Neu vereinbarter EU-US-Datenschutzrahmen beseitigt bürokratische Hürden im Datenschutz
Inhaltsverzeichnis:
Experten haben die Einigung auf neue datenschutzorientierte Regeln für die Übermittlung personenbezogener Daten zwischen US- und EU-Unternehmen begrüßt.
Das EU-US Data Privacy Framework wurde entwickelt, um das Privacy Shield zu ersetzen, das durch eine Entscheidung des Europäischen Gerichtshofs im Jahr 2020 für ungültig erklärt wurde.
Das Gericht reagierte auf Bedenken hinsichtlich des Mangels an angemessenen Schutzmaßnahmen sowohl im Privacy Shield (und einem früheren Safe-Harbor-Abkommen), was dazu führte, dass personenbezogene Daten, die die EU-Grenzen verlassen, einer umfassenden Überwachung durch die US-Regierung unterliegen könnten.
Zum Senden freigegeben
Der EU-US-Datenschutzrahmen, der letztes Jahr von der US-Regierung vorgelegt wurde, wurde im Juli 2023 von der Europäischen Kommission gebilligt, nachdem sie entschieden hatte, dass die USA „ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleistet.“ werden im Rahmen des neuen Rahmenwerks von der EU auf US-Unternehmen übertragen.“
Dieser „Angemessenheitsbeschluss“ bedeutet, dass personenbezogene Daten „sicher aus der EU an US-Unternehmen fließen können, die am Rahmenwerk teilnehmen“, ohne dass zusätzliche Datenschutzgarantien erforderlich sind, die im Rahmen vorläufiger vorläufiger Maßnahmen erforderlich sind.
Verbindlichkeiten
Auf der Website des DPF-Programms finden Sie Informationen darüber, wie Unternehmen ihre Datenschutzrichtlinien und -verfahren aktualisieren und Schutzmaßnahmen implementieren können, bevor sie sich selbst als konform zertifizieren und dem DPF-Programm beitreten. Europäische Organisationen können dieselbe Website verwenden, um die DPF-Programmverpflichtungen eines Partners zu überprüfen.
Das Rahmenwerk gewährt EU-Bürgern, deren Daten an teilnehmende Unternehmen in den USA übermittelt werden, mehrere neue Rechte, beispielsweise das Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten.
Das transatlantische Datenflussabkommen verspricht, bestehende bürokratische Hürden und Unsicherheiten zu beseitigen.
Unsicherheiten reduzieren
Becky White, Rechtsanwältin für Datenschutz und Privatsphäre bei der britischen Anwaltskanzlei Harper James, sagte, das Rahmenwerk verspreche, die Geschäftsabwicklung zwischen europäischen und US-amerikanischen Unternehmen zu vereinfachen, warnte jedoch davor, dass einige potenzielle Hindernisse bei der Umsetzung noch überwunden werden müssten.
„Obwohl die vorgeschlagene Datenbrücke eine willkommene Neuigkeit für Unternehmen sowohl in den USA als auch im Vereinigten Königreich ist, insbesondere angesichts der anhaltenden Unsicherheiten in Bezug auf internationale Datenübertragungen, sollte sie dazu führen, dass der Prozess der Vertragsabwicklung mit Lieferanten oder Kunden in den USA viel einfacher und unkomplizierter wird Obwohl es für britische Unternehmen weniger zeitaufwändig ist, muss das Vereinigte Königreich vor der Umsetzung einige kritische Hürden überwinden. Aspekte der politischen und gesetzgeberischen Angleichungsarbeit auf beiden Seiten des Atlantiks seien noch unvollständig, warnte White
„Erstens wird es davon abhängen, dass die USA das Vereinigte Königreich gemäß der Executive Order 14086 von Präsident Biden (die Datenschutzgarantien für US-amerikanische Nachrichtendienste festlegt) als qualifizierten Staat einstufen“, erklärte White.
