Datentransfer-In-Die-Usa-–-Trans-Atlantic-Data-Privacy

Daten­trans­fer in die USA — Trans-Atlantic-Data-Privacy-Framework

TADPF: “USA Daten­schutz ist jetzt angemessen”

Am 10.07.2023 hat die EU-Kom­mis­si­on die Ange­mes­sen­heits­ent­schei­dung (Adäquanz­ent­schei­dung gem. Art. 45 DSGVO) für den siche­ren Daten­ver­kehr zwi­schen der EU und den USA, auch “Trans-Atlan­tic Data Pri­va­cy Frame­work” (TADPF) genannt, ver­ab­schie­det. Die­se drit­te Initia­ti­ve nach “Safe Har­bor” und “Pri­va­cy Shield” soll die Anfor­de­run­gen des EuGH erfül­len und die Daten­über­mitt­lung in die USA wie­der rela­tiv unbü­ro­kra­tisch ermög­li­chen. Es aber zu erwar­ten, dass auch die­ses Abkom­men wie­der vor dem EuGH lan­den wird.

Was ist das Transatlan­tic Data Priva­cy Frame­work?

Mit dem TADPF zwi­schen der EU und den USA wer­den neue ver­bind­li­che Garan­tien für US-ame­ri­ka­ni­sche Emp­fän­ger von Daten eingeführt.
Dazu gehö­ren die Beschrän­kung des Zugriffs auf Daten von EU-Bür­gern durch US-Geheim­diens­te sowie die Ein­rich­tung des Data Pro­tec­tion Review Court (DPRC), einer auch Nicht-US-Bür­gern zugäng­li­chen Kon­troll­in­stanz. Das DPRC kann bei Ver­stö­ßen auch die Löschung von Daten anordnen.

Das trans­ant­lantic data pri­va­cy frame­work (TADPF) wird regel­mä­ßig von der Euro­päi­schen Kom­mis­si­on gemein­sam mit Ver­tre­tern der euro­päi­schen Daten­schutz­be­hör­den und den zustän­di­gen US-Behör­den über­prüft. Die ers­te Über­prü­fung soll inner­halb eines Jah­res nach dem Inkraft­tre­ten des TADPF stattfinden.

Wel­che Wir­kung hat das TADPF?

Es hat die Wir­kung eines Ange­mes­sen­heits­be­schlus­ses nach Art. 45 Abs. 1 DSGVO und gilt grund­sätz­lich ab sofort. Zusätz­li­che Legi­ti­ma­ti­ons­in­stru­men­te wie Stan­dard­ver­trags­klau­seln (SVK oder auch Stan­dard Con­trac­tu­al Clau­ses — SCC) sind damit für Daten­ex­por­te an US-ame­ri­ka­ni­sche Emp­fän­ger nicht mehr erfor­der­lich, da die USA wie­der als siche­res Dritt­land gel­ten. US-Unter­neh­men müs­sen jedoch eine Selbst­zer­ti­fi­zie­rung vor­neh­men und sich zur Ein­hal­tung bestimm­ter Daten­schutz­ver­pflich­tun­gen ver­pflich­ten, um von den Wir­kun­gen des TADPF pro­fi­tie­ren zu kön­nen. Die Selbst­zer­ti­fi­zie­rung gab es bereits beim Vor­gän­ger Pri­va­cy Shield und es wird eini­ge Tage dau­ern, bis die ers­ten Unter­neh­men zer­ti­fi­ziert sind. Der aktu­el­le Stand kann ab dem 17.07.2023 unter https://​www​.data​pri​va​cy​frame​work​.gov/s/ ein­ge­se­hen werden.

Was sind die wich­tigs­ten Regeln?

Vari­an­te 1: Daten­emp­fän­ger in den USA, TADPF-Zer­ti­fi­zie­rung vorhanden

Ist der Daten­emp­fän­ger in den USA ange­sie­delt und ver­fügt über eine TADPF-Zer­ti­fi­zie­rung, gel­ten die “nor­ma­len” Regeln des bereits abge­schlos­se­nen Auf­trags­ver­ar­bei­tungs­ver­tra­ges (Data Pro­ces­sing Agree­ment — DPA) nach Art. 28 DSGVO und die SCC fin­den kei­ne Anwen­dung mehr. Eine Ver­trags­an­pas­sung ist in die­sem Fall nicht erforderlich.

Vari­an­te 2: Daten­emp­fän­ger in den USA, TADPF-Zer­ti­fi­zie­rung (noch nicht) vorhanden

Hat der Daten­emp­fän­ger sei­nen Sitz in den USA und unter­zieht sich aber (noch) nicht der Zer­ti­fi­zie­rung, gel­ten wei­ter­hin die bis­he­ri­gen Rege­lun­gen, also die Ver­wen­dung von Stan­dard­ver­trags­klau­seln (SCC) und die Durch­füh­rung eines Trans­fer Impact Assess­ment (TIA). Es ist jedoch wich­tig zu beach­ten, dass die Zusam­men­ar­beit mit US-ame­ri­ka­ni­schen Unter­neh­men nicht auto­ma­tisch aus­ge­schlos­sen ist, nur weil kei­ne Selbst­zer­ti­fi­zie­rung vor­ge­nom­men wurde.

Was müs­sen Unter­neh­men jetzt unternehmen?

Es emp­fiehlt sich des­halb, zunächst abzu­war­ten und bei neu­en Ver­trä­gen zu prü­fen, ob der Daten­emp­fän­ger bereits zer­ti­fi­ziert ist. Nur wenn dies der Fall ist, grei­fen die neu­en Regelungen.

Bei bestehen­den Ver­trä­gen soll­te geprüft wer­den, ob eine Anpas­sung erfor­der­lich ist, wenn der Daten­emp­fän­ger nach TADPF zer­ti­fi­ziert ist. Eine Anpas­sung ist häu­fig nicht erfor­der­lich, da die SCC nur dann gel­ten, wenn der Daten­emp­fän­ger in einem Land ohne Ange­mes­sen­heits­be­schluss ansäs­sig ist.

Durch die Ein­füh­rung des TADPF kön­nen Anpas­sun­gen in den Daten­schutz­hin­wei­sen der Web­site oder ande­rer Pro­zes­se — z.B. bei der Nut­zung von Cloud-Pro­duk­ten usw. — (Art. 13, 14 DSGVO), Auf­trags­ver­ar­bei­tungs­ver­trä­gen, Daten­schutz-Fol­gen­ab­schät­zun­gen und im Ver­zeich­nis nach Art. 30 DSGVO (Ver­ar­bei­tungs­ver­zeich­nis) erfor­der­lich werden.