LOGIN
+49 (0)234-927 89 80

5. Oktober 2023

Was Sie über das neue Data Privacy Framework wissen sollten

Am 10.07.2023 ist das neue Data Privacy Framework in Kraft getreten, das einen neuen Datenschutzrahmen für den Datenaustausch zwischen EU und USA bildet. Die Thematik hat bereits eine lange Geschichte und das Data Privacy Framework ist das dritte Abkommen, das die Datenübertragung in die USA rechtssicher regeln soll. Worin das Abkommen besteht, was Webseitenbetreiber jetzt beachten sollten und ob die Regelung diesmal Bestand haben wird, erfahren Sie in diesem Artikel.

Von Safe Harbour bis jetzt: Was sich bisher ereignete

Im Jahr 2000 wurde das ursprüngliche Safe-Harbour-Abkommen beschlossen, um im Datenaustausch von EU und USA den Datenschutz von personenbezogenen Daten zu gewährleisten. Dieses Abkommen wurde im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt (Schrems-I-Urteil), weil der weitreichende Zugriff von US-Behörden auf personenbezogene Daten nicht den europäischen Datenschutzbestimmungen entspricht. 2016 trat das Privacy-Shield 1.0 in Kraft, was wiederum 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde (Schrems-II-Urteil).

Seitdem ist der Datenaustausch zwischen der EU und den USA rechtlich nicht gesichert. 2022 wurden als erste Reaktion auf das Urteil des EuGH neue Standard-Vertragsklauseln (SCC) eingeführt, die den Datentransfer regeln sollen. Die EU und die USA arbeiten seitdem an einer Nachfolgelösung für das Privacy-Shield-Abkommen, die mit dem sogenannten Data Privacy Framework am 10.07.2023 in Kraft getreten ist.

Hintergrund: Warum ist der Datenaustausch zwischen EU und USA ein Problem?

Seit dem Ende des Safe-Harbor-Abkommens im Jahr 2015 (Schrems-I-Urteil) ist der Datenaustausch zwischen der EU und den USA von rechtlichen Unsicherheiten geprägt. Das Kernproblem besteht darin, dass die EU und die USA kein gleichwertiges Datenschutzniveau haben und die Datenschutzbestimmungen in den USA nicht den europäischen Standards entsprechen. Der im Juni 2015 in Kraft getretene USA-Freedom Act (der den USA-Patriot Act von 2001 ersetzte) erlaubt es US-Behörden, ohne richterlichen Beschluss uneingeschränkt auf Server und Nutzerdaten von US-Unternehmen zuzugreifen – was den europäischen Datenschutzbestimmungen direkt widerspricht.

Für das neue Data Privacy Framework wurde deshalb eine neue rechtliche Grundlage geschaffen: Präsident Joe Biden verpflichtete im Oktober 2022 per „Executive Order“ die amerikanischen Geheimdienste, beim Datenzugriff die Notwendigkeit und Verhältnismäßigkeit zu beachten und erweiterte außerdem Befugnisse von Aufsichtsbehörden. Dies machte den Weg frei für eine sogenannte Angemessenheitsentscheidung: Die Europäische Kommission entschied, dass die USA ein angemessenes Schutzniveau bieten. Trotz einiger Bedenken (wie z.B. Ausnahmeregelungen der Datenerhebung, Definition der „Verhältnismäßigkeit“ und die jederzeit mögliche Aufhebung des Executive Order, das kein parlamentarisch beschlossenes Gesetz ist) tritt das Data Privacy Framework als neuer Datenschutzrahmen für den Datentransfer aus der EU in die USA im Juli 2023 in Kraft.

Was das neue Data Privacy Framework bedeutet

Ein wesentlicher Bestandteil des neuen Data Privacy Framework ist, dass US-Unternehmen ein neues Selbstzertifizierungsverfahren machen müssen, um als sicherer Datenempfänger zu gelten. Dafür müssen die Unternehmen einige Unterlagen beim US-Handelsministerium (Department of Commerce – DoC) einreichen. Anschließend werden sie in die DPF-Liste (DPF steht für Data Privacy Framework) aufgenommen. In dieser Liste kann jeder nachschauen, welche Tools und Anbieter sich zertifiziert haben.

