21 Aug Data Privacy Framework („Datenschutzrahmen“)
Was haben Verantwortliche zu tun?
Es steht nunmehr fest, dass die USA ein angemessenes Schutzniveau gewährleisten, sofern ein Datentransfer mit US-Unternehmen erfolgt, die zertifiziert sind.
Verantwortliche haben zu prüfen, ob der betreffende US-Datenempfänger eine derartige Zertifizierung aufweist. Ist dies nicht der Fall, gelten nach wie vor die Bestimmungen des Art 46 DSGVO zur Datenübermittlung in ein Drittland. Für einen derartigen Datentransfer bedarf es geeigneter Garantien wie etwa Standarddatenschutzklauseln. Ist das US-Empfängerunternehmen zertifiziert, kann ein Datentransfer auf Grundlage des „Datenschutzrahmens“ erfolgen. Eine schriftliche Dokumentation darüber ist jedenfalls empfehlenswert.
Wir empfehlen außerdem, die Datenschutzinformationen (Art 12 ff DSGVO) und/oder die Auftragsverarbeitungsverträge zu prüfen und gegebenenfalls anzupassen und zu aktualisieren.