Trans­at­lan­tic Data Pri­va­cy Frame­work: „USA Daten­schutz ist jetzt angemessen!“

Am 10.07.2023 hat die EU-Kom­mis­si­on die Ange­mes­sen­heits­ent­schei­dung (Adäquanz­ent­schei­dung gem. Art. 45 DSGVO) für den siche­ren Daten­ver­kehr zwi­schen der EU und den USA, auch „Trans-Atlan­tic Data Pri­va­cy Frame­work” (TADPF) genannt, ver­ab­schie­det. Die­se drit­te Initia­ti­ve nach “Safe Har­bor” und “Pri­va­cy Shield” soll die Anfor­de­run­gen des EuGH erfül­len und die Daten­über­mitt­lung in die USA wie­der rela­tiv unbü­ro­kra­tisch ermög­li­chen. Es aber zu erwar­ten, dass auch die­ses Abkom­men wie­der vor dem EuGH lan­den wird.

Um was geht es dabei?

Mit dem TADPF zwi­schen der EU und den USA wer­den neue ver­bind­li­che Garan­tien für US-ame­ri­ka­ni­sche Emp­fän­ger von Daten eingeführt.
Dazu gehö­ren die Beschrän­kung des Zugriffs auf Daten von EU-Bür­gern durch US-Geheim­diens­te sowie die Ein­rich­tung des Data Pro­tec­tion Review Court (DPRC), einer auch Nicht-US-Bür­gern zugäng­li­chen Kon­troll­in­stanz. Das DPRC kann bei Ver­stö­ßen auch die Löschung von Daten anordnen.

Das TADPF wird regel­mä­ßig von der Euro­päi­schen Kom­mis­si­on gemein­sam mit Ver­tre­tern der euro­päi­schen Daten­schutz­be­hör­den und den zustän­di­gen US-Behör­den über­prüft. Die ers­te Über­prü­fung soll inner­halb eines Jah­res nach dem Inkraft­tre­ten des TADPF stattfinden.

Wel­che Wir­kung hat das TADPF?

Es hat die Wir­kung eines Ange­mes­sen­heits­be­schlus­ses nach Art. 45 Abs. 1 DSGVO und gilt grund­sätz­lich ab sofort. Zusätz­li­che Legi­ti­ma­ti­ons­in­stru­men­te wie Stan­dard­ver­trags­klau­seln (SVK oder auch Stan­dard Con­trac­tu­al Clau­ses — SCC) sind damit für Daten­ex­por­te an US-ame­ri­ka­ni­sche Emp­fän­ger nicht mehr erfor­der­lich, da die USA wie­der als siche­res Dritt­land gel­ten. US-Unter­neh­men müs­sen jedoch eine Selbst­zer­ti­fi­zie­rung vor­neh­men und sich zur Ein­hal­tung bestimm­ter Daten­schutz­ver­pflich­tun­gen ver­pflich­ten, um von den Wir­kun­gen des TADPF pro­fi­tie­ren zu kön­nen. Die Selbst­zer­ti­fi­zie­rung gab es bereits beim Vor­gän­ger Pri­va­cy Shield. Der aktu­el­le Stand kann seit dem 17.07.2023 unter [https://www.dataprivacyframework.gov/s/](https://www.dataprivacyframework.gov/s/) ein­ge­se­hen werden.

Dar­über hin­aus sorgt das TADPF für einen ver­bes­ser­ten Schutz per­so­nen­be­zo­ge­ner Daten durch stär­ke­re Über­wa­chung und Durch­set­zung der Daten­schutz­vor­schrif­ten. Es stärkt die Rech­te der betrof­fe­nen Per­so­nen, ins­be­son­de­re in Bezug auf Trans­pa­renz, Daten­mi­ni­mie­rung und die Mög­lich­keit zur Beschwer­de bei Ver­stö­ßen. Unter­neh­men, die sich selbst­zer­ti­fi­zie­ren, müs­sen regel­mä­ßi­ge Über­prü­fun­gen und Audits durch­füh­ren las­sen, um sicher­zu­stel­len, dass sie die hohen Daten­schutz­stan­dards kon­ti­nu­ier­lich einhalten.

Das TADPF bie­tet somit nicht nur recht­li­che Sicher­heit für Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten in die USA über­tra­gen, son­dern stellt auch sicher, dass die­se Daten auf einem hohen Schutz­ni­veau ver­ar­bei­tet wer­den. Dies för­dert das Ver­trau­en der Ver­brau­cher und Geschäfts­part­ner in die Daten­si­cher­heits­maß­nah­men der betei­lig­ten Unter­neh­men und trägt zur Sta­bi­li­tät und Zuver­läs­sig­keit des trans­at­lan­ti­schen Daten­aus­tauschs bei.

Was sind die wich­tigs­ten Regeln?

Vari­an­te 1: Daten­emp­fän­ger in den USA, TADPF-Zer­ti­fi­zie­rung vorhanden

Ist der Daten­emp­fän­ger in den USA ange­sie­delt und ver­fügt über eine TADPF-Zer­ti­fi­zie­rung, gel­ten die “nor­ma­len” Regeln des bereits abge­schlos­se­nen Auf­trags­ver­ar­bei­tungs­ver­tra­ges (Data Pro­ces­sing Agree­ment — DPA) nach Art. 28 DSGVO und die SCC fin­den kei­ne Anwen­dung mehr. Eine Ver­trags­an­pas­sung ist in die­sem Fall nicht erforderlich.