„Darüber hinaus steht der von der britischen Regierung vorgeschlagene Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI 2) ziemlich kurz vor der Verabschiedung, und obwohl die Regierung weiterhin versichert, dass die geplanten Änderungen am britischen Datenschutzregime die Angemessenheit der EU nicht gefährden werden, gibt es keine Bestätigung dafür.“ Das ist von der EU gemacht worden.“
Aufbau von Cybersicherheitsresilienz
Die Bündelung von Informationen und der Datenaustausch sind für den Aufbau robuster Cybersicherheitsabwehrmaßnahmen von entscheidender Bedeutung.
Jon France, CISO bei der Cybersecurity Industry Professional Development and Certification Association (ISC)², sagte gegenüber ISMS.online, dass die Beseitigung von Hindernissen für den transatlantischen Datenaustausch die Zusammenarbeit im Bereich Cybersicherheit verbessern werde.
„Der Angemessenheitsbeschluss zum EU-US-Datenschutzrahmen bringt erhebliche Verbesserungen für Unternehmen auf beiden Seiten des Atlantiks“, so Frankreich. „Es ist ermutigend, dass wir einen Zustand erreichen, in dem der grenzüberschreitende Datenfluss gewährleistet ist und Unternehmen, die am Rahmenwerk teilnehmen, die Freiheit haben, Daten sicher zu übertragen.“
Frankreich fuhr fort: „In der Welt der Sicherheit ist der Zugriff auf Daten von entscheidender Bedeutung für die Erkennung und Behebung von Angriffen.“ Die Möglichkeit, solche Daten zwischen transatlantischen Parteien sowohl im öffentlichen als auch im privaten Sektor zu übertragen, wird die Verteidigung auf beiden Kontinenten verbessern.“
Das Versprechen einer verbesserten Sicherheit, das das Rahmenwerk bietet, werde nur dann erfüllt, wenn Unternehmen ihr eigenes Haus in Ordnung bringen, warnte Frankreich.
„Die Wahrung der Privatsphäre beruht auf wirksamer Cybersicherheit und erfordert diese; „Die beiden gehen Hand in Hand“, so Frankreich. „Organisationen sind dafür verantwortlich, ein angemessenes Schutzniveau für personenbezogene Daten aufrechtzuerhalten, einschließlich strenger Verpflichtungen zur Weitergabe an Dritte, und müssen Datenschutzgrundsätze einhalten, beispielsweise Einschränkungen bei der Datenaufbewahrung.“
Frankreich kam zu dem Schluss: „Im Kern sollten Unternehmen robuste Cybersicherheitspraktiken einführen, um Daten zu schützen und digitales Vertrauen aufzubauen.“
Harmonisierung der Politik
Sam Peters, ISMS.online's CPO begrüßte die Vereinbarung als hilfreiche Hilfe bei der Bewältigung der Feinheiten der Datenschutzvorschriften.
„Das jüngste Datenangemessenheitsabkommen zwischen der EU und den USA stellt einen bedeutenden Meilenstein in der internationalen Datenschutzlandschaft dar“, erklärte Peters. „Es skizziert einen entscheidenden Rahmen, der nicht nur darauf abzielt, über den Atlantik übertragene personenbezogene Daten zu schützen, sondern auch die Compliance, Transparenz und Rechenschaftspflicht für US-Unternehmen zu verbessern.“
Peters fuhr fort: „Die Vereinbarung ist nicht nur eine weitere bürokratische Hürde, sondern ein wichtiges Instrument, um die Feinheiten des Datenschutzes in unserer zunehmend vernetzten digitalen Welt zu bewältigen. Dieses Abkommen stellt einen soliden Rahmen für die Harmonisierung der Datenübertragungsrichtlinien über den Atlantik hinweg dar und legt den teilnehmenden US-Unternehmen strenge Datenschutzverpflichtungen auf.“
Grundsätze
Die Vereinbarung bietet einen Rahmen für die Anwendung bewährter Datenschutzpraktiken.
