EU-US DPF unter der Lupe: Ihre nächsten Schritte zur Zertifizierung und Compliance

Im Jahr 2023 stellte die Einführung des Datenschutzrahmens EU-USA (EU-US Data Privacy Framework, EU-US DPF) einen entscheidenden Mechanismus wieder her, um den Transfer personenbezogener Daten aus der EU in die USA rechtskonform zu gestalten. Ein Jahr später veröffentlichte die Europäische Kommission das Ergebnis ihrer ersten Überprüfung der Angemessenheitsentscheidung und kam zu dem Schluss, dass die erforderlichen Strukturen und Prozesse vorhanden sind, um das Funktionieren des EU-US DPF sicherzustellen. Für Unternehmen, die personenbezogene Daten in die USA übermitteln möchten, ist eine Zertifizierung nach dem EU-US-DPF nach wie vor ein wichtiger Schritt. Doch der Bericht der Kommission hat auch deutlich gemacht, dass die fortwährende Compliance ebenso wichtig ist.

In diesem Blog beleuchten wir drei zentrale Bereiche, auf die Unternehmen bei der Selbstzertifizierung oder der Aufrechterhaltung der Compliance achten sollten, wie im Bericht hervorgehoben. Wir werden uns insbesondere mit der Ausarbeitung DPF-konforme Datenschutzbestimmungen für das US-Handelsministerium befassen. Darüber hinaus werden wir uns mit Selbstbewertungen beschäftigen, um zu beurteilen, inwieweit Ihr Unternehmen die Grundsätze „Rechtsschutz, Durchsetzung und Haftung“, „Zugang“, „Wahlmöglichkeit“ und „Verantwortlichkeit für die Weitergabe“ effektiv erfüllt.

Entwurf DPF-konformer Datenschutzbestimmungen

In ihrem Bericht weist die Europäische Kommission eindringlich darauf hin, wie wichtig es ist, Datenschutzbestimmungen zu erstellen, die den Anforderungen des EU-US DPF entsprechen. Ein solcher Entwurf bildet die Grundlage für den Antrag auf Zertifizierung und muss bestimmte Informationen über die Datenverarbeitungsvorgänge Ihres Unternehmens enthalten. Gleichzeitig bietet er die Gelegenheit, transparent zu vermitteln, wie Ihr Unternehmen mit personenbezogenen Daten umgeht.

Wesentliche Bestandteile DPF-konformer Datenschutzbestimmungen

Zur Vorbereitung auf die Selbstzertifizierung ist es empfehlenswert, zunächst einen umfassenden Entwurf für Datenschutzbestimmungen zu erstellen. Dieser sollte alle Aspekte der Datenerhebung, -nutzung, -speicherung und -weitergabe detailliert beschreiben. Um die Anforderungen des EU-US DPF zu erfüllen, muss dieser Entwurf Informationen zu folgenden Punkten enthalten:

• Kategorien personenbezogener Daten: Geben Sie eindeutig an, welche Arten personenbezogener Daten Sie erheben. Dabei kann es sich um grundlegende Kontaktdaten oder um sensiblere Informationen, wie beispielsweise ethnische Zugehörigkeit, sexuelle Orientierung oder Gesundheitsdaten, handeln.
• Verpflichtung auf den EU-US-DPF und dessen Grundsätze: Ihre Bestimmungen müssen betroffene Personen über ihre Teilnahme am Rahmenwerk informieren. Darüber hinaus sollten die Bestimmungen Informationen enthalten, die Ihr Bekenntnis zu den Grundsätzen des Rahmenwerks – darunter „Wahlmöglichkeit“, „Zugang“ und „Sicherheit“ – zum Ausdruck bringen.
• Datennutzung und -weitergabe: Beschreiben Sie, wie die Daten genutzt und weitergegeben werden sollen, und nennen Sie die beabsichtigten Zwecke sowie die Dritten, an die die Daten weitergegeben werden sollen. Mögliche Zwecke sind beispielsweise interne Nutzung oder Marketing.
• Kontaktinformationen und Streitbeilegung: Ihre Bestimmungen sollten Angaben dazu enthalten, wie Einzelpersonen Ihr Unternehmen kontaktieren können, um eine Anfrage oder Beschwerde einzureichen. Darüber hinaus sollten sie Informationen über die unabhängige Streitbeilegungsstelle enthalten, die für die Bearbeitung von Beschwerden zuständig ist und den Betroffenen kostenlos angemessene Rechtsmittel zur Verfügung stellt.
• Rechte des Einzelnen: Informieren Sie betroffene Personen über ihr Recht auf Auskunft über ihre Daten sowie über die Möglichkeiten, die Nutzung und Weitergabe dieser Daten einzuschränken.
• Durchsetzung: DPF-konforme Datenschutzbestimmungen sollten Betroffene darüber informieren, ob Ihr Unternehmen den „geltenden Ermittlungs- und Durchsetzungsbefugnissen der FTC, des Verkehrsministeriums oder einer anderen bevollmächtigten US-Behörde” unterliegt.

