Datentransfer in die USA — Trans-Atlantic-Data-Privacy-Framework
TADPF: “USA Datenschutz ist jetzt angemessen”
Am 10.07.2023 hat die EU-Kommission die Angemessenheitsentscheidung (Adäquanzentscheidung gem. Art. 45 DSGVO) für den sicheren Datenverkehr zwischen der EU und den USA, auch “Trans-Atlantic Data Privacy Framework” (TADPF) genannt, verabschiedet. Diese dritte Initiative nach “Safe Harbor” und “Privacy Shield” soll die Anforderungen des EuGH erfüllen und die Datenübermittlung in die USA wieder relativ unbürokratisch ermöglichen. Es aber zu erwarten, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Was ist das Transatlantic Data Privacy Framework?
Mit dem TADPF zwischen der EU und den USA werden neue verbindliche Garantien für US-amerikanische Empfänger von Daten eingeführt.
Dazu gehören die Beschränkung des Zugriffs auf Daten von EU-Bürgern durch US-Geheimdienste sowie die Einrichtung des Data Protection Review Court (DPRC), einer auch Nicht-US-Bürgern zugänglichen Kontrollinstanz. Das DPRC kann bei Verstößen auch die Löschung von Daten anordnen.
Das transantlantic data privacy framework (TADPF) wird regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und den zuständigen US-Behörden überprüft. Die erste Überprüfung soll innerhalb eines Jahres nach dem Inkrafttreten des TADPF stattfinden.
Welche Wirkung hat das TADPF?
Es hat die Wirkung eines Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DSGVO und gilt grundsätzlich ab sofort. Zusätzliche Legitimationsinstrumente wie Standardvertragsklauseln (SVK oder auch Standard Contractual Clauses — SCC) sind damit für Datenexporte an US-amerikanische Empfänger nicht mehr erforderlich, da die USA wieder als sicheres Drittland gelten. US-Unternehmen müssen jedoch eine Selbstzertifizierung vornehmen und sich zur Einhaltung bestimmter Datenschutzverpflichtungen verpflichten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es bereits beim Vorgänger Privacy Shield und es wird einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Was sind die wichtigsten Regeln?
Variante 1: Datenempfänger in den USA, TADPF-Zertifizierung vorhanden
Ist der Datenempfänger in den USA angesiedelt und verfügt über eine TADPF-Zertifizierung, gelten die “normalen” Regeln des bereits abgeschlossenen Auftragsverarbeitungsvertrages (Data Processing Agreement — DPA) nach Art. 28 DSGVO und die SCC finden keine Anwendung mehr. Eine Vertragsanpassung ist in diesem Fall nicht erforderlich.
Variante 2: Datenempfänger in den USA, TADPF-Zertifizierung (noch nicht) vorhanden
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich aber (noch) nicht der Zertifizierung, gelten weiterhin die bisherigen Regelungen, also die Verwendung von Standardvertragsklauseln (SCC) und die Durchführung eines Transfer Impact Assessment (TIA). Es ist jedoch wichtig zu beachten, dass die Zusammenarbeit mit US-amerikanischen Unternehmen nicht automatisch ausgeschlossen ist, nur weil keine Selbstzertifizierung vorgenommen wurde.
Was müssen Unternehmen jetzt unternehmen?
Es empfiehlt sich deshalb, zunächst abzuwarten und bei neuen Verträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, greifen die neuen Regelungen.
Bei bestehenden Verträgen sollte geprüft werden, ob eine Anpassung erforderlich ist, wenn der Datenempfänger nach TADPF zertifiziert ist. Eine Anpassung ist häufig nicht erforderlich, da die SCC nur dann gelten, wenn der Datenempfänger in einem Land ohne Angemessenheitsbeschluss ansässig ist.
Durch die Einführung des TADPF können Anpassungen in den Datenschutzhinweisen der Website oder anderer Prozesse — z.B. bei der Nutzung von Cloud-Produkten usw. — (Art. 13, 14 DSGVO), Auftragsverarbeitungsverträgen, Datenschutz-Folgenabschätzungen und im Verzeichnis nach Art. 30 DSGVO (Verarbeitungsverzeichnis) erforderlich werden.