„Das Herzstück dieser Vereinbarung ist das EU-US-Datenschutzrahmenwerk“, so Peters. „Dieses System ermöglicht es US-Unternehmen, ihr Engagement für umfassende Datenschutzverpflichtungen zu bestätigen. Es setzt sich für Zweckbindung, Datenminimierung und Datenaufbewahrung ein und legt konkrete Verpflichtungen hinsichtlich der Datensicherheit und der Weitergabe an Dritte fest.“
Peters fügte hinzu: „Solche Maßnahmen verdeutlichen die Absicht der Vereinbarung, den Datenschutz zu stärken. Bei diesen Verpflichtungen handelt es sich nicht nur um Prinzipien auf dem Papier; Sie haben direkten Einfluss auf die operativen Strategien der Unternehmen.“
Das US-Handelsministerium übernimmt die Verwaltung des Rahmenwerks, überwacht den Zertifizierungsantragsprozess und überwacht die fortlaufende Einhaltung der teilnehmenden Unternehmen. Die US-amerikanische Federal Trade Commission setzt die Einhaltung der Vorschriften durch, was laut Peters von ISMS.online ein „starkes Engagement für die Datenschutzziele des Abkommens“ zeigt.
Datenbrücke
Die britischen Vorschriften zur Datenverarbeitung müssen mit den EU-Vorschriften übereinstimmen, um ein empfindliches Gleichgewicht nicht zu stören.
White von Harper James warnte: „Wenn die Verabschiedung von DPDI 2 die Angemessenheitsentscheidung des Vereinigten Königreichs zur EU aufhebt, könnte dies wiederum Auswirkungen auf die Umsetzung der Datenbrücke zwischen Großbritannien und den USA haben, die allgemein als Erweiterung der EU-US-Daten angesehen wird.“ Datenschutzrahmen, der derzeit geprüft wird, und eine Angleichung der Position im Vereinigten Königreich DSGVO mit der EU-DSGVO für Datenübermittlungen aus dem Vereinigten Königreich an US-amerikanische Organisationen, die sich für das System zertifizieren.
Bereit für
Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli in Kraft. Es gibt keinen expliziten Zeitplan für die Einhaltung. Es ist jedoch geplant, dass die Europäische Kommission die Wirksamkeit des US-Rechtsrahmens regelmäßig überprüft, zunächst ein Jahr nach Einführung des Rahmens.
Peters von ISMS.online warnte: „Es ist unbedingt zu beachten, dass Angemessenheitsentscheidungen angepasst oder zurückgezogen werden können, wenn sich Entwicklungen auf das Schutzniveau des Drittlandes auswirken.“
Unternehmen sollten keine Zeit damit verschwenden, ihre Richtlinien und Verfahren zu überprüfen, um die Bestimmungen des Rahmenwerks zu erfüllen, riet Peters.
„Um auf diese transformative Datenschutzlandschaft vorbereitet zu sein, müssen Unternehmen zunächst ihre aktuellen Datenverarbeitungspraktiken gründlich überprüfen“, erklärte Peters von ISMS.online. „Die Sicherstellung der Übereinstimmung mit den Grundsätzen des Rahmenwerks wird von entscheidender Bedeutung sein, um die Einhaltung zu validieren und potenzielle regulatorische Strafen zu vermeiden.“
Peters kam zu dem Schluss: „Das Datenangemessenheitsabkommen zwischen der EU und den USA verleiht dem globalen Datenschutzbereich unbestreitbar eine neue Dimension. Kurzfristig könnten Unternehmen dies als zusätzliche regulatorische Belastung empfinden. Allerdings werden Datenschutz und Sicherheit für Verbraucher und Unternehmen immer wichtiger. In dieser Hinsicht katalysiert das Abkommen positive Veränderungen und setzt einen globalen Standard für den Datenschutz durch.“