Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Serviceprovider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.
Die EU-Kommission hat am 13.12. ihren Entwurf für einen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen veröffentlicht. Lesen Sie hier eine deutsche Übersetzung des Textes.
Wer personenbezogene Daten in die USA übermitteln will, muss einschätzen und dokumentieren, ob US-Behörden möglicherweise auf diese Daten zugreifen. Der jährliche „Transparenzbericht“ der US-Geheimdienste bietet sich dafür als Hilfsmittel an. Er zeigt allerdings auch, wie unterschiedlich sich der Begriff der Transparenz verstehen lässt.
Ende Januar 2022 hat die Datenschutzkonferenz (DSK) ein Gutachten veröffentlicht, das sich mit dem „US-Überwachungsrecht“ befasst. Lesen Sie, wie dieses Gutachten einzuordnen ist.
Am 30. November fand online der 6. Deutsch-amerikanische Datenschutztag statt. Zentrale Frage war, wie es um eine Nachfolge-Vereinbarung zum Privacy Shield steht.
Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.
Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?
Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.
Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.
Das Vereinigte Königreich Großbritannien und Nordirland (UK) ist seit dem 01.01.2021 nicht mehr Mitglied der EU. Es ist damit nach dem Brexit ein Drittland im Sinne der DSGVO. Das wirkt sich zwar bis spätestens 30.06.2021 noch nicht voll aus. Doch es gilt, vorbereitet zu sein.