12. Oktober 2023

DPF: Was Datenexporteure ab sofort beachten müssen

DP+

Der Angemessenheitsbeschluss der EU-Kommission kam am 10. Juli 2023

Bild: iStock.com / bakhtiar_zein

0,00 (0)

EU-U.S. Data Privacy Framework

Die EU-Kommission hat erneut in einem Angemessenheitsbeschluss festgestellt, dass in den USA ein angemessenes Datenschutzniveau besteht. Mit Inkrafttreten des „EU-U.S. Data Privacy Framework“ (DPF) lassen sich personenbezogene Daten unter erleichterten Bedingungen in die USA übermitteln. Doch Datenexporteure müssen trotz DPF einiges beachten.

Fast drei Jahre sind vergangen, seit der Europäische Gerichtshof (EuGH) den Privacy Shield für ungültig erklärt hat. Der EuGH stellte damals fest, dass in den Vereinigten Staaten kein angemessenes Datenschutzniveau bestehe:

Zum einen seien die Überwachungsmaßnahmen durch US-Geheimdienste nicht auf das zwingend erforderliche Maß beschränkt und unverhältnismäßig.
Zum anderen stehe der betroffenen Person kein gerichtlicher Rechtsschutz zur Verfügung.

Das ändert sich mit dem DPF

Die EU-Kommission griff die Kritik des EuGH auf und erreichte einige Verbesserungen in den USA.

Stärkere Kontrolle der Geheimdienste

Am 07. Oktober 2022 unterzeichnete US-Präsident Joe Biden die Executive Order (EO) 14086. Diese EO enthält verbindliche Garantien, die den Datenzugriff der US-Geheimdienste auf das erforderliche und verhältnismäßige Maß beschränken. Eine Massenüberwachung ist danach nur zulässig, wenn mindestens einer der festgelegten Zwecke, z.B. Schutz vor Terrorismus oder vor Cyberangriffen, vorliegt. Außerdem sollen die Tätigkeiten der Geheimdienste verstärkt kontrolliert werden.

Zweistufiges Rechtsbehelfsverfahren

Zusätzlich führte die EO ein zweistufiges Rechtsbehelfsverfahren ein, um Beschwerden von EU-Bürgern zu überprüfen. Die erste Stufe entspricht dem Ombuds-Mechanismus nach dem Privacy Shield. Eine betroffene Person kann bei der nationalen Behörde eine Beschwerde einreichen. Diese Beschwerde wird an den sogenannten „Civil Liberties Protection Officer“ (CLPO) weitergeleitet, der schließlich die Beschwerde prüft. Der CLPO teil…

Kristin Benedikt

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen

zu den Kommentaren

Wie nützlich war dieser Beitrag für Sie?

Data Privacy Framework

drucken

Verfasst von

Kristin Benedikt

Kristin Benedikt ist Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg. Zuvor leitete sie den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.