Laden Sie die Checkliste herunter, um zu erfahren, welche Schritte erforderlich sind, um die Selbstzertifizierung durchzuführen und die Einhaltung des EU-US DPF zu gewährleisten.

Bewertung Ihres Programms anhand des Grundsatzes „Rechtsschutz, Durchsetzung und Haftung“

Der Grundsatz „Rechtsschutz, Durchsetzung und Haftung“ soll betroffenen Personen durchsetzbare Rechte einräumen und garantieren, dass Unternehmen über belastbare Mechanismen zur Bearbeitung von Beschwerden verfügen. Laut Rückmeldungen an die Europäische Kommission nutzen Unternehmen Selbstbewertungen oder externe Prüfungen, um die Einhaltung dieses Grundsatzes sicherzustellen.

Kernpunkte des Grundsatzes „Rechtsschutz, Durchsetzung und Haftung“

Dieser Grundsatz verpflichtet Ihr Unternehmen dazu, Mechanismen bereitzustellen, die die Einhaltung der Grundsätze des EU-US DPF sicherstellen, und betroffenen Personen ein Beschwerdeverfahren anzubieten. Dazu gehört die Einrichtung eines unabhängigen Rechtsschutzmechanismus, über den Beschwerden und Streitfälle kostenlos untersucht werden. Darüber hinaus müssen Prozesse geschaffen werden, um die Datenschutzpraktiken Ihres Unternehmens regelmäßig zu überprüfen und festzustellen, an welchen Stellen im Falle eines Verstoßes bereits Abhilfemaßnahmen umgesetzt wurden.

Durchführung einer Compliance-Selbstbewertung

Eine gründliche Selbstbewertung ist eine der von der Kommission genannten Möglichkeiten, um zu gewährleisten, dass Ihr Programm mit dem Durchsetzungs- und Haftungsgrundsatz des EU US-DPF im Einklang steht. Wenn Sie sich dieser Aufgabe widmen, sollten Sie zunächst alle internen Prozesse zur Beschwerdebehandlung überprüfen und gewährleisten, dass Sie über eine lückenlose Dokumentation der Streitbeilegungsverfahren verfügen. Prüfen Sie diese Verfahren regelmäßig durch Audits, um sicherzustellen, dass sie wie vorgesehen funktionieren. Ziehen Sie außerdem in Betracht, Checklisten oder eine Compliance-Management-Software zu nutzen, um systematisch jedes Element des Rechtsschutzgrundsatzes nachzuverfolgen. Darüber hinaus muss die Selbstbewertung mindestens einmal im Jahr durch eine von einer Führungskraft oder einer anderen befugten Vertretung Ihres Unternehmens unterzeichnete Erklärung bestätigt werden. Diese muss auf Anfrage betroffener Personen oder im Rahmen einer Untersuchung oder Beschwerde wegen eines Verstoßes vorgelegt werden können.

Um zu gewährleisten, dass Ihr Unternehmen die sich ständig weiterentwickelnden gesetzlichen Standards erfüllt, empfiehlt es sich, regelmäßig Datenschutzfachleute zu konsultieren. Zudem sollten Sie sich mit Stakeholdern aus verschiedenen Unternehmensbereichen austauschen, um zu gewährleisten, dass Ihr Unternehmen das tut, was es vorgibt zu tun.

Nachweis der Erfüllung der Grundsätze „Zugang“, „Wahlmöglichkeit“ und „Weiterübermittlung“

Diese Grundsätze schützen das Recht der betroffenen Personen, über ihre personenbezogenen Daten zu bestimmen und zu entscheiden, wie diese weitergegeben werden. Zudem sollen sie sicherstellen, dass Dritte das gleiche Schutzniveau einhalten. Wie im Bericht der Kommission dargelegt, wird die Einhaltung dieser Grundsätze insbesondere durch unabhängige Beschwerdestellen (IRMs) des privaten Sektors kontrolliert. Unternehmen werden dabei Audits und Stichprobenkontrollen unterzogen.

