Website Compliance
Neues Data Privacy Framework: Trans-Atlantic Data Privacy Framework (TADPF)
A new hope: Neue Regeln für die Datenübermittlung in die USA?
27. Oktober 2022
Der dritte Anlauf soll's endlich richten: 2015 fiel das Safe-Harbor-Abkommen und 2020 auch das Privacy Shield-Abkommen zwischen Europa und den USA vor dem Europäischen Gerichtshof durch. Seither bestanden beträchtliche Unsicherheiten bei der Nutzung US-amerikanischer Anwendungen beim Transfer und der Verarbeitung personenbezogener Daten.
Im März 2022 nun wurde ein neues Abkommen vorgestellt, das Trans-Atlantic Data Privacy Framework (TADPF). Wird die Datenschutzlage jetzt klarer?
Sprechen Sie uns an.
Wir beraten Sie gerne
+49 251 95 20 37 - 40
Ihr Ansprechpartner
Jörg ter Beek
+49 251 95 20 37 - 40
[email protected]
Ihr Datenschutzbeauftragter
- zehnjährige Praxiserfahrung
- TÜV-zertifizierter Datenschutzbeauftragter
- ISMS-Auditor
- Expertise in Datenschutzberatung und IT-Security
Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.
Die meisten Digitalisierungsvorgänge sind ohne die Nutzung US-amerikanischer Technologien kaum denkbar. Gleichzeitig sind die USA aus Sicht des europäischen Datenschutzes ein Drittland, also ein Land außerhalb der EU. Transfers personenbezogener Daten in Drittländer dürfen laut der Datenschutz-Grundverordnung (DSGVO) jedoch nur erfolgen, wenn das Drittland einen „angemessenen“, dem Recht der EU gleichwertigen Datenschutz im Sinne der DSGVO sicherstellt. Dies war bei den beiden Vorgängerabkommen laut den sogenannten Schrems-Urteilen des EuGH (Schrems I/Schrems II) nicht der Fall.
Vor allem wurde bemängelt, dass die US-Geheimdienste zu weit reichende Zugriffsrechte auf die europäischen Daten hatten und dass Betroffenenrechte nicht durchgesetzt werden konnten. Seither ist die Nutzung von Diensten von Angeboten wie Google, Microsoft, Facebook oder Cloud-Diensten mit großen Fragezeichen im Bereich des Datenschutzes versehen.
Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?
Das neue Regelwerk enthält verglichen mit dem gescheiterten Privacy Shield nun
- Garantien, die den Zugriff der US-Geheimdienste auf notwendige und verhältnismäßige Informationen zum Schutz der nationalen Sicherheit beschränken,
- ein zweistufiges rechtliches System, das Beschwerden von europäischen Bürgern über unzulässige Datenzugriffe der US-Geheimdienste regelt,
- strengere Auflagen für US-Datenverarbeiter und konkrete Überwachungs- und Überprüfungsvorgaben für die Nutzung der Daten in den USA.
Das TADPF ist kein Gesetz, sondern besteht aus...
- einer internen Dienstanweisung des Präsidenten der Vereinigten Staaten von Amerika an die US-Regierung, der sogenannten „Executive Order“ zur Gewährleistung der geforderten Datenschutzmaßnahmen, die Joe Biden am 7. Oktober 2022 unterzeichnet hat, und
- einem „Angemessenheitsbeschluss“ der EU-Kommission, in dem festgestellt wird, dass das Datenschutzniveau in den USA für personenbezogene Daten von EU-Bürgern in etwa denen der DSGVO entspricht (Art. 45 DSGVO). Die Überprüfung durch den Europäischen Datenschutzausschuss hat bereits begonnen, der Beschluss wird jedoch frühestens für das kommende Jahr erwartet.
Für welche US-Anbieter wird das Trans-Atlantic Data Privacy Framework (TADPF) gelten?
Das konkrete Verfahren wurde noch nicht festgelegt. Voraussichtlich werden sich die US-Unternehmen gegenüber einer noch unbekannten Stelle zur Einhaltung DSGVO-ähnlicher Vorgaben verpflichten und selbst zertifizieren. Ob es dann eine Liste zugelassener Anbieter geben wird oder diese sich z. B. durch ein Siegel identifizieren, ist noch unklar.
