Neuer EU-USA-Datenschutzrahmen: Eine umfassende Aufschlüsselung und was er für Ihr Unternehmen bedeutet
Die Europäische Kommission hat kürzlich ihre Angemessenheitsentscheidung für das EU-US-Datenschutzrahmenwerk angenommen, ein entscheidender Meilenstein in der globalen Datenschutz. Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein Schutzniveau für personenbezogene Daten gewährleisten müssen, die von der EU an US-Unternehmen übertragen werden, das mit dem der EU vergleichbar ist.
Dieser neue Rahmen führt eine Reihe von verbesserten Sicherheitsmaßnahmen ein, die versprechen, die Datenschutzlandschaft für Organisationen, die Geschäfte über den Atlantik tätigen, zu verändern. Für Organisationen, die versuchen, diese Änderungen zu navigieren, sind Dienstleister wie Kiteworks bereit, die Einhaltung dieses neuen Rahmens zu vereinfachen und zu beschleunigen.
Eine neue Ära im Datenschutz
Die Einführung des Rahmens erfolgt aufgrund einer Angemessenheitsentscheidung, die von der Europäischen Kommission getroffen wurde. Diese Entscheidung erkennt an, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten bieten, die von der EU in die USA übertragen werden, das den von der EU gebotenen Schutzmaßnahmen entspricht. Die Entscheidung ermöglicht einen freien und sicheren Datenfluss von Einheiten innerhalb des Europäischen Wirtschaftsraums (EWR) zu teilnehmenden US-Unternehmen im Rahmen des EU-US-Datenschutzrahmens. Der EWR umfasst die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein.
Diese Entscheidung erfolgte im Zuge der Unterzeichnung einer Exekutivverordnung durch die USA zur “Verbesserung der Schutzmaßnahmen für die Signalaufklärungsaktivitäten der Vereinigten Staaten”, die neue Verpflichtungen einführte, um Bedenken zu adressieren, die vom Gerichtshof der Europäischen Union in seiner Schrems II-Entscheidung vom Juli 2020 geäußert wurden.
Ein Blick auf die Schrems II-Entscheidung
Die Schrems II-Entscheidung hat wichtige Fragen hinsichtlich des Ausmaßes aufgeworfen, in dem US-Nachrichtendienste auf Daten zugreifen könnten, und der Notwendigkeit einer unparteiischeren und unabhängigeren Mechanismus zur Beilegung von Beschwerden im Zusammenhang mit der Datenerhebung für nationale Sicherheitszwecke. Die neuen Maßnahmen garantieren, dass Daten nur in dem erforderlichen und angemessenen Maße von US-Nachrichtendiensten abgerufen werden können. Es wird auch ein robustes System zur Bearbeitung von Beschwerden eingerichtet.
Verständnis von Angemessenheitsentscheidungen
Eine Angemessenheitsentscheidung ist ein Mechanismus, der im Rahmen der Allgemeinen Datenschutzverordnung (DSGVO) bereitgestellt wird und die Übertragung personenbezogener Daten aus der EU in Drittländer ermöglicht. Diese Länder müssen nach der Bewertung der Kommission ein vergleichbares Datenschutzniveau wie in der EU bieten.
Kriterien für die Angemessenheitsbewertung
Angemessenheit bedeutet nicht, dass das Datenschutzsystem des Drittlandes identisch mit dem der EU ist, sondern basiert eher auf einem Standard der “wesentlichen Äquivalenz”. Dies beinhaltet eine umfassende Bewertung des Datenschutzrahmens des Landes, des Schutzes, der auf personenbezogene Daten anwendbar ist, und der verfügbaren Aufsichts- und Beschwerdemechanismen.
Elemente wie das Vorhandensein von Grundprinzipien des Datenschutzes, individuelle Rechte, unabhängige Aufsicht und wirksame Abhilfemaßnahmen werden alle für diese Bewertung berücksichtigt.
Einblick in den EU-US-Datenschutzrahmen
Im Rahmen der Angemessenheitsentscheidung hat die Kommission die Anforderungen, Beschränkungen und Schutzmaßnahmen des EU-US-Datenschutzrahmens sorgfältig bewertet, die gelten, wenn personenbezogene Daten, die in die USA übertragen werden, von US-öffentlichen Stellen für strafrechtliche Verfolgung und nationale Sicherheitszwecke abgerufen werden würden.
Vorteile des Rahmens
Das Rahmenwerk bietet EU-Bürgern, deren Daten an teilnehmende US-Unternehmen übertragen würden, mehrere neue Rechte, einschließlich Zugang zu ihren Daten und Korrektur oder Löschung von falschen oder rechtswidrig gehandhabten Daten. Es bietet auch mehrere Wiedergutmachungswege für falsch gehandhabte Daten, einschließlich unabhängiger Streitbeilegungsmechanismen und einem Schiedsgericht.