Umsetzung der Grundsätze „Zugang“ und „Wahlmöglichkeit“

Gemäß dem EU-US DPF haben betroffene Personen das Recht, Zugang zu ihren personenbezogenen Daten zu erhalten und der Nutzung ihrer Daten für bestimmte Zwecke zu widersprechen. Sie sollten nachvollziehen können, wie Ihr Unternehmen betroffenen Personen Zugang zu ihren personenbezogenen Daten gewährt. Um dieses Verständnis aufzubauen, empfiehlt es sich zunächst, Prozesse zu implementieren, die es betroffenen Personen auf einfache Weise ermöglichen, eine Kopie ihrer gespeicherten personenbezogenen Daten anzufordern und zu erhalten. Dies kann über ein Online-Portal oder per E-Mail erfolgen. Der Prozess sollte effizient und benutzerfreundlich sein. Anschließend sollten Sie sich auf die Operationalisierung wirksamer Auswahlmechanismen konzentrieren und sicherstellen, dass diese für die betroffenen Personen leicht zugänglich und erschwinglich sind. So können die Betroffenen ihre Opt-out-Optionen, insbesondere für die Weitergabe von Daten oder die Verwendung in sekundären Funktionen wie dem Marketing, ausüben. Als bewährte Vorgehensweise sollten Sie zudem gewährleisten, dass Nutzer ihre Präferenzen leicht ändern können.

Einhaltung der Weitergaberegeln

Die Weitergabe von Daten an Dritte ist ein wichtiger Aspekt des EU-US DPF. Um die Compliance aufrechtzuerhalten, ist es unerlässlich, mit diesen Dritten ordnungsgemäße Vereinbarungen zu treffen, diese zu dokumentieren und Verträge abzuschließen, die sich ausdrücklich auf die Weitergabe von Daten beziehen. Diese Verträge müssen sicherstellen, dass der Dritte dieselben Grundsätze wie Ihr Unternehmen und die des Rahmenwerks einhält. Zudem müssen sie dessen Sicherheits- und Datenschutzverpflichtungen detailliert festlegen. Um zu überprüfen, ob der Dritte diese Verpflichtungen einhält, sollten entsprechende Klauseln in die Verträge aufgenommen werden, die es Ihrem Unternehmen ermöglichen, die Einhaltung dieser Verpflichtungen zu überwachen. So kann Ihr Unternehmen regelmäßige Audits durchführen und den Anforderungen des Grundsatzes der Weitergabe kontinuierlich entsprechen. Ihr Unternehmen muss über Maßnahmen verfügen, um Beziehungen zu nicht konformen Anbietern schnell zu beenden.

Erkenntnisse aus der Überprüfung der Europäischen Kommission

Die erste jährliche Überprüfung des Angemessenheitsbeschlusses zum EU-US DPF durch die Europäische Kommission ist für Unternehmen, die sich selbst zertifizieren möchten oder ihre bestehende Compliance mit dem Rahmenwerk aufrechterhalten wollen, ein wertvoller Orientierungspunkt. Der Bericht hebt mehrere Bereiche hervor, die nach einem Jahr praktischer Anwendung des Rahmenwerks besondere Beachtung verdienen. Grundlage dafür sind die Erkenntnisse der teilnehmenden Unternehmen, Branchenverbände und staatlichen Stellen, die an der Umsetzung und Weiterentwicklung des Rahmenwerks beteiligt sind.

Wenn sich Unternehmen darauf konzentrieren, transparente Datenschutzbestimmungen zu erstellen, gründliche Selbstbewertungen durchzuführen und die Anforderungen in Bezug auf Zugang, Wahlmöglichkeit und Weiterübermittlung konsequent einzuhalten, schaffen sie eine solide Basis, um wesentliche Voraussetzungen für die Teilnahme am Rahmenwerk zu erfüllen und diese nachhaltig sicherzustellen.

OneTrust Privacy Operations bietet Ihnen zentrale Funktionen, die Sie dabei unterstützen, ein mit dem EU-US DPF konformes Datenschutzprogramm aufzubauen, zu verwalten und transparent zu dokumentieren. Mit OneTrust Privacy Operations stehen Ihnen alle erforderlichen Werkzeuge zur Verfügung, um Ihre Datenschutzprozesse effizient zu gestalten und Verantwortlichkeit sowie Transparenz überzeugend nachzuweisen. Die Lösung unterstützt Sie unter anderem bei der Verwaltung von Datenschutzerklärungen und der Abbildung von Datenflüssen.

Laden Sie die Checkliste herunter, um mehr über die notwendigen Schritte zur Selbstzertifizierung und zur EU-US DPF-Compliance zu erfahren. Oder vereinbaren Sie einen Demo-Termin, um mit einem unserer Experten zu sprechen.