Kontrollstelle: Wer übernimmt die Überprüfung?
Die Einhaltung der Einschränkungen für die Geheimdienste und die eventuellen Beschwerden von EU-Bürgern bei einer unrechtmäßigen Datennutzung sollen im Data Protection Review Court geprüft und verhandelt werden. Dieses „Gericht“ wird jedoch nach der aktuellen Planung kein US-Bundesgericht sein, sondern eine amtliche Beschwerdestelle oder -behörde.
Der Datenschutz Newsletter
Bleiben Sie up-to-date, registrieren Sie sich jetzt für lesenswerte Datenschutz-News
Herzlichen Glückwunsch!
Sie haben sich erfolgreich für unseren Newsletter angemeldet. Wir haben Ihnen eine E-Mail geschickt, in der Sie per Double-Opt-In den Erhalt noch einmal bestätigen müssen.
* Pflichtfeld.
Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Datenübermittlung in die USA wieder vereinfacht möglich?
Vor der gesicherten Verabschiedung des TADPF noch nicht. Das Abkommen wurde zwar vorgestellt, aber noch nicht ausformuliert oder gar verabschiedet. Sowohl auf US-Seite wie auch bei der EU müssen nach einer Verabschiedung eine Reihe von Prüfungen, Stellungnahmeverfahren, Verwaltungsvorgängen und Gesetzesänderungen durchgeführt werden, der zeitliche Rahmen hierfür ist nicht absehbar.
Damit muss der Datentransfer zunächst weiterhin in jedem Einzelfall geprüft und gesichert werden. Manche Fachleute sehen in der erteilten „Executive Order“ eine Atempause für die Verfolgung von Datentransfers in die USA, das ist aber keineswegs sicher.
Wir empfehlen, zunächst weiterhin ausschließlich alternative, zulässige Verfahren zu nutzen, etwa Standardvertragsklauseln nach den Regelungen ab dem 27.12.22, Transfer Impact Assessments (TIA) und die sonstigen Maßnahmen des Datenschutzes nach DSGVO.
Fazit
Noch sehr umstritten ist, ob das zugesicherte Schutzniveau für personenbezogene Daten von EU-Bürgern wirklich höher liegt als zuvor, denn das US-Recht kennt die Rechtsbegriffe der Verhältnismäßigkeit und Notwendigkeit im europäischen Sinne nicht. Experten bezweifeln daher, dass die Zugriffe der US-Geheimdienste tatsächlich eingeschränkt oder kontrolliert werden.
Es gibt außerdem Zweifel daran, ob der Data Protection Review „Court“ unabhängig von der US-Regierung agieren und Zugriff auf die Geheimdienste erhalten kann. Hier ergibt sich ein Problem bei den Beschwerdemöglichkeiten, da die Beschwerdeführer aus der EU die Überwachung ihrer Daten schwerlich werden belegen können – und die Behörden haben auch keine Anweisung dazu, entsprechende Auskünfte zu erteilen. Die US-Regierung wird die Überwachungsmaßnahmen zur Wahrung ihrer Staatsgeheimnisse kaum auf einfache Anfrage eines Bürgers oder einer Beschwerdestelle offenlegen – dies könnte zu gravierenden Kontroll- und Datenschutzlücken führen.
Auch gibt es eine juristische Diskussion darüber, ob eine „Executive Order“ für Vorgaben dieser Tragweite ausreicht und ob es nicht eines „echten“ Gesetzes bedarf. Eine Änderung bestehender US-Gesetze ist bislang aber nicht vorgesehen. Stattdessen findet sich in der Executive Order erneut eine explizite Erlaubnis der systematischen Massenüberwachung, die der EuGH in den vergangenen Anläufen bereits als „nicht verhältnismäßig“ abgelehnt hat.
Voraussichtlich wird der Datenschützer Max Schrems mit seiner Organisation noyb - Europäisches Zentrum für digitale Rechte den „Angemessenheitsbeschluss“ der EU-Kommission wie bei den beiden Vorgängerregelungen anfechten. Er geht davon aus, dass die DSGVO-ähnlichen Formulierungen zwar im Abkommen verwendet, aber nicht durch Änderungen in der US-Gesetzgebung tatsächlich realisiert werden.
Titelfoto: Markus Spiske @ Unsplash.com
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte