{"id":1773,"date":"2023-12-05T13:49:43","date_gmt":"2023-12-05T12:49:43","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1773"},"modified":"2023-12-05T13:49:43","modified_gmt":"2023-12-05T12:49:43","slug":"zertifizierung-nach-dem-neuen-eu-us-trans-atlantic-data-privacy-framework-was-gilt-es-nun-zu-beachten","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1773&lang=de","title":{"rendered":"Zertifizierung nach dem neuen EU-US Trans-Atlantic Data Privacy Framework: Was gilt es nun zu beachten?"},"content":{"rendered":"\n

Am 10. Juli 2023 hat die Europ\u00e4ische Kommission den lang erwarteten
Angemessenheitsbeschluss f\u00fcr das Trans-Atlantic Data Privacy Framework zwischen der EU und den USA (\u201eTADPF\u201c) erlassen. F\u00fcr Unternehmen bedeutet dies, dass sich die Thematik \u201eUS-Datentransfers\u201c nun etwas entspannen d\u00fcrfte \u2013 doch was m\u00fcssen sie nun genau tun?

In diesem Beitrag m\u00f6chten wir Ihnen einige Informationen und weiterf\u00fchrende Hinweise an die Hand geben, um sich dem Thema \u201eTADPF\u201c anzun\u00e4hern. Hierbei beleuchten wir insbesondere das Erfordernis der Angabe eines sogenannten \u201eIndependent Recourse Mechanism\u201c.

Welche Vorteile haben Unternehmen mit dem neuen Angemessenheitsbeschluss?<\/strong>

Nach dem Fall des \u201ePrivacy Shield\u201c durch das \u201eSchrems II\u201c-Urteil des Europ\u00e4ischen Gerichtshofs im Jahr 2020 mussten europ\u00e4ische Unternehmen andere Ma\u00dfnahmen aus dem Katalog der DSGVO anwenden, um einen rechtskonformen Transfer von personenbezogenen Daten zu Dienstleistern in den USA durchf\u00fchren zu k\u00f6nnen. Insbesondere die Standardvertragsklauseln (\u201eSCCs\u201c) zusammen mit zus\u00e4tzlichen Sicherheitsma\u00dfnahmen waren in dieser Situation das Mittel der Wahl. Ihr Abschluss mit dem US-Dienstleister sorgte jedoch f\u00fcr erheblichen Mehraufwand, insbesondere in Form der verpflichtenen Durchf\u00fchrung eines \u201eTransfer Impact Assessments\u201c (\u201eTIA\u201c). Zudem befanden Datenschutzbeh\u00f6rden und Gerichte in einigen F\u00e4llen weiterhin, dass trotz implementierter SCCs und Sicherheitsma\u00dfnahmen die Datentransfers gegen die DSGVO verstie\u00dfen. Ein Beispiel ist etwa das Verfahren der schwedischen Datenschutzaufsichtsbeh\u00f6rde IMY gegen mehrere Unternehmen wegen des Einsatzes von Google Analytics, \u00fcber das wir ebenfalls vor kurzem berichteten<\/a>.

Europ\u00e4ische Unternehmen haben nun die M\u00f6glichkeit, sich beim Transfer personenbezogener Daten an US-Unternehmen auf den neuen Angemessenheitsbeschluss zu berufen, wenn diese nach dem TADPF zertifiziert sind. SCCs (und damit auch TIAs) sind f\u00fcr diese Datentransfers dann nicht mehr zwingend erforderlich. Hiermit wird die unternehmenseigene Datenschutz-Compliance erheblich vereinfacht.

Wir sind ein europ\u00e4isches Unternehmen. Was m\u00fcssen wir nun tun?<\/strong>

Als europ\u00e4isches Unternehmen, also mit einem ausschlie\u00dflichem Sitz in Europa, k\u00f6nnen Sie sich selbst nicht nach dem TADPF zertifizieren \u2013 Sie m\u00fcssen dies auch nicht; die Zertifizierung ist nur f\u00fcr US-Unternehmen vorgesehen.

Es bietet sich jedoch an, dass Sie Ihrerseits auf Ihre US-Dienstleister zugehen und diese darum bitten, sich beim TADPF zu zertifizieren, sofern dies bisher nicht erfolgt ist. Erst wenn alle Ihre US-Dienstleister und Partner dort registriert sind, ist sichergestellt, dass die jeweiligen Datentransfers in die USA \u00fcber den Angemessenheitsbeschluss abgedeckt sind. Anderenfalls sind jeweils weiterhin Ma\u00dfnahmen wie SCCs mit weiteren Sicherheitsma\u00dfnahmen erforderlich, um die Datentransfers durchf\u00fchren zu k\u00f6nnen.

