU-U.S. DPF wurden entwickelt, um US-Organisationen verlässliche Mechanismen für die Übermittlung personenbezogener Daten zu bieten. Gleichzeitig soll ein Datenschutz gewährleistet werden, der mit dem Recht der EU, des Vereinigten Königreichs und der Schweiz vereinbar ist.“ (Quelle: https://www.dataprivacyframework.gov/s/

Abb. 1: Startseite des Data Privacy Framework Program, Stand: 08.08.2023, Quelle: https://www.dataprivacyframework.gov/s/

Aktuelle Situation

Über das o.g. Online-Portal können sich nun weltweit Softwareanbieter für den Data Privacy Framework selbst-zertifizieren. In einer 16 Schritt-für-Schritt-Anleitung kommt man ans Ziel. Die Gebühr für die Auftragsbearbeitung beträgt aktuell 375 Dollar (Stand: 08.08.2023, Quelle: Privacy Shild).  Hat alles geklappt, wird das Unternehmen in die DPF – Liste aufgenommen und gilt ab sofort als „sicherer Datenempfänger im Sinne der EU, Schweiz und/oder dem Vereinigten Königreich“. Innerhalb von 4 Wochen haben sich bereits 2485 Unternehmen registriert.

Abb. 2: DPF-Liste mit 2485 zertifizierten Unternehmen, Stand: 08.08.2023, Quelle: DPF-Verzeichnis

Bedeutet im Umkehrschluss, dass binnen 4 Wochen alle Anträge bearbeitet, geprüft und genehmigt worden sind. Die Einnahmen lassen sich einfach ausrechnen: sie belaufen sich auf knapp 1 Million US-Dollar ($ 375 * 2485 = $ 931.875). Aktuell gelten nun alle Unternehmen und Softwareanbieter als rechtssicher und datenschutzfreundlich, die in der DPF-Liste geführt werden.

Sie dürfen unter Verwendung eines Consent Tools auf Webseiten (weiter) verwendet werden.

Deutsche Übersetzung EU-US-DPF

Englische Version: European Commission

Heute hat die Europäische Kommission ihren Angemessenheitsbeschluss über den EU-US-Datenschutzrahmen angenommen, der mit sofortiger Wirkung in Kraft tritt.

Die wichtigsten Grundsätze:

  • Auf der Grundlage des Angemessenheitsbeschlusses werden personenbezogene Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
  • Ein neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist; die US-Geheimdienste werden Verfahren einführen, die eine wirksame Überwachung der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten
  • Ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Nachrichtendienste, das auch ein Datenschutz-Überprüfungsgericht umfasst
  • strenge Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich der Verpflichtung zur Selbstzertifizierung der Einhaltung der Standards durch das US-Handelsministerium
  • Spezifische Überwachungs- und Überprüfungsmechanismen

Vorteile des Rechtsrahmens:

  • Angemessener Schutz der in die USA übermittelten Daten der Europäer, der den Anforderungen des Europäischen Gerichtshofs gerecht wird
  • Sicherer und geschützter Datenverkehr
  • Dauerhafte und zuverlässige Rechtsgrundlage
  • Wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit
  • Anhaltende Datenströme, die den grenzüberschreitenden Handel in Höhe von 900 Milliarden Euro pro Jahr unterstützen

Timeline – Zeitstrahl […] 2024:  Erste regelmäßige Überprüfung des Rechtsrahmens. Ende der Bekanntgebung und Übersetzung.

Fazit

Grundsätzlich sind die neuen Regelungen zu begrüßen. In der Praxis gilt es nun zu prüfen, ob der Dienst, den man einbinden möchte, zertifiziert ist oder nicht. Liegt keine Zertifizierung vor, darf der Dienst nicht verwendet werden. Da ein Datenstrom ins Ausland grundsätzlich einen Cookie-Banner erfordert, kann auf diesen nicht verzichtet werden.