Die Europäische Datenschutzausschuss (EDSA) hat in seiner Plenarsitzung am 05.11.2024 einen Bericht zur ersten Überprüfung des EU-U.S. Data Privacy Framework (DPF) und eine Stellungnahme zu den Empfehlungen der high-level Group (HLG) zum Datenzugriff für die Strafverfolgung verabschiedet.
Der EDSA begrüßt die Bemühungen der US-Behörden und der Europäischen Kommission zur Umsetzung des DPF und stellt fest, dass seit der Angemessenheitsentscheidung im Juli 2023 Fortschritte erzielt wurden. Zu den kommerziellen Aspekten hebt der EDSA die Implementierung des Zertifizierungsprozesses durch das US-Handelsministerium hervor. Zudem wurden Beschwerdemechanismen für EU-Bürger eingerichtet, wobei die geringe Anzahl von Beschwerden die Notwendigkeit zusätzlicher Überwachungsmaßnahmen betont.
Der EDSA empfiehlt, dass die US-Behörden Leitlinien zur Einhaltung der DPF-Anforderungen entwickeln, insbesondere bei der Übertragung von personenbezogenen Daten. Außerdem sollte die praktische Umsetzung der im US-Rechtsrahmen eingeführten Schutzmaßnahmen, wie die Prinzipien der Notwendigkeit und Verhältnismäßigkeit sowie das Beschwerdeverfahren, überwacht werden.
In Bezug auf die Empfehlungen der HLG betont der EDSA, dass Grundrechte geschützt bleiben müssen, wenn Strafverfolgungsbehörden auf persönliche Daten zugreifen. Die Empfehlungen zur Datenaufbewahrung könnten jedoch grundrechtsverletzend sein und sind möglicherweise nicht verhältnismäßig.
Der EDSA warnt außerdem davor, dass Maßnahmen zur Umgehung oder Schwächung von Verschlüsselung die Privatsphäre und das Vertrauen in Technologien gefährden könnten.
Abschließend empfiehlt der EDSA, die nächste Überprüfung des EU-U.S.-Angemessenheitsbeschlusses innerhalb von drei Jahren durchzuführen.
EDPB (European Data Protection Board (EDPB) 05.11.2024: https://www.edpb.europa.eu/news/news/2024/edpb-adopts-its-first-report-under-eu-us-data-privacy-framework-and-statement_en
Weitere Informationen:
Datenübermittlung in die USA: https://www.baugewerbe-magazin.de/rechtstipp/datenuebermittlung–in-die-usa.htm
Datenverarbeitung in einem Drittland: Data Transfer Impact Assessment (TIA) – eine Einführung ins Thema: https://gesundheitsdatenschutz.org/download/tia.pdf
Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbstverständlich gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de .