Heute ab 15:45 Uhr wurde das neue EU-US Data Protection Framework in einer Pressekonfernz vorgestellt und in diesem Moment auch veröffentlicht. Die 137 Seiten des Abkommens und diverse Webseiten sind nun abrufbar.
Links
Der Volltext in englischer Sprache:
Interessante Seiten sind:
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
////////////////////
Volltext mit Deepl übersetzt zum Download:
Adequacy decision EU-US Data Privacy Framework (Deutsch)
Pressemitteilung
Data Protection: European Commission adopts new adequacy decision for
safe and trusted EU-US data flows
Brussels, 10 July 2023
Today, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy
Framework. The decision concludes that the United States ensures an adequate level of protection –
comparable to that of the European Union – for personal data transferred from the EU to US
companies under the new framework. On the basis of the new adequacy decision, personal data can
flow safely from the EU to US companies participating in the Framework, without having to put in
place additional data protection safeguards.
The EU-U.S. Data Privacy Framework introduces new binding safeguards to address all the concerns
raised by the European Court of Justice, including limiting access to EU data by US intelligence
services to what is necessary and proportionate, and establishing a Data Protection Review Court
(DPRC), to which EU individuals will have access. The new framework introduces significant
improvements compared to the mechanism that existed under the Privacy Shield. For example, if the
DPRC finds that data was collected in violation of the new safeguards, it will be able to order the
deletion of the data. The new safeguards in the area of government access to data will complement
the obligations that US companies importing data from EU will have to subscribe to.
President Ursula von der Leyen said: “The new EU-U.S. Data Privacy Framework will ensure safe
data flows for Europeans and bring legal certainty to companies on both sides of the
Atlantic. Following the agreement in principle I reached with President Biden last year, the US has
implemented unprecedented commitments to establish the new framework. Today we take an
important step to provide trust to citizens that their data is safe, to deepen our economic ties
between the EU and the US, and at the same time to reaffirm our shared values. It shows that by
working together, we can address the most complex issues.”
US companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with
a detailed set of privacy obligations, for instance the requirement to delete personal data when it is
no longer necessary for the purpose for which it was collected, and to ensure continuity of protection
when personal data is shared with third parties.
EU individuals will benefit from several redress avenues in case their data is wrongly handled by US
companies. This includes free of charge independent dispute resolution mechanisms and an
arbitration panel.
In addition, the US legal framework provides for a number of safeguards regarding the access to
data transferred under the framework by US public authorities, in particular for criminal law
enforcement and national security purposes. Access to data is limited to what is necessary and
proportionate to protect national security.
EU individuals will have access to an independent and impartial redress mechanism regarding
the collection and use of their data by US intelligence agencies, which includes a newly created Data
Protection Review Court (DPRC). The Court will independently investigate and resolve complaints,
including by adopting binding remedial measures.
The safeguards put in place by the US will also facilitate transatlantic data flows more generally,
since they also apply when data is transferred by using other tools, such as standard contractual
clauses and binding corporate rules.
Next steps
The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, to be
carried out by the European Commission, together with representatives of European data protection
authorities and competent US authorities.
The first review will take place within a year of the entry into force of the adequacy decision, in order
to verify that all relevant elements have been fully implemented in the US legal framework and are
functioning effectively in practice.
Background
Article 45(3) of the General Data Protection Regulation (GDPR) grants the Commission the power to
decide, by means of an implementing act, that a non-EU country ensures ‘an adequate level of
protection’ – a level of protection for personal data that is essentially equivalent to the level of
protection within the EU. The effect of adequacy decisions is that personal data can flow freely from
the EU (and Norway, Liechtenstein and Iceland) to a third country without further obstacles.
After the invalidation of the previous adequacy decision on the EU-U.S. Privacy Shield by the Court of
Justice of the EU, the European Commission and the US government entered into discussions on a
new framework that addressed the issues raised by the Court.
In March 2022, President von der Leyen and President Biden announced that they had reached an
agreement in principle on a new transatlantic data flows framework, following negotiations between
Commissioner Reynders and US Secretary Raimondo. In October 2022, President Biden signed an
Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’, which
was complemented by regulations issued by US Attorney General Garland. Together, these two
instruments implemented the US commitments reached under the agreement in principle into US
law, and complemented the obligations for US companies under the EU-U.S. Data Privacy
Framework.
An essential element of the US legal framework enshrining these safeguards is the US Executive
Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’, which addresses
the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July
2020.
The Framework is administered and monitored by the US Department of Commerce. The US Federal
Trade Commission will enforce US companies’ compliance.
Übersetzung per Deepl
Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für
sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA
Brüssel, 10. Juli 2023
Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den EU-US-Datenschutz
Rahmen. Der Beschluss kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten, das vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens von der EU an US Unternehmen nach dem neuen Rahmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten Daten aus der EU an US-Unternehmen, die an der Rahmenregelung teilnehmen, ohne zusätzliche ohne zusätzliche Datenschutzgarantien einführen zu müssen.
