Home
Über Uns
Services
Team
NEWS
Home
-
News
-
Das Trans-Atlantic Data Privacy Framework
Das Trans-Atlantic Data Privacy Framework
Im Jahr 2020 hat der Europäische Gerichtshof die unzureichenden Datenschutzbestimmungen in den Vereinigten Staaten identifiziert, was europäische Unternehmen, Behörden und Einzelpersonen stark verunsichert hat. Jetzt kommt TADPF. Ist die Übermittlung von Daten in die USA jetzt sicher?
Dennis
/
July 24, 2023
Daten
Intro

2020 hat der Europäische Gerichtshof die mangelhafte Datenschutzregelung in den USA festgestellt, was europäische Unternehmen, Behörden und Einzelpersonen stark verunsichert hat. Vor allem Kunden und Agenturen, die Dienstleistungen von US-Anbietern wie Google, Meta, Cloudflare oder Amazon nutzten, waren von ständigen Drohungen von Untersagungsverfügungen und Bußgeldern seitens Aufsichtsbehörden betroffen. Das Trans-Atlantic Data Privacy Framework (TADPF) soll Unsicherheiten mindern und Unternehmen rechtliche Gewissheit bieten. Jedoch wird befürchtet, dass es nur vorübergehend sein könnte, da Datenschützer es kritisieren und der Europäische Gerichtshof aufgefordert wird, es aufzuheben. Dieser Artikel erklärt die Funktionen und Vorteile des TADPF und weist auf potenzielle Risiken einer zukünftigen Aufhebung hin. Ebenfalls sei erwähnt, dass dieser Artikel keiner Rechtsberatung gleich kommt.

Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?

Das TADPF ist eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium, in der sich die USA verpflichten, ihr Datenschutzniveau zu verbessern, während die EU-Kommission die Übertragung von Daten in die USA als angemessen erklärt. Das Ziel des TADPF ist es, den Transfer von personenbezogenen Daten von der EU in die USA rechtssicher zu gestalten. Insofern ein Beschluss zum gegenseitigen Einverständnis neuer/erweiterter Regularien, die bei weitem keine Gesetzgebung beshreiben.

Wann dürfen personenbezogene Daten in die USA transferiert werden?

Die DSGVO verbietet grundsätzlich die Übermittlung von personenbezogenen Daten in "Drittländer" außerhalb der EU (Art. 44 bis 49 DSGVO). Die USA sind ein Beispiel für solche Drittländer.

Eine Übermittlung ist jedoch möglich, wenn ein angemessenes Datenschutzniveau in dem Drittland festgestellt werden kann. Dies ist in den folgenden Fällen möglich:

  • Die EU-Kommission stellt ein angemessenes Datenschutzniveau fest, z.B. für Schweiz, Neuseeland, Andorra, Argentinien, Färöer Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. US-Unternehmen können auch ein angemessenes Datenschutzniveau haben, wenn sie ein bestimmtes Selbstzertifizierungsverfahren durchlaufen.
  • Standardvertragsklauseln sind Musterverträge der EU-Kommission, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird.
  • Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben, diese Alternative ist jedoch selten und erfordert eine externe Zertifizierung oder eigene Prüfung.
  • Einwilligungen der betroffenen Personen sind als letzte Möglichkeit möglich, jedoch umständlich und können an fehlender Transparenz, ausdrücklicher Abgabe oder mangelnder Freiwilligkeit scheitern.
  • Weitere Ausnahmen finden Sie in Art. 49 DSGVO.

Ob Daten in den USA von Tech-Unternehmen wie Amazon, Google, Cloudflare, Open AI oder Meta verarbeitet werden, hängt bisher von Standardvertragsklauseln ab, um die Zulässigkeit der Datenverarbeitung in den USA sicherzustellen. TADPF soll nun dies ändern und höhere Rechtssicherheit bieten.

Warum wurden die Vorgänger des TADPF für unwirksam erklärt?

Das Trans-Atlantic Data Privacy Framework (TADPF) hatte bereits zwei Vorgänger namens "Safe Harbor" und "Privacy Shield", die ähnlich strukturiert waren. Diese Zusicherungen, ein angemessenes Datenschutzniveau zu gewährleisten, wurden jedoch durch die Enthüllungen von Edward Snowden in Frage gestellt. Er zeigte auf, dass US-Geheimdienste massenhaft auf Daten von EU-Bürgern zugriffen.

