Das EU-U.S. Data Privacy Framework (DPF) ist seit 10. Juli 2023 in Kraft getreten. Wie Sie das neue Datenschutzabkommen in Robin Data umsetzen erfahren Sie in diesem Artikel.
Inhalt
- Hintergrund
- Nutzung von Dienstleistern in den USA
- Standorte in den Vereinigten Staaten von Amerika (USA)
Hintergrund
Im Juli 2023 ist das EU-U.S. Data Privacy Framework (EU-US DPF) zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US DPF soll sicherstellen, dass die Daten von EU-Bürgern, die in die USA übertragen werden, weiterhin den hohen Datenschutzstandards der EU unterliegen.
Für die DSGVO-konforme Umsetzung Ihrer Dokumentation müssen Sie den Einsatz des EU-U.S. Data Privacy Frameworks pflegen. Die Dokumentation erfolgt in folgen Schritten:
- Rechtsgrundlagen importieren
- Nachweistyp importieren
- Externen Kontakte / Dienstleister pflegen
- Standorte hinterlegen
Hinweis:
Haben Sie in der Vergangenheit das "Privacy Shield" als Grundlage (Nachweistyp) zur Datenübermittlung in die USA in Robin Data verwendet, wurde dieser Eintrag automatisch in " EU-U.S. Data Privacy Framework" geändert. Das Privacy Shield wurde bereits 2020 durch den EuGH für ungültig erklärt.
Video zum EU-U.S. Data Privacy Framework
Im Video EU-U.S. Data Privacy Framework finden Sie:
Im Juli 2023 ist das EU-U.S. Data Privacy Framework (EU-U.S. DPF) zwischen der Europäischen Union und den Vereinigten Staaten in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.
Wie das EU-U.S. Data Privacy Framework entstanden ist, welche Konsequenzen es für Unternehmen in der EU hat und warum Sie Ihre existierenden Standardvertragsklauseln vorerst nicht kündigen sollten, erfahren Sie im Video von Rechtsanwald Richard Bode.
Bei dem Video handelt es sich um die Aufzeichnung der Robin Data Hacks vom 29.08.2023. Die Robin Data Hacks finden online statt, die Teilnahme ist kostenfrei. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.
Nutzung von Dienstleistern in den USA
Insofern Sie Dienstleister mit Firmensitz in den USA nutzen, die personenbezogene Daten Ihrer Kunden aus der EU verarbeiten, ist dies nur auf Basis einer Rechtsgrundlage möglich. Beispiele für typische Dienstleistungen sind E-Mail Kommunikation, Chat- und Messengerdienste oder Software zum Kundenbeziehungsmanagement. Diese Verarbeitung auf Basis einer Rechtsgrundlage müssen Sie dokumentieren.
Hintergrund Rechtsgrundlage und Angemessenheitsbeschluss
Das EU-U.S. Data Privacy Framework ist ein Angemessenheitsbeschluss der Europäischen Union. Ein Angemessenheitsbeschluss ist ein Rechtsakt der Europäischen Kommission, der besagt, dass ein Drittland über ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten von EU-Bürgern verfügt. Der Hauptunterschied zwischen einem Angemessenheitsbeschluss und einer Rechtsgrundlage besteht darin, dass ein Angemessenheitsbeschluss eine Feststellung der Europäischen Kommission ist, während eine Rechtsgrundlage in einem Gesetz festgelegt ist.
Der Angemessenheitsbeschluss EU-U.S. Data Privacy Framework basiert auf der Rechtsgrundlage nach Artikel 45 DSGVO "Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses" aus dem Gesetz "Datenschutz-Grundverordnung (DSGVO)". Diese Rechtsgrundlage muss in Ihren Account importiert werden.
Artikel 45 DSGVO als Rechtsgrundlage importieren
Unter den Organisationsstammdaten können Rechtsgrundlagen im Datenschutz importiert werden.
-
Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
- Fahren Sie mit dem Mauszeiger über den Menü-Punkt Basisdaten: Es öffnet sich ein weiteres Dropdown-Menü.