Mit dem EU-US-Datenschutzrahmen werden neue verbindliche Garantien eingeführt, die alle vom Europäischen Gerichtshof aufgeworfenen Bedenken ausräumen
die vom Europäischen Gerichtshof geäußert wurden, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste Nachrichtendienste auf das notwendige und verhältnismäßige Maß beschränkt und ein Datenschutzprüfungsgericht (DPRC), zu dem EU-Bürger Zugang haben werden. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem Mechanismus, der unter dem Privacy Shield bestand. Wenn zum Beispiel das DPRC feststellt, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Sicherheitsvorkehrungen im Bereich des staatlichen Zugangs zu Daten ergänzen die Verpflichtungen, denen sich US-Unternehmen, die Daten aus der EU importieren, unterwerfen müssen.
Bundespräsidentin Ursula von der Leyen sagte dazu: “Der neue EU-US-Datenschutzrahmen wird einen sicheren Datenverkehr für die Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantik. Nach der Grundsatzvereinbarung, die ich letztes Jahr mit Präsident Biden getroffen habe, haben die USA die USA beispiellose Verpflichtungen zur Schaffung des neuen Rahmens eingegangen. Heute unternehmen wir einen Heute unternehmen wir einen wichtigen Schritt, um den Bürgern das Vertrauen in die Sicherheit ihrer Daten zu geben, unsere Wirtschaftsbeziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu bekräftigen. Er zeigt, dass wir durch wir die komplexesten Probleme gemeinsam angehen können”.
US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, folgende Verpflichtungen einzuhalten eine Reihe detaillierter Datenschutzverpflichtungen einhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden, und die Gewährleistung der Kontinuität des Schutzes wenn personenbezogene Daten an Dritte weitergegeben werden.
EU-Bürger können mehrere Rechtsmittel einlegen, wenn ihre Daten von US-Unternehmen falsch behandelt werden.
Unternehmen. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsstelle.
Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugang zu Daten vor Daten durch US-Behörden, insbesondere für Zwecke der Strafverfolgung und der Strafverfolgung und für Zwecke der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und notwendig und verhältnismäßig ist, um die nationale Sicherheit zu schützen.
Einzelpersonen in der EU werden Zugang zu einem unabhängigen und unparteiischen Rechtsbehelfsverfahren haben, wenn über die Erhebung und Verwendung ihrer Daten durch die US-Geheimdienste zugreifen können, wozu auch ein neu geschaffenes Datenschutz-Überprüfungsgericht (DPRC). Das Gericht wird Beschwerden unabhängig untersuchen und schlichten, auch durch die Verabschiedung verbindlicher Abhilfemaßnahmen.
Die von den USA eingeführten Schutzmaßnahmen werden auch den transatlantischen Datenverkehr im Allgemeinen erleichtern, da sie auch bei der Übermittlung von Daten unter Verwendung anderer Instrumente, wie Standardvertragsklauseln Vertragsklauseln und verbindliche Unternehmensregeln.
Die nächsten Schritte
Die Funktionsweise des EU-US-Datenschutzrahmens wird in regelmäßigen Abständen von der Europäischen Kommission die Europäische Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und Datenschutzbehörden und der zuständigen US-Behörden.
Die erste Überprüfung wird innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Hintergrund
Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) ermächtigt die Kommission im Wege eines Durchführungsrechtsakts zu beschließen, dass ein Nicht-EU-Land ein “angemessenes Schutzniveau” gewährleistet Schutzniveau” gewährleistet – ein Schutzniveau für personenbezogene Daten, das im Wesentlichen dem Schutzniveau Schutzniveau innerhalb der EU entspricht. Die Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten ungehindert aus der
der EU (und Norwegens, Liechtensteins und Islands) ohne weitere Hindernisse in ein Drittland fließen können.
Nach der Nichtigerklärung des früheren Angemessenheitsbeschlusses zum EU-US-Datenschutzschild durch den Gerichtshof der EU Gerichtshof der EU, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen, der die vom Gerichtshof aufgeworfenen Fragen behandelt.
Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie eine eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben, nachdem Kommissarin Reynders und US-Ministerin Raimondo. Im Oktober 2022 unterzeichnete Präsident Biden eine Exekutiverlass über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der Vereinigten Staaten im Bereich der Signalnachrichtendienste”, der die durch Verordnungen des US-Justizministers Garland ergänzt wurde. Mit diesen beiden die im Rahmen des Grundsatzabkommens eingegangenen Verpflichtungen der USA in US-Recht um in US-Recht um und ergänzten die Verpflichtungen der US-Unternehmen aus dem EU-US-Datenschutzrahmen Rahmen.
Ein wesentliches Element des US-Rechtsrahmens, in dem diese Schutzmaßnahmen verankert sind, ist die US Executive Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’, die auf die vom Gerichtshof die die Bedenken des Gerichtshofs der Europäischen Union in seinem Urteil in der Rechtssache Schrems II vom Juli 2020.
Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US Federal Handelskommission wird die Einhaltung des Rahmens durch die US-Unternehmen durchsetzen.