Vorteile des UK-US-Data-Bridge-Blogs

Warum es an der Zeit ist, die Vorteile der UK-US-Datenbrücke zu nutzen

Ende September gab die britische Regierung bekannt eine neue Angemessenheitsvereinbarung mit den USA soll einen reibungsloseren grenzüberschreitenden Datenfluss ermöglichen. Theoretisch wird dadurch sichergestellt, dass die von US-Unternehmen gespeicherten personenbezogenen Daten britischer Bürger weiterhin das gleiche Maß an DSGVO-Schutz genießen, als ob sie im Vereinigten Königreich oder in EU-Ländern gespeichert wären. Vielleicht noch wichtiger für Unternehmen ist, dass diese sogenannte „Datenbrücke zwischen Großbritannien und den USA“ Unternehmen dabei helfen sollte, ihren Compliance- und Regulierungsaufwand zu reduzieren.

Was ist die Datenbrücke?

Die Datenbrücke zwischen Großbritannien und den USA ist praktisch eine Erweiterung des Neuen EU-US-Datenschutzrahmen (DPF), das selbst der Nachfolger des EU-US Privacy Shield ist, das EU-Gerichte nach dem Schrems-II-Urteil im Juli 2020 aufgehoben haben. Ziel ist es, Rechtssicherheit für Organisationen zu schaffen, die personenbezogene Daten übertragen möchten, die unter das Schrems II-Urteil fallen DSGVO und UK-DSGVO in die USA in einer Weise, die vollständig mit den Datenschutzgesetzen der EU und des Vereinigten Königreichs vereinbar ist.

Es wird umständlichere Methoden zur Übermittlung von Daten aus dem Vereinigten Königreich in die USA ersetzen, beispielsweise über die britische Version der Standardvertragsklauseln, das internationale Datentransferabkommen oder andere „geeignete Schutzmaßnahmen“, die in der britischen DSGVO dargelegt sind.

Wie funktioniert es?

Die neue Datenbrücke zwischen Großbritannien und den USA wird nahezu identisch mit der DPF zwischen der EU und den USA funktionieren. Tatsächlich müssen US-Organisationen bereits am DPF teilnehmen, um die Datenbrücke nutzen zu können. Es wird ab dem 12. Oktober 2023 verfügbar sein, und Hunderte US-Firmen haben bereits ihre Absicht bekundet, daran teilzunehmen.

Nach dem DPF zertifizierte US-amerikanische Organisationen können ihre Zertifizierung einfach auf Datentransfers aus dem Vereinigten Königreich ausweiten, indem sie die entsprechende Option über ihr Online-DPF-Konto auswählen.

Einige Ausnahmen

Britische Datenschutzbehörde, das Information Commissioner's Office (ICO) hat eine Stellungnahme abgegeben auf der Datenbrücke, die warnt, dass bestimmte Datenkategorien im Rahmen des DPF nicht als vertraulich behandelt werden. Daher muss den an der Brücke beteiligten US-amerikanischen Organisationen Folgendes hervorgehoben werden: Sie sollten als sensibel behandelt werden:

  • Daten zu Straftaten
  • Genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung einer Person
  • Daten zur sexuellen Orientierung

Was passiert als Nächstes?

Laut Osborne Clark, Unternehmen, die personenbezogene Daten aus dem Vereinigten Königreich in die USA übertragen möchten, sollten:

  1. Verstehen Sie, inwieweit bestehende Vereinbarungen mit US-Firmen von der neuen Datenbrücke profitieren könnten. Dazu muss überprüft werden, ob diese US-Firmen an der Vereinbarung teilnehmen oder dies beabsichtigen, und es muss sichergestellt werden, dass die von ihnen übermittelten Daten abgedeckt sind.
  2. Datenschutzhinweise, Verarbeitungsverzeichnisse und Verträge prüfen und aktualisieren.
  3. Verwenden Sie weiterhin das International Datenübertragungsvereinbarung oder verbindliche Unternehmensregeln zwischen Großbritannien und den USA Eine Datenbrücke ist nicht möglich.

 

Peter Church, TMT-Berater bei Linklaters, argumentiert, dass die Datenbrücke britischen Firmen einen weiteren Anreiz geben wird, mit US-Dienstleistern zusammenzuarbeiten, die sich angemeldet haben.