-
Klicken Sie im zweiten Dropdown-Menü auf Rechtsgrundlagen im Datenschutzrecht: Es öffnet sich ein neues Fenster.
-
Klicken Sie auf den Button +Rechtsgrundlagen im Datenschutzrecht: Es öffnet sich der Slider, über den Rechtsgrundlagen in der Datenbank gesucht und in Ihren Account importiert werden können.
-
Geben Sie "Datenschutz-Grundverordnung (DSVGO)" im Feld Gesetzesgrundlage ein.
-
Geben Sie "Angemessenheitsbeschluss" im Feld Suche ein.
-
Wählen Sie "Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses" , durch Klick auf die Checkbox aus.
-
Klicken Sie auf Importieren: Die Rechtsgrundlage wird importiert.
Die Rechtsgrundlage Artikel 45 DSGVO ist erfolgreich in Ihren Account importiert.
Artikel 45 DSGVO als Rechtsgrundlage hinterlegen
Die Rechtsgrundlagen werden in den Verarbeitungstätigkeiten hinterlegt. Für diesen Use Case nehmen wir an, dass das Unternehmen einen Chatdienstleister mit Firmensitz in den USA nutzt. Deswegen haben wir zunächst die Verarbeitungstätigkeit "Chat- und Messagingdienste zur Kommunikation zwischen Mitarbeitern" importiert (zum Hilfeartikel Verarbeitungstätigkeit importieren)
An diesem Beispiel zeigen wir Ihnen, wie Sie Artikel 45 DSGVO als Rechtsgrundlage in der Verarbeitungstätigkeit hinterlegen können.
- Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie im Dropdown-Menü auf Verzeichnis der Verarbeitungstätigkeiten: Es öffnet sich die Tabellenansicht.
- Klicken Sie in der Tabellenansicht auf die zu bearbeitende Verarbeitungstätigkeit "Chat- und Messagingdienste zur Kommunikation zwischen Mitarbeitern" in der Spalte Bezeichnung: Es öffnet sich die Eingabemaske der Verarbeitungstätigkeit.
- Klicken Sie auf der linken Seite der Eingabemaske in das Feld Rechtsgrundlage im Datenschutzrecht: Es öffnet sich ein Dropdown-Menü.
- Suchen Sie im Feld Suche nach "Art. 45 - DSGVO - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses".
- Klicken Sie auf Art. 45 - DSGVO - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses aus der Liste: Die Rechtsgrundlage ist hinterlegt.
- Klicken Sie auf der rechten Seite der Eingabemaske auf den Tab Governance: Der Tab Governance ist geöffnet.
- Klicken Sie auf das Feld Datenverarbeitung in Ländern: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie in das Feld Suche und geben Sie "Vereinigte Staaten von Amerika (USA)" ein.
- Wählen Sie die Vereinigten Staaten von Amerika (USA) durch Klick auf das Land im Dropdown-Menü aus: Das Land ist hinterlegt.
- Klicken Sie auf Speichern: Ihre Änderungen wurden gespeichert.
Die Rechtsgrundlage Artikel 45 DSGVO ist erfolgreich im Verzeichnis der Verarbeitungstätigkeiten hinterlegt, die Datenverarbeitung in den Vereinigten Staaten von Amerika (USA) ist erfolgreich dokumentiert.
EU-U.S. Data Privacy Framework als Nachweistyp importieren
Das EU-U.S. Data Privacy Framework ist keine eigenständige Rechtsgrundlage, wie im Abschnitt Hintergrund Rechtsgrundlage und Angemessenheitsbeschluss näher erklärt ist. Aus diesem Grund finden Sie das EU-U.S. DPF auch nicht im Bereich Rechtsgrundlagen im Datenschutzrecht oder spezielle Rechtsgrundlagen der Robin Data Software.
Vielmehr handelt es sich bei dem EU-U.S. Data Privacy Framework um einen Angemessenheitsbeschluss, auf dessen Grundlage eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden darf. Sollten Sie personenbezogene Daten an ein Drittland übermitteln, müssen Sie nachweisen, auf welcher Grundlage Sie diese Daten transferieren. Den Nachweis "EU-U.S. Data Privacy Framework" können Sie im Bereich Nachweistypen in Ihren Account importieren.
-
Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
- Fahren Sie mit dem Mauszeiger über den Menü-Punkt Basisdaten: Es öffnet sich ein weiteres Dropdown-Menü.
- Klicken Sie im zweiten Dropdown-Menü auf Nachweistyp: Es öffnet sich ein neues Fenster.
-
Klicken Sie auf den Button +Nachweistyp: Es öffnet sich ein Slider, über den Nachweistypen in der Datenbank gesucht und in Ihren Account werden können.
- Geben Sie "EU-U.S. Data Privacy Framework (ab Juli 2023)" im Feld Suche ein.
-
Wählen Sie das "EU-U.S. Data Privacy Framework (ab Juli 2023)" , durch Klick auf die Checkbox aus.
- Klicken Sie auf Importieren: Die Nachweistypen wurden importiert.
Das EU-U.S. Data Privacy Framework ist erfolgreich als Nachweistyp in Ihren Account importiert.
EU-U.S. Data Privacy Framework als Nachweistyp hinterlegen
Werden personenbezogene Daten aus der EU im Rahmen eines Geschäftsprozesses an Unternehmen oder Dienstleister in die USA übertragen, muss die Einhaltung der DSGVO durch Angemessenheitsbeschlüsse oder weitere geeignete Garantien, wie bspw. die Standardvertragsklauseln, geregelt werden.
Das EU-U.S. Data Privacy Framework ist ein Angemessenheitsbeschluss und verfolgt einen sektoralen Ansatz. Das bedeutet, dass nur an zertifizierte Unternehmen personenbezogenen Daten übermittelt werden dürfen. Organisationen aus den USA können die Einhaltung der DSGVO seit Juli 2023 durch eine Zertifizierung durch das U.S. Department of Commerce nachweisen. Eine Liste der bereits zertifizierten Organisationen finden Sie hier:
In Robin Data hinterlegen Sie bei externen Kontakten und Dienstleistern den Nachweistyp "EU-U.S. Data Privacy Framework".
Externe Kontakte
Wie Sie einen neuen externen Kontakt erstellen können, erfahren Sie im Hilfeartikel externe Kontakte verwalten.
- Klicken Sie im Hauptmenü auf Compliance: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie im Dropdown-Menü auf Externe Kontakte: Es öffnet sich die Tabellenansicht.
- Klicken Sie in der Tabelle auf einen der Inhalte der Spalte Bezeichnung: Es öffnet sich die Eingabemaske der bereits existierende externe Kontakt.
- Klicken Sie auf der linken Seite der Eingabemaske in das Feld Kaufmännische und gesetzliche Grundlagen (Nachweistyp): Es öffnet sich ein Dropdown-Menü.
- Suchen Sie im Feld Suche nach "EU-U.S. Data Privacy Framework".
- Klicken Sie auf EU-U.S. Data Privacy Framework aus der Liste: Der Nachweistyp ist hinterlegt.
- Klicken Sie auf der rechten Seite der Eingabemaske auf den Tab Governance: Der Tab Governance ist geöffnet.
- Klicken Sie auf das Feld Datenverarbeitung in Ländern: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie in das Feld Suche und geben Sie "Vereinigte Staaten von Amerika (USA)" ein.
- Wählen Sie die Vereinigten Staaten von Amerika (USA) durch Klick auf das Land im Dropdown-Menü aus: Das Land ist hinterlegt.
- Klicken Sie auf Speichern: Ihre Änderungen wurden gespeichert.
Das EU-U.S. Data Privacy Framework ist erfolgreich als Nachweistyp bei Ihrem externen Kontakt hinterlegt, die Datenverarbeitung in den Vereinigten Staaten von Amerika (USA) ist erfolgreich dokumentiert.
Dienstleistungen & IT-Services
Wie Sie eine neue Dienstleistung erstellen können, erfahren Sie im Hilfeartikel Dienstleistungen verwalten.
