Das EU-US Data Privacy Framework (DPF) steht Unternehmen zur Verfügung, die personenbezogene Daten aus der EU in die USA übertragen und dabei ein angemessenes Datenschutzniveau sicherstellen müssen, sofern der US-Partner bereits für das DPF zertifiziert ist. Die Zertifizierung von Unternehmen unter dem DPF erfolgt nach einem definierten Verfahren, das darauf abzielt, die Einhaltung von Datenschutzstandards sicherzustellen.

Hier ist ein Überblick über die wesentlichen Schritte und Anforderungen:

1. Selbstzertifizierung

• Unternehmen, die sich zertifizieren möchten, müssen sich bei der US-Handelsbehörde (Department of Commerce) registrieren und angeben, dass sie sich den Anforderungen des Frameworks unterwerfen.
• Die Selbstzertifizierung erfolgt jährlich und beinhaltet die Verpflichtung, die Datenschutzprinzipien des DPF einzuhalten.

2. Datenschutzprinzipien des DPF

Die Unternehmen müssen bestätigen, dass sie die folgenden Kernprinzipien einhalten:

• Benachrichtigung: Betroffene Personen müssen darüber informiert werden, wie ihre Daten verarbeitet werden.
• Wahlfreiheit: Individuen müssen die Möglichkeit haben, der Nutzung oder Weitergabe ihrer Daten zu widersprechen.
• Datenintegrität und Zweckbindung: Daten dürfen nur für festgelegte Zwecke verwendet und müssen genau und aktuell gehalten werden.
• Sicherheitsmaßnahmen: Angemessene technische und organisatorische Maßnahmen müssen getroffen werden, um Daten zu schützen.
• Datenweitergabe: Die Weitergabe von Daten an Dritte darf nur erfolgen, wenn diese ebenfalls den Anforderungen des DPF entsprechen.
• Zugangsrechte: Betroffene Personen müssen Zugang zu ihren Daten erhalten und die Möglichkeit haben, unrichtige Daten zu korrigieren oder zu löschen.
• Rechenschaftspflicht bei Übertragungen: Unternehmen müssen sicherstellen, dass die Verarbeitung durch Dritte im Einklang mit den DPF-Prinzipien erfolgt.

3. Überprüfung und Zertifizierung

• Das Department of Commerce prüft die übermittelten Informationen und überprüft, ob das Unternehmen die Anforderungen erfüllt.
• Nach erfolgreicher Überprüfung wird das Unternehmen in die offizielle Liste der zertifizierten Unternehmen aufgenommen, die öffentlich zugänglich ist.

4. Überwachung und Durchsetzung

• Die Einhaltung des Frameworks wird von der Federal Trade Commission (FTC) überwacht. Die FTC kann Maßnahmen ergreifen, wenn Unternehmen gegen ihre Verpflichtungen verstoßen.
• Unternehmen müssen sicherstellen, dass ihre Datenschutzpraktiken regelmäßig überprüft werden.

5. Beschwerdemechanismen

• Betroffene Personen können Beschwerden direkt beim Unternehmen einreichen.
• Falls die Beschwerde nicht zufriedenstellend gelöst wird, können unabhängige Streitbeilegungsstellen oder nationale Datenschutzbehörden eingeschaltet werden.
• Es besteht die Möglichkeit, ungelöste Streitigkeiten durch ein verbindliches Schiedsverfahren beizulegen.

6. Kosten der Zertifizierung

• Unternehmen tragen die Kosten für die Anmeldung, die jährliche Zertifizierung und eventuelle zusätzliche Gebühren für die Einbindung von Drittanbietern wie Streitbeilegungsstellen.

7. Regelmäßige Überprüfung durch die EU

• Die EU überprüft regelmäßig die Funktionsweise des EU-US Data Privacy Framework, um sicherzustellen, dass es den Anforderungen der DSGVO entspricht.

Dieses Verfahren bietet eine Grundlage für den transatlantischen Datenaustausch, indem es ein hohes Maß an Datenschutz gewährleistet und gleichzeitig Unternehmen Rechtssicherheit bietet.