Seit der EuGH die Anwendung des Privacy Shield gestoppt hatte, griffen viele Unternehmen auf die EU-Standardvertragsklauseln zurück. Wird das noch nötig sein, nachdem das EU-US Data Privacy Framework (DPF) anwendbar ist? Die Antwort darauf fällt differenziert aus.
Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Serviceprovider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.
Die EU-Kommission hat am 13.12. ihren Entwurf für einen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen veröffentlicht. Lesen Sie hier eine deutsche Übersetzung des Textes.
Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.
Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?
Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.
Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.
Sind ergänzende Maßnahmen für die Datenübermittlung in einen
Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen
eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?
In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.
1 von 1
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.