- Klicken Sie im Hauptmenü auf Compliance: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie im Dropdown-Menü auf Dienstleistungen & IT-Services: Es öffnet sich die Tabellenansicht.
- Klicken Sie in der Tabelle auf einen der Inhalte der Spalte Bezeichnung: Es öffnet sich die Eingabemaske der bereits existierenden Dienstleistung.
- Klicken Sie auf der linken Seite der Eingabemaske in das Feld Kaufmännische und gesetzliche Grundlagen (Nachweistyp): Es öffnet sich ein Dropdown-Menü.
- Suchen Sie im Feld Search nach "EU-U.S. Data Privacy Framework"
- Klicken Sie auf EU-U.S. Data Privacy Framework aus der Liste: Der Nachweistyp ist hinterlegt.
- Klicken Sie auf der rechten Seite der Eingabemaske auf den Tab Governance: Der Tab Governance ist geöffnet.
- Klicken Sie auf das Feld Datenverarbeitung in Ländern: Es öffnet sich ein Dropdown-Menü.
- Klicken Sie in das Feld Suche und geben Sie "Vereinigte Staaten von Amerika (USA)" ein.
- Wählen Sie die Vereinigten Staaten von Amerika (USA) durch Klick auf das Land im Dropdown-Menü aus: Das Land ist hinterlegt.
- Klicken Sie auf Speichern: Ihre Änderungen wurden gespeichert.
Das EU-U.S. Data Privacy Framework ist erfolgreich als Nachweistyp bei Ihrer Dienstleistung hinterlegt, die Datenverarbeitung in den Vereinigten Staaten von Amerika (USA) ist erfolgreich dokumentiert.
Standorte in den Vereinigten Staaten von Amerika (USA)
Durch den Angemessenheitsbeschluss der Europäischen Kommission gilt die USA seit Juli 2023 als Land mit angemessenem Datenschutzniveau. Grund dafür ist das Inkrafttreten des EU-US Data Privacy Frameworks.
Befindet sich einer Ihrer Unternehmensstandorte in den USA können Sie diesen in Robin Data erstellen. Der Hinweis auf ein Drittland mit angemessenen Garantien (EU-U.S. Data Privacy Framework) wird automatisch hinterlegt.
Standorte erstellen und angemessene Garantien hinterlegen
-
Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
-
Fahren Sie mit dem Mauszeiger über den Menü-Punkt Organisation: Es öffnet sich ein weiteres Dropdown-Menü.
- Klicken Sie im zweiten Dropdown-Menü auf Standorte: Es öffnet sich die Tabellenansicht.
- Klicken Sie auf den Button +Standort: Es öffnet sich ein Zwischenfenster, indem die Bezeichnung und der Ort erfasst wird.
- Füllen Sie die Felder des Zwischenfensters aus.
- Hinterlegen Sie "Vereinigte Staaten von America (USA) im Feld "Land". Es erscheint der Hinweis "Dieses Land ist: Drittland mit angemessenen Garantien (EU-U.S. Data Privacy Framework)."
- Klicken Sie auf Bearbeiten, wenn Sie die Felder der Eingabemaske ausfüllen wollen: Es öffnet sich eine leere Eingabemaske.
- Füllen Sie den Formular der geöffneten Eingabemaske aus.
- Klicken Sie auf Speichern: Der Standort erscheint in die Tabellenansicht.
Die Vereinigten Staaten von America (USA) sind als Drittland mit angemessenen Garantien auf Basis des EU-U.S. Data Privacy Frameworks automatisch hinterlegt.
Weiterführende Links
- Wikibeitrag EU-U.S. Data Privacy Framework
- Link zur Liste, der durch das U.S. Department of Commerce zertifizierten Organisationen (Englisch)
- Hilfeseite Rechtsgrundlagen im Datenschutzrecht
- Hilfeseite Nachweistypen definieren
- Hilfeseite externe Kontakte verwalten
- Hilfeseite Dienstleistungen verwalten
- Hilfeseite Standorte verwalten
- Hilfeseite Verzeichnis der Verarbeitungstätigkeit