Darüber hinaus sollen die US-Unternehmen ihre Datenschutzhinweise innerhalb von 3 Monaten entsprechend der neuen DPF anpassen. Hinzu kommt eine jährliche Re-Zertifizierung. Für Unternehmen, die am ersten Shield-Abkommen teilgenommen haben, soll die Selbstzertifizierung keine große Hürde darstellen.

Was Webseitenbetreiber jetzt beachten müssen

Wer US-amerikanische Tools und Dienstleister nutzt, an die Daten übertragen werden, sollte sich zuerst informieren, ob diese Anbieter auf der DPF-Liste stehen und somit zu den zertifizierten Unternehmen gehören. Wichtig ist dabei auch, zu prüfen, ob die konkret genutzte Art der Datenübermittlung von der Zertifizierung abgedeckt ist. Die DPF-Liste kann direkt auf der Webseite eingesehen werden: Zur Data Privacy Framework Webseite. Es gibt außerdem die Möglichkeit, Anbieter mithilfe einer Suchfunktion zu finden: Zur DPF-Liste mit Suchfunktion.

Zum aktuellen Zeitpunkt ist mit Beschluss des Data Privacy Frameworks die Nutzung aller in der DPF-Liste zertifizierten Unternehmen rechtssicher. Dabei ist jedoch wichtig zu beachten, dass die Einwilligung zur Datenübertragung nach wie vor vom Nutzer eingeholt werden muss. Dabei ist unerheblich, ob der Anbieter amerikanisch ist oder nicht – für jedes Tool, das Daten überträgt und/oder speichert (z.B. Tracking-Tools) muss die Einwilligung vom Nutzer eingeholt werden. Das bedeutet, Lösungen wie die Cookie Notice bleiben vom Data Privacy Framework unberührt.

Wie geht es weiter?

Das neue Data Privacy Framework soll dafür sorgen, dass der Datenaustausch zwischen der EU und den USA wieder auf eine rechtssichere Grundlage gestellt wird. Aktuell ist diese Regelung verbindlich und gibt einen rechtssicheren Datenschutzrahmen. Es gibt jedoch weiterhin Datenschutz-Bedenken und einige Datenschützer – u.a. Max Schrems, nach dem die beiden bisherigen Entscheidungen des EuGH in dieser Thematik benannt sind – halten das neue Abkommen nach wie vor für nicht datenschutzkonform.

Wie es genau weitergeht, bleibt daher abzuwarten. Doch eine Neubewertung und gegebenenfalls ein neues Verfahren vor dem EuGH brauchen Zeit und bis dahin ist der neue Datenschutzrahmen verbindlich. Webseitenbetreiber sollten sich deshalb jetzt darum kümmern, diesem zu entsprechen und bezüglich der weiteren Entwicklung erstmal abwarten.

Unser Tipp: Wenn Sie sich darüber hinaus für die verschiedenen datenschutzrechtlichen Rahmenbedingungen wie DSGVO oder die E-Privacy-Richtlinie interessieren, empfehlen wir Ihnen gern unser Seminar: „Recht der elektronischen Kommunikation“ oder – speziell auf das Thema Webseiten bezogen – „Datenschutzkonforme Webseiten“. Informieren Sie sich gern auf unseren Seiten und melden Sie sich zum nächsten Termin an!

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

zurück zum IT Security Blog

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

NEWSLETTER

KARRIERE

Unser Standort
Anreise DB-Special
Hotelempfehlungen

DIE IT-SICHERHEITS-METROPOLE

isits AG
Aus- und Weiterbildungszentrum für Cybersecurity

isits AG
International School of IT Security
Huestr. 30 – 44787 Bochum

+49 (0)234 92 7898-0
+49 (0)234 92 7898-20

info@is-its.org
www.is-its.org

Leistungen
Newsletter

Wir freuen uns darauf, Sie regelmäßig über aktuelle Angebote und Veranstaltungen der isits AG zu informieren.

Zum Newsletter anmelden
Instagram Facebook Twitter Xing Linkedin Youtube

Mitgliedschaften der isits AG:

Seminarbroschüre isits

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.