Daraufhin wurden Klagen eingereicht und der Europäische Gerichtshof erklärte die Angemessenheitsbeschlüsse 2015 (EuGH, 06.10.2015 - C-362/14 "Schrems I") und 2020 (EuGH, 16.07.2020 - C-311/18 "Schrems II") für unwirksam, da es in den USA an einem angemessenen Datenschutzniveau mangelte. Dies verstieß gegen die Grundrechte der EU-Bürger auf Privatsphäre, Datenschutz, Verhältnismäßigkeit und einen wirksamen Rechtsbehelf.

Um zu verhindern, dass das TADPF dasselbe Schicksal ereilt, haben die USA im Gegensatz zu den vorherigen Vereinbarungen weitreichende Maßnahmen ergriffen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Was macht das TADPF anders als seine Vorgänger?

Ein wesentlicher Vorteil des Trans-Atlantic Privacy Framework (TADPF) besteht darin, dass es nicht nur eine vertragliche Zusage amerikanischer Unternehmen darstellt, einen angemessenen Datenschutz zu gewährleisten. Es geht darüber hinaus, denn wie wir wissen, könnten sich US-Geheimdienste theoretisch über solche vertraglichen Klauseln hinwegsetzen. Im Zuge der Implementierung des TADPF haben die USA tatsächlich die Befugnisse ihrer Geheimdienste in Bezug auf den Zugriff auf Daten von EU-Bürgern eingeschränkt und gleichzeitig deren rechtliche Position gestärkt. Dies erfolgte durch die "Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities", die der US-Präsident Biden am 7. Oktober 2022 erlassen hat. Für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden, bringt diese neue Executive Order insbesondere die folgenden Verbesserungen mit sich:

  • Verhältnismäßigkeit: US-Geheimdienste müssen nun auch bei EU-Bürgern überprüfen, ob der Zugriff auf ihre Daten verhältnismäßig ist.
  • Beschwerdeverfahren: EU-Bürger können eine Beschwerde beim "Civil Liberties Protection Officer" der US-Geheimdienste einreichen, um ihre Privatsphäre und Grundrechte zu schützen.
  • Überprüfungsverfahren: Auf der zweiten Ebene können Einzelpersonen die Entscheidung des "Civil Liberties Protection Officer" vor dem neu geschaffenen "Data Protection Review Court" anfechten. Der Review Court setzt sich aus unabhängigen Mitgliedern zusammen, die nur aus schwerwiegenden Gründen, wie beispielsweise einer strafrechtlichen Verurteilung, entlassen werden können. Er kann Beschwerden von EU-Bürgern untersuchen, relevante Informationen von Geheimdiensten anfordern und verbindliche Entscheidungen treffen. Dazu gehört auch die Anordnung der Löschung von Daten, wenn diese unter Verstoß gegen die in der Executive Order vorgesehenen Schutzmaßnahmen erhoben wurden.

Der Europäische Gerichtshof (EuGH) muss entscheiden, ob diese Maßnahmen ausreichen, um das Risiko eines Datenmissbrauchs durch US-Geheimdienste zu verhindern. Kritiker der Datentransfers in die USA sind skeptisch, dass die Zusage ausreichend ist. Die Rechtslage hat sich jedoch verbessert, daher kann das Urteil des EuGH zur Aufhebung des "Privacy Shield" nicht einfach auf die aktuelle Situation angewendet werden.

Ist der Einsatz von US-Dienstleistern jetzt rechtssicher?

US-Dienstleister, die unter dem Trans-Atlantic Data Privacy Framework zertifiziert sind, sind derzeit rechtssicher. Die EU und die USA haben sich auf bessere Datenschutzmaßnahmen für EU-Bürger geeinigt, und die EU-Kommission hat ein angemessenes Datenschutzniveau in den USA festgestellt.

Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1) Personenbezogene Daten dürfen an ein Drittland oder eine internationale Organisation übermittelt werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland oder die betreffende Organisation ein angemessenes Schutzniveau bietet. Eine Genehmigung ist in diesem Fall nicht erforderlich.

Allerdings gibt es Bedenken hinsichtlich der Datenschutzmaßnahmen in den USA. Datenschützer halten diese Maßnahmen für unzureichend, und es besteht die Möglichkeit, dass das TADPF in den nächsten 3-5 Jahren vom Europäischen Gerichtshof als unwirksam erklärt wird. Unternehmen, die US-Dienstleister verwenden, sollten dieses Risiko berücksichtigen.