Wir sind ein amerikanisches Unternehmen. Was m\u00fcssen wir nun tun?<\/strong>

Als US-Unternehmen ist eine Zertifizierung nach dem TADPF nicht verpflichtend, aber von Vorteil, da viele europ\u00e4ische Unternehmen bei ihren US-Dienstleistern und Partnern auf eine Zertifizierung bestehen werden, um von der vereinfachten Compliance-Struktur f\u00fcr Datentransfers in die USA profitieren zu k\u00f6nnen. Mit einer Zertifizierung k\u00f6nnen US-Unternehmen dieser Anforderung begegnen und in der Folge auf eine st\u00e4rkere europ\u00e4ische Nachfrage ihrer Dienstleistungen hoffen.

Die Erlangung der Zertifizierung ist tats\u00e4chlich nicht schwer: Zun\u00e4chst ist eine Registrierung auf der offiziellen Website des TADPF<\/a> erforderlich. Mit Anlegen eines Unternehmenskontos kann der Antrag auf Zertifizierung einfach online gestellt werden. Hierf\u00fcr m\u00fcssen Unternehmen die Antragsmaske mit den erforderlichen Informationen ausf\u00fcllen und den Antrag dann einreichen.

Weitere Informationen zum TADPF und dem Zertifizierungsprozess finden sich im TADPF-Informationsbereich<\/a>. Dort ist auch ein zweiteiliger Guide ver\u00f6ffentlicht, der Schritt-f\u00fcr-Schritt die erforderlichen Ma\u00dfnahmen erl\u00e4utert, um dem TADPF beizutreten. Um den Zertifizierungsantrag zu beschleunigen, k\u00f6nnen im Vorfeld die Informationen aus dieser Liste zusammengetragen werden.

Was ist der \u201eIndependent Recourse Mechanism\u201c?<\/strong>

Im Rahmen der Antragsstellung ist die Angabe eines \u201eIndependent Recourse Mechanism\u201c (deutsch: Unabh\u00e4ngiger Beschwerde-Mechanismus“) erforderlich, dem sich das US-Unternehmen gewisserma\u00dfen unterwerfen muss. Dies ist erforderlich, damit Betroffene aus Europa in den USA eine Anlaufstelle haben, an die sie sich wenden k\u00f6nnen, wenn Sie zum Beispiel vom Unternehmen keine Auskunft \u00fcber die Verarbeitung ihrer Daten erhalten haben. Hintergrund ist, dass Betroffene anderenfalls keine M\u00f6glichkeit haben, vor einem amerikanischen Gericht ihre Betroffenenrechte einzuklagen \u2013 einer der Gr\u00fcnde, warum das Privacy Shield 2020 f\u00fcr unwirksam erkl\u00e4rt wurde.

Verantwortliche k\u00f6nnen \u2013 sofern es sich bei den zu transferierenden Daten nicht um Personaldaten handelt \u2013 zwischen der Angabe eines sogenannten \u201eDispute Resolution Body\u201c (\u201eDRB\u201c; deutsch: Einrichtungen zur Streitbeilegung) oder den (jeweils zust\u00e4ndigen) europ\u00e4ischen Datenschutzbeh\u00f6rden w\u00e4hlen.

Welche Optionen gibt es hier?
 <\/strong>
Eine Liste der (bislang) verf\u00fcgbaren DRBs wird im Antragsprozess angezeigt \u2013 allerdings ohne weiterf\u00fchrende Hinweise zu den einzelnen Anbietern. Um Ihnen die Suche zu erleichtern, haben wir im Folgenden die verf\u00fcgbaren DRBs aufgelistet.

Sie k\u00f6nnen zwischen 9 verschiedenen privaten Anbietern w\u00e4hlen, die als \u201eIndependent Recourse Mechanism\u201c im Zertifizierungsantrag angegeben werden k\u00f6nnen \u2013 sofern Sie sich wie erw\u00e4hnt gegen die Alternative entscheiden, entsprechende Verfahren \u00fcber die europ\u00e4ischen Datenschutzbeh\u00f6rden abwickeln zu lassen:<\/p>\n\n\n\n


1.     Insights Association DPF Services Program<\/a>
2.     PrivacyTrust DPF Services<\/a>
3.     BBB National Programs DPF Services<\/a>
4.     ANA DPF Dispute Resolution<\/a>
5.     ICDR-AAA DPF IRM Service<\/a>
6.     JAMS<\/a>
7.     TRUSTe Dispute Resolution (jetzt: TrustArc)<\/a>
8.     VeraSafe DPF Dispute Resolution Program<\/a>
9.     Privacy Dispute Resolution Services (PDRS)<\/a>

Mit unserer langj\u00e4hrigen Erfahrung in der Beratung von US-Unternehmen zu s\u00e4mtlichen DSGVO-Themen unterst\u00fctzen wir Sie gern bei der Zertifizierung Ihres Unternehmens nach dem TADPF. Kommen Sie jederzeit gern auf uns zu.<\/p>\n\n\n\n

(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"

Am 10. Juli 2023 hat die Europ\u00e4ische Kommission den lang erwartetenAngemessenheitsbeschluss f\u00fcr das Trans-Atlantic Data Privacy Framework zwischen der EU und den<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1773"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1773"}],"version-history":[{"count":2,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1773\/revisions"}],"predecessor-version":[{"id":1777,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1773\/revisions\/1777"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}