„Damit können britische Unternehmen automatisch die Regeln für internationale Datenübermittlungen einhalten, ohne dass zusätzliche Schritte wie die Durchführung einer Risikobewertung erforderlich sind. Außerdem bedeutet dies nur minimale zusätzliche Anstrengungen für das britische Unternehmen, da der Großteil der Compliance-Belastung beim US-amerikanischen Unternehmen liegt“, sagt er gegenüber ISMS.online.

„Allerdings gibt es für britische Unternehmen ein paar Besonderheiten, auf die sie achten müssen, wie zum Beispiel die Notwendigkeit, genetische, biometrische, sexuelle Orientierungs- und kriminelle Informationen ausdrücklich als vertraulich zu identifizieren und vor der Übertragung zu prüfen, ob das US-Unternehmen spezifische Personalverpflichtungen eingegangen ist.“ HR-Daten.“

Was bedeutet das für Unternehmen?

Auch andere Experten begrüßen den neuen Datentransfer-Deal. Ieuan Jolly, Partner und Vorsitzender der US-amerikanischen TMT & Data Solutions Practice von Linklaters, argumentiert, dass dies dazu beitragen wird, „wirtschaftliche Chancen zu erschließen“ und stärkere transatlantische Beziehungen aufzubauen, indem es dazu beiträgt, Datenschutzstandards anzugleichen. Das sind gute Nachrichten für die britische Wirtschaft soll sich lohnen über 150 Milliarden Pfund pro Jahr und 1.7 Millionen Beschäftigte.

„Der Deal bietet ein Maß an Rechtssicherheit, nach dem sich Unternehmen gesehnt haben. Mit klaren Richtlinien und Schutzmaßnahmen für die grenzüberschreitende Übermittlung personenbezogener Daten wird es Unternehmen ermöglichen, sicherer zu planen und zu agieren. „Diese neu gewonnene Gewissheit ist besonders wichtig für Branchen, die auf datengesteuerte Strategien angewiesen sind, wie etwa Technologie, E-Commerce und Finanzdienstleistungen“, argumentiert er.

„Die Auswirkungen dieser Vereinbarung für Unternehmen sind vielfältig. Erstens vereinfacht es die Compliance-Bemühungen, indem es einen standardisierten Rahmen für Datenübertragungen bietet und so den regulatorischen Aufwand für multinationale Unternehmen verringert. Zweitens fördert es weitere Investitionen und die Expansion zwischen dem Vereinigten Königreich und den USA, da sich die Unternehmen jetzt zurechtfinden können Datenschutz Probleme reibungsloser.“

Rechtliche Herausforderungen stehen bevor

Es ist immer noch unklar, ob Schrems und sein Anwaltsteam den ursprünglichen DPF erfolgreich anfechten werden. Doch die Tatsache, dass es sich bei der Datenbrücke lediglich um eine Erweiterung des DPF handelt, lässt darauf schließen, dass sie nur so lange gültig sein wird, wie dieser besteht.

„Wenn der EU-US-Datenschutzrahmen vom EuGH (erneut) für ungültig erklärt würde, könnten US-Unternehmen das System möglicherweise einfach aufgeben und die britische Regierung müsste die britische Verlängerung möglicherweise beenden, um den Angemessenheitsstatus des Vereinigten Königreichs in Bezug auf die Datenschutzbestimmungen zu wahren.“ EU“, argumentiert Church.

Aus diesem Grund möchten einige möglicherweise immer noch auf Nummer sicher gehen, so Osborne Clark: „Einige Unternehmen, die personenbezogene Daten aus dem Vereinigten Königreich übertragen, suchen möglicherweise immer noch nach einem strengen Ansatz und verlassen sich sowohl auf die Datenbrücke zwischen Großbritannien und den USA als auch auf eine Alternative.“ Übertragungsmechanismus (wie der Nachtrag zum Internationalen Datentransferabkommen), insbesondere angesichts der Unsicherheit darüber, ob der EU-US-Datenschutzrahmen (und die Erweiterung des Vereinigten Königreichs) den Herausforderungen standhalten wird“, es argumentiert.

Autor

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Alle Beiträge von Phil Muncaster anzeigen

Zusammenhängende Posts

DORA ist da! Steigern Sie noch heute Ihre digitale Belastbarkeit mit unserer leistungsstarken neuen Lösung!