US-Unternehmen können ihre Verpflichtung zum EU-US-Datenschutzrahmen durch die Einhaltung eines detaillierten Satzes von Datenschutzpflichten nachweisen, wie zum Beispiel Zweckbeschränkung, Datenminimierung und Datenaufbewahrung, sowie spezifische Verantwortlichkeiten im Zusammenhang mit Datensicherheit und Datenaustausch mit Dritten.
Verwaltung und Durchsetzung des Rahmens
Das US-Handelsministerium wird den Rahmen verwalten, Anträge auf Zertifizierung bearbeiten und überwachen, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen kontinuierlich erfüllen. Die Einhaltung wird von der US-Bundeshandelskommission durchgesetzt.
Beschränkungen und Sicherheitsmaßnahmen für den Datenzugriff durch US-Nachrichtendienste
Die Executive Order über “Verbesserung der Schutzvorkehrungen für Aktivitäten der US-Signalaufklärung” bildet ein Schlüsselelement des US-rechtlichen Rahmens, der die Angemessenheitsentscheidung unterstützt. Diese Anordnung bietet mehrere Schutzmaßnahmen für Europäer, deren personenbezogene Daten in die USA übertragen werden, einschließlich der Beschränkung des Zugangs zu Daten durch US-Geheimdienstbehörden, der Verbesserung der Aufsicht über die Aktivitäten der Geheimdienste und der Einrichtung eines unabhängigen Wiedergutmachungsmechanismus.
Der Wiedergutmachungsmechanismus für Fragen der nationalen Sicherheit
Die US-Regierung hat einen neuen zweistufigen Wiedergutmachungsmechanismus mit unabhängiger und bindender Befugnis eingerichtet, um Beschwerden von Personen zu bearbeiten, deren Daten von der EWR an US-Unternehmen übertragen wurden und die sich auf die Datenerhebung und -nutzung durch US-Geheimdienste beziehen.
Der Beschwerdeprozess
Der Beschwerdeprozess beginnt beim Civil Liberties Protection Officer der US-Geheimdienstgemeinschaft, und Einzelpersonen können die Entscheidung des Beamten vor dem neu geschaffenen Datenschutzüberprüfungsgericht (DPRC) anfechten. Das Gericht setzt sich aus Mitgliedern außerhalb der US-Regierung zusammen, die keine Anweisungen von der Regierung erhalten können und die Befugnis haben, Beschwerden zu untersuchen und bindende Abhilfeentscheidungen zu treffen.
Zeitplan für die Umsetzung
Die Angemessenheitsentscheidung trat sofort nach ihrer Annahme am 10. Juli 2023 in Kraft. Obwohl es keinen spezifischen Zeitplan gibt, wird die Kommission die relevanten Entwicklungen in den USA kontinuierlich überwachen und die Angemessenheitsentscheidung regelmäßig überprüfen, beginnend ein Jahr nachdem die Entscheidung in Kraft getreten ist.
Auswirkungen auf andere Datenübertragungstools
Die von der US-Regierung im nationalen Sicherheitsbereich festgelegten Sicherheitsvorkehrungen gelten für alle Datenübertragungen gemäß der DSGVO an Unternehmen in den USA, unabhängig von den verwendeten Übertragungsmechanismen. Diese Sicherheitsmaßnahmen erleichtern daher auch den Einsatz anderer Tools, wie z.B. Standardvertragsklauseln und verbindliche Unternehmensregeln.
Verwenden Sie Kiteworks, um die Einhaltung des EU-US-Datenschutzrahmens zu beschleunigen
Das Kiteworks Private Content Network (PCN) ermöglicht es Organisationen, sensible Informationen bei jedem Senden, Teilen, Empfangen und Speichern zu schützen, und erleichtert so nahtlose Interaktionen mit Kunden und Handelspartnern weltweit. Ein erheblicher Teil der Kiteworks-Kundenbasis nutzt die Plattform, um die Einhaltung einer Reihe von Datenschutzvorschriften zu gewährleisten, einschließlich der DSGVO, zahlreicher staatlicher Datenschutzgesetze, wie dem California Consumer Privacy Act (CCPA) und zahlreichen anderen US-Bundesstaatengesetzen, die verabschiedet wurden, dem Personal Data Protection Act (PDPA), dem Personal Information Protection and Electronic Documents Act (PIPEDA), dem Health Insurance Portability and Accountability Act (HIPAA) und anderen.
