Neues Data Privacy Framework: Trans-Atlantic Data Privacy Framework (TADPF)
Neue Datenübermittlungsregeln in die USA: Wie das TADPF den transatlantischen Datenaustausch beeinflusst.
Der dritte Anlauf soll’s endlich richten: 2015 fiel das Safe-Harbor-Abkommen und 2020 auch das Privacy Shield-Abkommen zwischen Europa und den USA vor dem Europäischen Gerichtshof durch. Seither bestanden beträchtliche Unsicherheiten bei der Nutzung US-amerikanischer Anwendungen beim Transfer und der Verarbeitung personenbezogener Daten.
Im März 2022 nun wurde ein neues Abkommen vorgestellt, das Trans-Atlantic Data Privacy Framework (TADPF). Wird die Datenschutzlage jetzt klarer?
Die meisten Digitalisierungsvorgänge sind ohne die Nutzung US-amerikanischer Technologien kaum denkbar. Gleichzeitig sind die USA aus Sicht des europäischen Datenschutzes ein Drittland, also ein Land außerhalb der EU. Transfers personenbezogener Daten in Drittländer dürfen laut der Datenschutz-Grundverordnung (DSGVO) jedoch nur erfolgen, wenn das Drittland einen „angemessenen“, dem Recht der EU gleichwertigen Datenschutz im Sinne der DSGVO sicherstellt. Dies war bei den beiden Vorgängerabkommen laut den sogenannten Schrems-Urteilen des EuGH (Schrems I/Schrems II) nicht der Fall.
Vor allem wurde bemängelt, dass die US-Geheimdienste zu weit reichende Zugriffsrechte auf die europäischen Daten hatten und dass Betroffenenrechte nicht durchgesetzt werden konnten. Seither ist die Nutzung von Diensten von Angeboten wie Google, Microsoft, Facebook oder Cloud-Diensten mit großen Fragezeichen im Bereich des Datenschutzes versehen.
Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?
Das neue Regelwerk enthält verglichen mit dem gescheiterten Privacy Shield nun
- Garantien, die den Zugriff der US-Geheimdienste auf notwendige und verhältnismäßige Informationen zum Schutz der nationalen Sicherheit beschränken,
- ein zweistufiges rechtliches System, das Beschwerden von europäischen Bürgern über unzulässige Datenzugriffe der US-Geheimdienste regelt,
- strengere Auflagen für US-Datenverarbeiter und konkrete Überwachungs- und Überprüfungsvorgaben für die Nutzung der Daten in den USA.
Das TADPF ist kein Gesetz, sondern besteht aus...
- einer internen Dienstanweisung des Präsidenten der Vereinigten Staaten von Amerika an die US-Regierung, der sogenannten „Executive Order“ zur Gewährleistung der geforderten Datenschutzmaßnahmen, die Joe Biden am 7. Oktober 2022 unterzeichnet hat, und
- einem „Angemessenheitsbeschluss“ der EU-Kommission, in dem festgestellt wird, dass das Datenschutzniveau in den USA für personenbezogene Daten von EU-Bürgern in etwa denen der DSGVO entspricht (Art. 45 DSGVO). Die Überprüfung durch den Europäischen Datenschutzausschuss hat bereits begonnen, der Beschluss wird jedoch frühestens für das kommende Jahr erwartet.
Für welche US-Anbieter wird das Trans-Atlantic Data Privacy Framework (TADPF) gelten?
Das konkrete Verfahren wurde noch nicht festgelegt. Voraussichtlich werden sich die US-Unternehmen gegenüber einer noch unbekannten Stelle zur Einhaltung DSGVO-ähnlicher Vorgaben verpflichten und selbst zertifizieren. Ob es dann eine Liste zugelassener Anbieter geben wird oder diese sich z. B. durch ein Siegel identifizieren, ist noch unklar.
Kontrollstelle: Wer übernimmt die Überprüfung?
