Wie wir in unserem Blogbeitrag zum neuen EU-U.S. Data Privacy Framework (EU-US DPF) erläutert haben, ist nun ein neues rechtliches Instrument vorhanden, auf dessen Grundlage die Übermittlung an teilnehmende US-Unternehmen in die USA möglich ist. Eine Vereinfachung der Übermittlung von personenbezogenen Daten ist somit möglich. Das EU-US DPF ist – wie bereits schon das Privacy Shield – eine Selbstzertifizierung, derer sich US-Unternehmen unterwerfen können, um das angemessene Schutzniveau im Datenschutz nachzuweisen.
Aber stellt sich die Selbstzertifizierung dar? Wir haben die erforderlichen Schritte vorgenommen und möchten diese hier erläutern.
1 Die einzelnen Schritte zur Selbstzertifizierung
Schritt 1: Auswählen der einzelnen Frameworks EU-U.S. Data Privacy Framework; Swiss-U.S. Data Privacy Framework; UK Extension to the EU-U.S. Data Privacy Framework
Schritt 2: Informationen zur Organisation und Kontaktinformationen müssen angegeben werden.
Schritt 3: Jahresumsatz und Anzahl der Angestellten angeben. Aufgrund dessen wird die Gebühr für die Zertifizierung berechnet.
Schritt 4: Andere abgedeckte US-Unternehmen und US-Tochtergesellschaften angeben.
Schritt 5: Abgedeckte Daten und Streitbeilegung.
Schritt 6: Regressmechanismus für personenbezogenen Daten ohne Personaldaten festlegen. Zum unabhängigen Rückgriffsmechanismus zur Untersuchung ungelöster Beschwerden muss das Unternehmen einen im privaten Sektor vorhandenen unabhängigen Beschwerdemechanismus implementiert haben oder eine Zusammenarbeit mit den EU-Datenschutzbehörden (DPAs) nachweisen. Dies muss jährlich nachgewiesen werden. Zur Auswahl der Rückgriffsmechanismen können folgende Anbieter ausgewählt werden: Privacy Shield-Programm der Insights Association, PrivacyTrust Privacy Shield-Programm, BBB EU Privacy Shield-Programm, ANA Privacy Shield-Programm, EU-Datenschutzbehörden (DPAs), ICDR/AAA Privacy Shield-Programm, JAMS Privacy Shield-Programm, TRUSTe, VeraSafe Privacy Shield-Programm, Datenschutz-Streitbeilegungsdienste (PDRS).
Schritt 7: für personenbezogenen Daten mit Personaldaten
Schritt 7.a: Rückgriffsmechanismus für personenbezogenen Personaldaten festlegen. Für die Verarbeitung von personenbezogenen Personaldaten muss das Unternehmen erklären, dass mit den EU-Datenschutzbehörden (DPAs) zusammengearbeitet wird und den Ratschlägen dieser Behörden Folge geleistet wird in Bezug auf die Personaldaten. Hier ist also ein Rückgriffsmechanismen aus dem privaten Sektor nicht möglich.
Schritt 8: Zwecke und Arten der Daten, für die die Organisation Prozesse durchführt müssen beschrieben werden. Z.B. Organisations-, Kunden-, Klienten-, Besucher- und klinische Studiendaten.
Schritt 9: Durchsetzung und Überprüfung. Hier muss angegeben werden, ob die Federal Trade Commission oder das US-Verkehrsministerium für das Unternehmen zuständig ist.
Schritt 10 (optional): Auflisten alle Datenschutzprogramme, bei denen die Organisation Mitglied ist.
Schritt 11: Verifizierungsmethode angeben
Schritt 11.a. Option 1: Verifizierungsmethode angeben. Die Organisation muss angeben, ob die durchgeführte Verifizierung durch Selbstbewertung oder externe Compliance-Überprüfungen im Einklang mit dem ergänzenden Verifizierungsgrundsatz erfolgt. Wenn sich die Organisation für eine externe Compliance-Überprüfung entschieden hat, muss der Dritte angegeben werden, der solche Überprüfungen durchführt. Die Auswahl dabei erstreckt sich auf: PrivacyTrust Privacy Shield Program, TRUSTe, VeraSafe Privacy Shield Program
Schritt 11.b. Option 2: Bei der erstmalig durchgeführten Selbstzertifizierung muss eine Kopie des Entwurfs der Datenschutzrichtlinie hochgeladen werden. Der Entwurf der Datenschutzrichtlinie muss mit dem EU-US-DPF und gegebenenfalls der britischen Erweiterung des EU-US-DPF und/oder dem Schweiz-US-DPF im Einklang stehen. Nach der Einreichung wird das DPF-Team das Unternehmen auffordern, die DPF-konforme Datenschutzrichtlinie zu veröffentlichen, die eine Erklärung enthalten muss, dass die Organisation sich an die EU-US-DPF-Grundsätze hält.
Schritt 11.c.: Die Organisation, die im Rahmen der Selbstzertifizierung auch andere personenbezogene Daten als Personaldaten abdeckt, ist verpflichtet, die entsprechende Datenschutzrichtlinie, die diese Daten abdeckt, der Öffentlichkeit zugänglich zu machen. Hier muss daher eine Datenschutzerklärung verlinkt werden.
Schritt 11.d: Die Organisation, die nur Personaldaten im Rahmen ihrer Selbstzertifizierung abdeckt, muss keine öffentliche Datenschutzerklärung verlinken, allerdings die DPF-konforme Personal-Datenschutzrichtlinie zur Einsichtnahme durch betroffene Mitarbeiter verfügbar machen und der Behörde eine Kopie zur Verfügung stellen, indem diese Kopie hochgeladen wird.