Vari­an­te 2: Daten­emp­fän­ger in den USA, TADPF-Zer­ti­fi­zie­rung (noch nicht) vorhanden

Hat der Daten­emp­fän­ger sei­nen Sitz in den USA und unter­zieht sich aber (noch) nicht der Zer­ti­fi­zie­rung, gel­ten wei­ter­hin die bis­he­ri­gen Rege­lun­gen, also die Ver­wen­dung von Stan­dard­ver­trags­klau­seln (SCC) und die Durch­füh­rung eines Trans­fer Impact Assess­ment (TIA). Es ist jedoch wich­tig zu beach­ten, dass die Zusam­men­ar­beit mit US-ame­ri­ka­ni­schen Unter­neh­men nicht auto­ma­tisch aus­ge­schlos­sen ist, nur weil kei­ne Selbst­zer­ti­fi­zie­rung vor­ge­nom­men wurde.

Was wird kritisiert?

Trotz sei­ner Vor­tei­le ist das TADPF nicht ohne Kri­tik. Hier sind die Hauptkritikpunkte:

1. Ange­mes­sen­heits­be­schluss und Über­wa­chung: Kri­ti­ker bezwei­feln, ob der Ange­mes­sen­heits­be­schluss und die dar­in ent­hal­te­nen Schutz­maß­nah­men aus­rei­chen, um die umfas­sen­de Über­wa­chung durch US-Geheim­diens­te zu ver­hin­dern. Sie befürch­ten, dass die Daten­schutz­rech­te euro­päi­scher Bür­ger wei­ter­hin nicht aus­rei­chend geschützt sind.

2. Selbst­zer­ti­fi­zie­rung: Die Selbst­zer­ti­fi­zie­rung durch US-Unter­neh­men wird als unzu­rei­chend ange­se­hen, da es an einer stren­gen und unab­hän­gi­gen Über­prü­fung man­gelt. Es besteht die Sor­ge, dass Unter­neh­men die Anfor­de­run­gen nicht voll­stän­dig umset­zen oder ein­hal­ten könnten.

3. Rechts­schutz­mög­lich­kei­ten: Es gibt Beden­ken, dass die recht­li­chen Mög­lich­kei­ten für EU-Bür­ger, gegen Daten­schutz­ver­stö­ße vor­zu­ge­hen, in den USA begrenzt sind. Kri­ti­ker argu­men­tie­ren, dass die Mecha­nis­men zur Durch­set­zung der Daten­schutz­rech­te nicht stark genug sind.

4. Trans­pa­renz und Kon­trol­le: Die Kri­ti­ker bemän­geln auch die man­geln­de Trans­pa­renz und Kon­trol­le über den tat­säch­li­chen Daten­fluss und die Nut­zung per­so­nen­be­zo­ge­ner Daten durch US-Unter­neh­men und Behörden.

5. Kon­ti­nui­tät der Daten­schutz­stan­dards: Da das TADPF auf dem Prin­zip der Selbst­zer­ti­fi­zie­rung basiert, gibt es Befürch­tun­gen, dass die Ein­hal­tung der Daten­schutz­stan­dards über die Zeit hin­weg nicht kon­ti­nu­ier­lich gewähr­leis­tet wird, ins­be­son­de­re ohne regel­mä­ßi­ge und unab­hän­gi­ge Kontrollen.

Die­se Kri­tik­punk­te füh­ren dazu, dass eini­ge Daten­schutz­ex­per­ten und ‑orga­ni­sa­tio­nen skep­tisch gegen­über der lang­fris­ti­gen Wirk­sam­keit und dem Schutz­ni­veau des TADPF blei­ben. Sie for­dern stren­ge­re Maß­nah­men und eine robus­te­re Über­wa­chung, um den Daten­schutz der EU-Bür­ger sicherzustellen.

Was müs­sen Unter­neh­men jetzt unternehmen?

Prü­fen Sie, ob der Daten­emp­fän­ger bereits zer­ti­fi­ziert ist. Nur, wenn dies der Fall ist, grei­fen die neu­en Regelungen.

Bei bestehen­den Ver­trä­gen soll­te geprüft wer­den, ob eine Anpas­sung erfor­der­lich ist, wenn der Daten­emp­fän­ger nach TADPF zer­ti­fi­ziert ist. Eine Anpas­sung ist nach unse­rer Erfah­rung häu­fig nicht erfor­der­lich, da die SCC nur dann gel­ten, wenn der Daten­emp­fän­ger in einem Land ohne Ange­mes­sen­heits­be­schluss ansäs­sig ist.

Durch die Ein­füh­rung des TADPF kön­nen Anpas­sun­gen in den Daten­schutz­hin­wei­sen der Web­site oder ande­rer Pro­zes­se — z.B. bei der Nut­zung von Cloud-Pro­duk­ten usw. — (Art. 13, 14 DSGVO), Auf­trags­ver­ar­bei­tungs­ver­trä­gen, Daten­schutz-Fol­gen­ab­schät­zun­gen und im Ver­zeich­nis nach Art. 30 DSGVO (Ver­ar­bei­tungs­ver­zeich­nis) erfor­der­lich werden.

Hier und in allen ande­ren Fra­gen zum TADPF unter­stüt­zen Sie wir Sie gerne.