Transatlantic Data Privacy Framework: „USA Datenschutz ist jetzt angemessen!“
Am 10.07.2023 hat die EU-Kommission die Angemessenheitsentscheidung (Adäquanzentscheidung gem. Art. 45 DSGVO) für den sicheren Datenverkehr zwischen der EU und den USA, auch „Trans-Atlantic Data Privacy Framework” (TADPF) genannt, verabschiedet. Diese dritte Initiative nach “Safe Harbor” und “Privacy Shield” soll die Anforderungen des EuGH erfüllen und die Datenübermittlung in die USA wieder relativ unbürokratisch ermöglichen. Es aber zu erwarten, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Um was geht es dabei?
Mit dem TADPF zwischen der EU und den USA werden neue verbindliche Garantien für US-amerikanische Empfänger von Daten eingeführt.
Dazu gehören die Beschränkung des Zugriffs auf Daten von EU-Bürgern durch US-Geheimdienste sowie die Einrichtung des Data Protection Review Court (DPRC), einer auch Nicht-US-Bürgern zugänglichen Kontrollinstanz. Das DPRC kann bei Verstößen auch die Löschung von Daten anordnen.
Das TADPF wird regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und den zuständigen US-Behörden überprüft. Die erste Überprüfung soll innerhalb eines Jahres nach dem Inkrafttreten des TADPF stattfinden.
Welche Wirkung hat das TADPF?
Es hat die Wirkung eines Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DSGVO und gilt grundsätzlich ab sofort. Zusätzliche Legitimationsinstrumente wie Standardvertragsklauseln (SVK oder auch Standard Contractual Clauses — SCC) sind damit für Datenexporte an US-amerikanische Empfänger nicht mehr erforderlich, da die USA wieder als sicheres Drittland gelten. US-Unternehmen müssen jedoch eine Selbstzertifizierung vornehmen und sich zur Einhaltung bestimmter Datenschutzverpflichtungen verpflichten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es bereits beim Vorgänger Privacy Shield. Der aktuelle Stand kann seit dem 17.07.2023 unter [https://www.dataprivacyframework.gov/s/](https://www.dataprivacyframework.gov/s/) eingesehen werden.
Darüber hinaus sorgt das TADPF für einen verbesserten Schutz personenbezogener Daten durch stärkere Überwachung und Durchsetzung der Datenschutzvorschriften. Es stärkt die Rechte der betroffenen Personen, insbesondere in Bezug auf Transparenz, Datenminimierung und die Möglichkeit zur Beschwerde bei Verstößen. Unternehmen, die sich selbstzertifizieren, müssen regelmäßige Überprüfungen und Audits durchführen lassen, um sicherzustellen, dass sie die hohen Datenschutzstandards kontinuierlich einhalten.
Das TADPF bietet somit nicht nur rechtliche Sicherheit für Unternehmen, die personenbezogene Daten in die USA übertragen, sondern stellt auch sicher, dass diese Daten auf einem hohen Schutzniveau verarbeitet werden. Dies fördert das Vertrauen der Verbraucher und Geschäftspartner in die Datensicherheitsmaßnahmen der beteiligten Unternehmen und trägt zur Stabilität und Zuverlässigkeit des transatlantischen Datenaustauschs bei.
Was sind die wichtigsten Regeln?
Variante 1: Datenempfänger in den USA, TADPF-Zertifizierung vorhanden
Ist der Datenempfänger in den USA angesiedelt und verfügt über eine TADPF-Zertifizierung, gelten die “normalen” Regeln des bereits abgeschlossenen Auftragsverarbeitungsvertrages (Data Processing Agreement — DPA) nach Art. 28 DSGVO und die SCC finden keine Anwendung mehr. Eine Vertragsanpassung ist in diesem Fall nicht erforderlich.
Variante 2: Datenempfänger in den USA, TADPF-Zertifizierung (noch nicht) vorhanden
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich aber (noch) nicht der Zertifizierung, gelten weiterhin die bisherigen Regelungen, also die Verwendung von Standardvertragsklauseln (SCC) und die Durchführung eines Transfer Impact Assessment (TIA). Es ist jedoch wichtig zu beachten, dass die Zusammenarbeit mit US-amerikanischen Unternehmen nicht automatisch ausgeschlossen ist, nur weil keine Selbstzertifizierung vorgenommen wurde.
Was wird kritisiert?
Trotz seiner Vorteile ist das TADPF nicht ohne Kritik. Hier sind die Hauptkritikpunkte:
1. Angemessenheitsbeschluss und Überwachung: Kritiker bezweifeln, ob der Angemessenheitsbeschluss und die darin enthaltenen Schutzmaßnahmen ausreichen, um die umfassende Überwachung durch US-Geheimdienste zu verhindern. Sie befürchten, dass die Datenschutzrechte europäischer Bürger weiterhin nicht ausreichend geschützt sind.
2. Selbstzertifizierung: Die Selbstzertifizierung durch US-Unternehmen wird als unzureichend angesehen, da es an einer strengen und unabhängigen Überprüfung mangelt. Es besteht die Sorge, dass Unternehmen die Anforderungen nicht vollständig umsetzen oder einhalten könnten.
3. Rechtsschutzmöglichkeiten: Es gibt Bedenken, dass die rechtlichen Möglichkeiten für EU-Bürger, gegen Datenschutzverstöße vorzugehen, in den USA begrenzt sind. Kritiker argumentieren, dass die Mechanismen zur Durchsetzung der Datenschutzrechte nicht stark genug sind.
4. Transparenz und Kontrolle: Die Kritiker bemängeln auch die mangelnde Transparenz und Kontrolle über den tatsächlichen Datenfluss und die Nutzung personenbezogener Daten durch US-Unternehmen und Behörden.
5. Kontinuität der Datenschutzstandards: Da das TADPF auf dem Prinzip der Selbstzertifizierung basiert, gibt es Befürchtungen, dass die Einhaltung der Datenschutzstandards über die Zeit hinweg nicht kontinuierlich gewährleistet wird, insbesondere ohne regelmäßige und unabhängige Kontrollen.
Diese Kritikpunkte führen dazu, dass einige Datenschutzexperten und ‑organisationen skeptisch gegenüber der langfristigen Wirksamkeit und dem Schutzniveau des TADPF bleiben. Sie fordern strengere Maßnahmen und eine robustere Überwachung, um den Datenschutz der EU-Bürger sicherzustellen.
Was müssen Unternehmen jetzt unternehmen?
Prüfen Sie, ob der Datenempfänger bereits zertifiziert ist. Nur, wenn dies der Fall ist, greifen die neuen Regelungen.
Bei bestehenden Verträgen sollte geprüft werden, ob eine Anpassung erforderlich ist, wenn der Datenempfänger nach TADPF zertifiziert ist. Eine Anpassung ist nach unserer Erfahrung häufig nicht erforderlich, da die SCC nur dann gelten, wenn der Datenempfänger in einem Land ohne Angemessenheitsbeschluss ansässig ist.
Durch die Einführung des TADPF können Anpassungen in den Datenschutzhinweisen der Website oder anderer Prozesse — z.B. bei der Nutzung von Cloud-Produkten usw. — (Art. 13, 14 DSGVO), Auftragsverarbeitungsverträgen, Datenschutz-Folgenabschätzungen und im Verzeichnis nach Art. 30 DSGVO (Verarbeitungsverzeichnis) erforderlich werden.
Hier und in allen anderen Fragen zum TADPF unterstützen Sie wir Sie gerne.