Die Einhaltung der Einschränkungen für die Geheimdienste und die eventuellen Beschwerden von EU-Bürgern bei einer unrechtmäßigen Datennutzung sollen im Data Protection Review Court geprüft und verhandelt werden. Dieses „Gericht“ wird jedoch nach der aktuellen Planung kein US-Bundesgericht sein, sondern eine amtliche Beschwerdestelle oder -behörde.
Datenübermittlung in die USA wieder vereinfacht möglich?
Vor der gesicherten Verabschiedung des TADPF noch nicht. Das Abkommen wurde zwar vorgestellt, aber noch nicht ausformuliert oder gar verabschiedet. Sowohl auf US-Seite wie auch bei der EU müssen nach einer Verabschiedung eine Reihe von Prüfungen, Stellungnahmeverfahren, Verwaltungsvorgängen und Gesetzesänderungen durchgeführt werden, der zeitliche Rahmen hierfür ist nicht absehbar.
Damit muss der Datentransfer zunächst weiterhin in jedem Einzelfall geprüft und gesichert werden. Manche Fachleute sehen in der erteilten „Executive Order“ eine Atempause für die Verfolgung von Datentransfers in die USA, das ist aber keineswegs sicher.
Wir empfehlen, zunächst weiterhin ausschließlich alternative, zulässige Verfahren zu nutzen, etwa Standardvertragsklauseln nach den Regelungen ab dem 27.12.22, Transfer Impact Assessments (TIA) und die sonstigen Maßnahmen des Datenschutzes nach DSGVO.
Fazit
Noch sehr umstritten ist, ob das zugesicherte Schutzniveau für personenbezogene Daten von EU-Bürgern wirklich höher liegt als zuvor, denn das US-Recht kennt die Rechtsbegriffe der Verhältnismäßigkeit und Notwendigkeit im europäischen Sinne nicht. Experten bezweifeln daher, dass die Zugriffe der US-Geheimdienste tatsächlich eingeschränkt oder kontrolliert werden.
Es gibt außerdem Zweifel daran, ob der Data Protection Review „Court“ unabhängig von der US-Regierung agieren und Zugriff auf die Geheimdienste erhalten kann. Hier ergibt sich ein Problem bei den Beschwerdemöglichkeiten, da die Beschwerdeführer aus der EU die Überwachung ihrer Daten schwerlich werden belegen können – und die Behörden haben auch keine Anweisung dazu, entsprechende Auskünfte zu erteilen. Die US-Regierung wird die Überwachungsmaßnahmen zur Wahrung ihrer Staatsgeheimnisse kaum auf einfache Anfrage eines Bürgers oder einer Beschwerdestelle offenlegen – dies könnte zu gravierenden Kontroll- und Datenschutzlücken führen.
Auch gibt es eine juristische Diskussion darüber, ob eine „Executive Order“ für Vorgaben dieser Tragweite ausreicht und ob es nicht eines „echten“ Gesetzes bedarf. Eine Änderung bestehender US-Gesetze ist bislang aber nicht vorgesehen. Stattdessen findet sich in der Executive Order erneut eine explizite Erlaubnis der systematischen Massenüberwachung, die der EuGH in den vergangenen Anläufen bereits als „nicht verhältnismäßig“ abgelehnt hat.
Voraussichtlich wird der Datenschützer Max Schrems mit seiner Organisation noyb – Europäisches Zentrum für digitale Rechte den „Angemessenheitsbeschluss“ der EU-Kommission wie bei den beiden Vorgängerregelungen anfechten. Er geht davon aus, dass die DSGVO-ähnlichen Formulierungen zwar im Abkommen verwendet, aber nicht durch Änderungen in der US-Gesetzgebung tatsächlich realisiert werden.
Sie möchten Aufklärung zur aktuellen Datenschutzlage und eine langfriste Unterstützung beim Thema Datenschutz im Allgemeinen?
Ihre Vorteile mit Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