Welche US-Anbieter fallen unter das Trans-Atlantic Data Privacy Framework?
Im Gegensatz zum Angemessenheitsbeschluss für die Schweiz oder Großbritannien gilt der Beschluss zum Datenschutz im Rahmen des TADPF nicht für die gesamten USA. US-Unternehmen müssen sich stattdessen selbst zertifizieren lassen, um den Beschluss nutzen zu können. Unternehmen wie Meta, Google, Microsoft, AWS usw., die viele EU-Nutzer oder Kunden haben, werden dies bald tun. Die zertifizierten US-Unternehmen werden in einer Datenbank geführt, wie es auch beim Vorgänger "Privacy Shield" der Fall war. Dort können die jeweiligen Unternehmen gesucht werden, die jedoch nur in bestimmten Unternehmensbereichen von der Angemessenheit des Datenschutzniveaus profitieren können.
Was sagt der Europäische Datenschutzausschuss zum TADPF?

Am 28. Februar 2023 hat der Europäische Datenschutzausschuss (EDSA) in einer Erklärung zum Entwurf des Angemessenheitsbeschlusses für den Datentransfer zwischen der EU und den USA Stellung genommen. Obwohl der EDSA noch Anliegen und Bedarf an Klarstellungen hat, begrüßt er die Verbesserungen im Entwurf insgesamt. Das könnte als positives Zeichen für das TADPF gewertet werden. Der EDSA macht seine Zustimmung vom tatsächlichen und praktischen Vollzug der von den USA vorgeschlagenen Anpassungen abhängig. Zusammenfassend lässt die Stellungnahme des EDSA auf einen optimistischen Ausblick schließen, da das Abkommen die Hauptkritikpunkte des "Schrems II"-Urteils berücksichtigen würde. Die Stellungnahme des EDSA ist jedoch nicht bindend für den EuGH, so dass das TADPF dennoch für unwirksam erklärt werden könnte.

Der Europäische Datenschutzausschuss: Der Europäische Datenschutzausschuss (EDSA) ist eine EU-Institution, die die Anwendung und Harmonisierung der Allgemeinen Datenschutzverordnung (DSGVO) in der gesamten Europäischen Union gewährleistet. Er besteht aus den Leitern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten. Der EDSA gibt Leitlinien heraus und trägt zur Entwicklung von Standards im Bereich des Datenschutzes bei.

Muss ich mit Bußgeldern rechnen?

Der Angemessenheitsbeschluss der EU-Kommission ist keine Gesetzgebung, aber er bildet eine DSGVO-konforme Grundlage für Datentransfers in die USA, solange er nicht unwirksam wird.Obwohl die deutschen Datenschutzbehörden das Datenschutzniveau in den USA als unzureichend erachten, gibt es keine Bußgelder oder Untersagungen des Einsatzes von US-Anbietern, die dem Trans-Atlantic Data Privacy Framework unterfallen.Allerdings, falls das Trans-Atlantic Data Privacy Framework vom EuGH für unwirksam erklärt wird, müssen die Nutzung von US-Diensten neu bewertet werden. Wenn Ihr Unternehmen eng mit US-Unternehmen verbunden ist und in Ihrer Verantwortung verarbeitete Daten sich auf Servern in den USA befinden, könnten Sie gegen die DSGVO verstoßen und Bußgelder oder Untersagungen drohen.

Muss ich meine Datenschutzerklärung aktualisieren?

Ein Hinweis auf einen Angemessenheitsbeschluss bei der Übertragung von Daten in Drittländer ist eine Pflichtangabe in einer Datenschutzerklärung (Art. 13 Abs. 1 lit. f DSGVO).

[…] teilt der Verantwortliche der betroffenen Person zum Zeitpunkt derErhebung dieser Daten Folgendes mit: […] Absicht des Verantwortlichen,die personenbezogenen Daten an ein Drittland oder eine internationaleOrganisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission [..].

Bei der Angabe der Empfänger Ihrer Datenübermittlungen gemäß Art. 13 Abs. 1 lit. e DSGVO sollten Sie angeben, ob sie unter den Anwendungsbereich des Angemessenheitsbeschlusses der Kommission und somit unter das TADPF fallen.

Solltet Ihr weitere Fragen zu dem Thema habe, kommt gerne auf uns zu.

Dennis
Founder & CEO
About 2 years of experience in UX, gained through UX Design studies on SWPS and working on commercial projects. Passionate about intuitive, user-centered design and enthusiast of board games that stimulate imagination and creativity.
All articles by Patrycja
icon for the category follow fun
Pace Folgen
Wir posten nicht oft, aber wenn...
LinkedIn logo, yellow
Wir sind Pacemaker,
Deine GILDE für Geschwindigkeit & Qualität.
Über Uns
Service
Team
NEWS
Standort
Kontakt
Linkedin
Datenschutz
pace logo
©pace Digital Manufacturing GmbH / 2023