Schritt 12: Zahlung. Für ein Unternehmen mit 0 bis 5 Millionen USD Jahresumsatz und einer Mitarbeiterzahl von weniger als 100 ist eine jährliche Gebühr von 250,- USD fällig.
2 Beitritt zum DPF-Programm
Um Anspruch auf die Vorteile der Teilnahme am DPF-Programm zu haben, muss eine Organisation zunächst eine Selbstzertifizierung und dann jährlich eine erneute Zertifizierung gegenüber dem ITA durchführen, dass sie die DPF-Grundsätze einhält, einschließlich der ergänzenden Grundsätze.
2.1 Datenschutzrichtlinie
Die Organisation muss eine DPF-konforme Datenschutzrichtlinie entwickelt haben, bevor sie ihre erste Selbstzertifizierung beim ITA einreicht. Diese muss den DPF-Grundsätzen entsprechen und Hinweise zu den DPF-Grundsätzen enthalten. Die Angabe der alternativen Streitbeilegungsstelle des Privatsektors (siehe oben) muss verlinkt werden. Und die Richtlinie muss ferner die Anschrift des Unternehmens aufweisen und online öffentlich einsehbar sein. Ebenfalls enthalten sein, muss der Speicherort der Daten für jede Datenart. Wenn nur HR-Daten verarbeitet werden, dann muss die Richtlinie den Mitarbeitern zur Verfügung gestellt werden.
2.2 Rückgriffsmechanismus
Die Organisation muss über einen geeigneten unabhängigen Rückgriffsmechanismus für jede Art von personenbezogenen Daten verfügen, die von ihrer Selbstzertifizierung abgedeckt werden: gemäß dem Rückgriffs-, Durchsetzungs- und Haftungsprinzip müssen selbstzertifizierende Organisationen einen unabhängigen Rückgriffsmechanismus zur Verfügung stellen, um ungelöste Fragen zu untersuchen Beschwerden, die im Rahmen der DPF-Grundsätze eingereicht werden und die betroffenen Personen einen angemessenen und kostenlosen Rechtsbehelf zur Verfügung gestellt bekommen. Das US-Handelsministerium kann mit dem unabhängigen Regressmechanismen zusammenarbeiten um die Registrierung zu überprüfen. Wenn die Selbstauskunft der Organisation Personaldaten abdeckt (d. h. personenbezogene Daten über die eigenen früheren oder gegenwärtigen Mitarbeiter), muss die Organisation einer Zusammenarbeit mit und deren Befolgung zustimmen die zuständigen europäischen Datenschutzbehörden in Bezug auf diese Daten.
Organisationen, die entweder verpflichtet sind oder sich dafür entscheiden, mit den zuständigen europäischen Datenschutzbehörden in Bezug auf personenbezogene Daten, die unter ihre Selbstzertifizierung fallen, zusammenzuarbeiten und diese einzuhalten, müssen die im „Ergänzenden Grundsatz zur Rolle der Datenschutzbehörden und im Ergänzenden Grundsatz zum Datenschutz beschriebenen Verfahren“ befolgen.
2.3 Überprüfungsmechanismus
Die Organisation muss über Verfahren verfügen, um zu überprüfen, ob die Bescheinigungen und Behauptungen, die sie zu ihren DPF-Datenschutzpraktiken macht, wahr sind und diese Datenschutzpraktiken wie dargestellt und in Übereinstimmung mit den umgesetzt wurden DPF-Grundsätze. Um diese Anforderung zu erfüllen, muss die Organisation solche Bescheinigungen und Behauptungen entweder durch Selbstbewertung oder externe Compliance-Überprüfungen überprüfen.
2.4 Ansprechpartner
Ein Ansprechpartner in der Organisation bezüglich der DPF-Konformität muss benannt werden
2.5 Grundsätze
Alle Organisationen, die vom Ministerium auf die Datenschutzrahmenliste gesetzt werden, müssen über relevante Datenschutzrichtlinien verfügen, die dem Hinweisgrundsatz entsprechen, und in diesen Datenschutzrichtlinien angeben, dass sie sich an die Grundsätze halten. Die Grundsätze gelten unmittelbar nach der Selbstzertifizierung.
Eine Organisation, die aus dem DPF zwischen der EU und den USA austritt, solche Daten aber behalten möchte, muss entweder gegenüber dem Ministerium jährlich ihre Verpflichtung bekräftigen, die Grundsätze weiterhin auf die Daten anzuwenden, oder einen „angemessenen“ Schutz der Daten durch einen anderen Bevollmächtigten gewährleisten Mittel (zum Beispiel die Verwendung eines Vertrags, der die Anforderungen der einschlägigen, von der Kommission angenommenen Standardvertragsklauseln vollständig widerspiegelt); Andernfalls muss die Organisation die Informationen zurückgeben oder löschen.
- Scope / Geltungsbereich
- Available Remedies / Verfügbare Rechtsmittel
- Pre-Arbitration Requirements / Anforderungen vor dem Schiedsverfahren
- Binding Nature of Decisions / Verbindlichkeit von Entscheidungen
- Review and Enforcement / Überprüfung und Durchsetzung
- The Arbitration Panel / Die Schiedsinstanz
- Arbitration Procedures / Schiedsverfahren
- Costs / Kosten
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.