Das neue Trans-Atlantic Data Privacy Framework (Abkürzung “TADPF”)
Nachdem im Jahr 2015 durch den Europäischen Gerichtshof (EuGH) das „Safe Harbor“-Abkommen gekippt wurde und später im Jahr 2020 auch dessen Nachfolger, der „Privacy Shield“, hat die EU-Kommission am 10. Juli 2023 einen neuen Angemessenheitsbeschluss zum Datentransfer in die USA verabschiedet.
Dabei handelt es sich um das neue Trans-Atlantic Data Privacy Framework (Abkürzung “TADPF”, oftmals auch „privacy-Shield 2.0“ genannt).
Mit diesem Angemessenheitsbeschluss wird festlegt, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, sodass aus der Europäischen Union Daten an US-Unternehmen übermittelt werden dürfen.
Um eine DSGVO-konforme Grundlage für die Übermittlung von Daten in die USA zu gewährleisten, müssen die empfangenden US-Unternehmen zukünftig unter dem TADPF zertifiziert sein.
Was genau ist ein Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss zum TADPF ist eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium.
Im Rahmen dieser Vereinbarung haben sich die USA dazu verpflichtet, das Datenschutzniveau in den USA zu verbessern. Unter anderem haben die USA durch eine am 7. Oktober 2022 von US-Präsident Biden erlassene Executive Order die Befugnisse der eigenen Geheimdienste beschränkt und die rechtlichen Mittel von EU-Bürgern gestärkt.
Im Gegenzug hat die EU-Kommission die Übertragung von Daten in die USA für angemessen erklärt, da nunmehr in den USA ein der EU-vergleichbares Datenschutzniveau herrscht.
Was hat dies zur Folge?
Auf der Grundlage dieses neuen Angemessenheitsbeschlusses dürfen personenbezogene Daten aus der Europäischen Union an US-Unternehmen übermittelt werden, ohne dass weitere Datenschutzgarantien umgesetzt werden müssen.
Voraussetzung dafür ist, dass die empfangenden US-Unternehmen am neuen TADPF teilnehmen, sich also zertifiziert haben. In diesem Fall müssten dann mit den US-Unternehmen keine EU-Standardvertragsklauseln (SCC) mehr abgeschossen werden. Im Falle einer Auftragsverarbeitung würde eine einfache AVV ausreichen.
Ab wann gilt der Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss wurde am 10. Juli 2023 angenommen und tritt bereits damit in Kraft.
Er gilt somit ab diesem Tag.
Was hat sich zu den Vorgängern geändert?
Einer der Hauptgründe für das Scheitern des „Safe-Harbor“-Abkommens und des „Privacy Shield“ war, dass durch die Übermittlung von Daten in die USA die US-Geheimdienste Zugriff auf die Daten von EU-Bürgern hatten. Dies verstieß gegen die europäischen Grundrechte der EU-Bürger, da unter anderem weder deren Privatsphäre, noch der Datenschutz oder das Prinzip der Verhältnismäßigkeit des Eingriffs gewahrt wurde.
Dies soll nun durch den neuen Rechtsrahmen und die Umsetzung auf Seiten der Vereinigten Staaten verbessert worden sein, sodass die Daten der EU-Bürger besser geschützt werden.
Durch die Executive Order vom 7. Oktober 2022 („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“) traten vor allem folgende Änderungen für den Schutz personenbezogener Daten von EU-Bürgern in Kraft:
⦁ verbindliche Garantien, die den Zugang der US-Nachrichtendienste zu den Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken,
⦁ eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste, um sicherzustellen, dass die für Überwachungstätigkeiten geltenden Beschränkungen eingehalten werden, und
⦁ die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das auch ein neues Gericht zur Datenschutzüberprüfung umfasst, welches Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersucht und beilegt.
Welche Unternehmen nehmen am TADPF teil?
Alle am TADPF teilnehmen US-Unternehmen werden in einer öffentlichen Liste einsehbar sein. Die jeweils aktuelle Liste wird auf der neuen Webseite zum TADPF abrufbar sein.
Aktuell (Stand: 12.07.2023) ist die Webseite noch im Aufbau und es sind bisher keine Unternehmen zertifiziert.
Die Webseite ist unter der Adresse www.dataprivacyframework.gov erreichbar.
Was muss ich als Unternehmen jetzt tun?
Sofern US-Unternehmen als Dienstleister eingesetzt werden sollen, muss geprüft werden, ob diese am neuen TADPF teilnehmen. Nur bei teilnehmenden Unternehmen kann eine DSGVO-konforme Datenübermittlung gewährleistet werden, ohne dass zusätzliche Datenschutzgarantien (z.B. Standardvertragsklauseln) eingehalten werden müssen.
Sodann müssen die eigenen Informationspflichten (auch die Datenschutzerklärung der Webseite) angepasst werden. Empfängt ein am TADPF teilnehmendes US-Unternehmen personenbezogene Daten, muss darüber informiert werden.
Ebenso müssen die eigenen Verarbeitungsverzeichnisse aktualisiert werden. Auch hier sollten im Falle einer Datenübermittlung an US-Unternehmen die TADPF zertifizierten Unternehmen aufgeführt werden.
Worauf ist (trotzdem noch) zu achten?
Bereits jetzt wird stark kritisiert, dass das TADPF sich nur geringfügig von den vorhergehenden Angemessenheitsbeschlüssen zum „Safe-Harbor“-Abkommen und dem „Privacy Shield“ unterscheidet. Beide Abkommen wurden bekanntermaßen vom EuGH für unwirksam erklärt, was zu großer Rechtsunsicherheit geführt hat.
Dementsprechend wurde bereits jetzt, insbesondere von Max Schrems und seiner Bürgerrechtsorganisation Noyb, scharfe Kritik geübt.
Es ist daher erneut eine Klage vor dem EuGH wahrscheinlich, welche womöglich wieder in naher Zukunft zu einem Wegfall des neuen TADPF führen wird.
Zudem ist zu beachten, dass das Abkommen nur für Datenübermittlungen in die USA gilt. Wenn US-Unternehmen weitere Subdienstleister in Drittstaaten einsetzen, dann gelten wieder die ganz normalen Regelungen einer Datenübermittlung in Drittstaaten.