Während das neu eingerichtete EU-US-Datenschutzrahmenwerk darauf abzielt, das Risiko zu minimieren, dass sensible Daten von EU-Bürgern in die Hände von US-Regierungsbehörden, wie der Strafverfolgung oder der NSA, gelangen, beseitigt es diese Möglichkeit nicht vollständig. Hier tritt Kiteworks in Erscheinung und bietet eine zusätzliche Schicht an Datenschutz und Kontrolle.
Im Herzen der Datenschutzstrategie von Kiteworks steht die absolute Kontrolle, die es über Inhalte bietet. Mit einem Ansatz für digitales Rechtemanagement, können Organisationen genau definieren, wo ihre Daten geographisch gespeichert werden, wer darauf zugreifen kann und wann sie ablaufen. Diese umfassende Kontrolle erstreckt sich auf Audit-Protokolle und bietet eine transparente, überprüfbare Aufzeichnung von Datenverarbeitungsaktivitäten. Diese Transparenz stellt sicher, dass Organisationen effektiv die Einhaltung des neuen EU-US-Rahmens und anderer Vorschriften nachweisen können. Wichtig ist, dass Kiteworks eine strenge Richtlinie beibehält, die es seinen Mitarbeitern verbietet, auf Kundeninhalte zuzugreifen und so das Potenzial für nicht autorisierte Datenoffenlegungen ausschließt.
Wenn es um den Umgang mit sensiblen Daten von externen Parteien geht, bietet Kiteworks anspruchsvolle Tools, um den Anforderungen an die Einhaltung von Datenschutzvorschriften gerecht zu werden. Organisationen können automatisierte Ablaufrichtlinien festlegen, die auf ihre spezifischen Anforderungen abgestimmt sind. Dies stellt sicher, dass Daten nicht länger als notwendig aufbewahrt werden, wodurch das Risiko von unbefugtem Zugriff oder Verstößen verringert wird.
Darüber hinaus erleichtert Kiteworks die Einhaltung von Datenbetroffenenrechten, einschließlich des Rechts auf Löschung nach der DSGVO und des neuen Wiedergutmachungsmechanismus im Rahmen des EU-US-Rahmenwerks. Organisationen können schnell nach Daten suchen, sie lokalisieren und auf Kundenanfrage löschen, um die Einhaltung dieser entscheidenden Aspekte von Datenschutzbestimmungen sicherzustellen.
Schließlich setzt Kiteworks eine gehärtete virtuelle Appliance ein, die Sicherheitsschichten aufbringt, eine Netzwerk-Firewall und Webanwendungsfirewall (WAF) integriert, Ende-zu-Ende-Verschlüsselung einsetzt und fortschrittliche Sicherheitstechnologie wie einbindet.Inhaltliche Entwaffnung und Rekonstruktion (CDR), Verlustprävention von Daten (DLP) und fortgeschrittene Bedrohungsreaktion (ATR), und nutzt AI-gestützte Anomalieerkennung. Dies macht es für Schurkenstaaten und Cyberkriminelle wesentlich schwieriger, sensible Inhaltskommunikationen auszunutzen und gewährleistet, dass die privaten Daten von EU-Bürgern geschützt sind.
Mit Kiteworks haben Organisationen umfassende und flexible Fähigkeiten, die sie nutzen können, um das komplexe Gelände der globalen Datenschutzbestimmungen zu navigieren, einschließlich des neu angenommenen EU-US-Datenschutzrahmens. Durch die Bereitstellung beispielloser Datenkontrolle, die Aufrechterhaltung der Datenhoheit, die Bereitstellung umfassender Prüfprotokolle und die Erleichterung von Datenzugriffsanfragen stellt Kiteworks sicher, dass Organisationen die Einhaltung des neuen EU-US-Datenschutzrahmens sowie anderer Datenschutzbestimmungen leicht nachweisen können.
Vereinbaren Sie eine individuelle Demo von Kiteworks heute, um zu sehen, wie es Ihre Einhaltung des EU-US-Datenschutzrahmens beschleunigen kann.
Zusätzliche Ressourcen
- Blog Post Wie Sie sensible Inhalte sicher teilen können in Übereinstimmung mit NIST 800-171
- Blog Post Was Sie über das NIST Datenschutz-Framework zum Schutz sensibler Daten wissen müssen
- Webinar Wie man steigende Risiken durch isolierte Kommunikationstools und den Datenaustausch über Drittanbieter-Dateien und E-Mails entgegenwirken kann
- Kurzbericht Wie man die DORA-Konformität mit Kiteworks navigiert
- Kurzbericht Wie man die HIPAA-Konformität mit Kiteworks erreicht
- Brief Wie man NIS 2 Compliance mit Kiteworks erreicht