Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt zu einem zentralen Anliegen geworden, insbesondere in der Europäischen Union. Um diesen Schutz für EU-Bürger auch bei der Übertragung ihrer Daten in die USA zu gewährleisten, wurden in der Vergangenheit Abkommen wie das Safe-Harbour-Abkommen und der EU-US Privacy-Shield geschlossen. Diese Abkommen wurden jedoch vom Europäischen Gerichtshof aufgrund der Zugriffsmöglichkeiten der US-Behörden auf die Daten der EU-Bürger für unwirksam erklärt. Eine neue Entwicklung in dieser Angelegenheit ist das Trans-Atlantic Data Privacy Framework (TADPF), das von der EU-Kommission und dem US-Handelsministerium vereinbart wurde und am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datentransfer zwischen der EU und den USA darstellt. Dieser Artikel wird die Hintergründe und den Inhalt des TADPF beleuchten und die Implikationen für den Datenschutz beleuchten.
Um eine Regelung zum Schutz personenbezogener Daten von EU-Bürgern in den USA zu haben, einigten sich die EU und die USA zunächst auf das Safe-Harbour-Abkommen und anschließend auf den EU-US Privacy-Shield. Beide Regelungen wurden jedoch von dem Europäischen Gerichtshof (EuGH) im Jahre 2015 bzw. 2020 für unwirksam erklärt; insb. wegen der beinahe jederzeitigen Zugriffsmöglichkeit der US-Behörden auf die personenbezogenen Daten von EU-Bürgern.
Mit dem von der EU-Kommission und dem US-Handelsministerium vereinbarten Trans-Atlantic Data Privacy Framework (TADPF) wurde am 10. Juli 2023 ein Angemessenheitsbeschluss getroffen, um einen sicheren Datentransfer zwischen der Europäischen Union und den USA zu gewährleisten. Durch einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DS-GVO kann die EU-Kommission feststellen, dass ein Drittland (Land außerhalb der EU/EWR) ein „angemessenes Schutzniveau“ für den Schutz personenbezogener Daten bietet.
Grundlage für das TADPF bildet die Unterzeichnung eines Dekretes durch die USA, das neue verbindliche Garantien schaffte, die den vom EuGH in seinem Schrems-II-Urteil (16. Juli 2020) aufgezeigten Aspekten Rechnung tragen.
Im Gegensatz zu anderen Angemessenheitsbeschlüssen (bspw. Großbritannien, Schweiz) wirkt das TADPF lediglich eingeschränkt. So gilt die privilegierte Wirkung nur für solche US-Unternehmen, die sich einer Selbstzertifizierung unterzogen haben. Durch diese verpflichten sie sich, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Anschließend werden die zertifizierten Unternehmen in einer öffentlich abrufbaren Liste geführt.
Nach besagter Zertifizierung sind der Datentransfer und damit die Einbindung des jeweiligen US-Unternehmens bei Datenverarbeitungen in Einklang mit der DS-GVO möglich.
Inhalt des Trans-Atlantic Data Privacy Frameworks:
• Beschränkung des Zugangs zu EU-Daten durch die US-Nachrichtendienste auf das notwendige und verhältnismäßige Maß;
• Einführung eines zweistufigen Beschwerdeverfahren gegen US-Überwachungsmaßnahmen – u. a. durch ein neu eingerichtetes Gericht;
• erweiterte Rechte für EU-Bürger: das TADPF gewährt mehrere neue Rechte, die mit denen der DS-GVO vergleichbar sind, z. B. Recht auf Zugang, Berechtigung oder Löschung ihrer Daten, wenn diese falsch oder unrechtmäßig gehandhabt werden;
• Umsetzung der DS-GVO ähnlicher Regelungen, z. B. Zweckbindung, Datenminimierung, Sicherheit, Datengenauigkeit, Transparenz und Beschränkungen der Weitergabe;
• jährliche Neuzertifizierung; Veröffentlichung der gestrichenen Unternehmen;
• fortlaufende Überprüfung des TADPF durch die EU-Kommission (erstmalig in ca. 1 Jahr).
Fazit:
Das Trans-Atlantic Data Privacy Framework (TADPF) kann als nächster Schritt zur Erleichterung einer sicheren Datenübertragung zwischen der EU und den USA angesehen werden. Voraussichtlich wird jedoch auch diese Regelung einer gerichtlichen Überprüfung zugeführt. Insoweit ist anzuraten, bestehende Verträge nach den EU-Standardklauseln mit bereits zertifizierten US-Unternehmen derzeit nicht aufzulösen, sondern den weiteren Prozess beobachtend abzuwarten.
Datenschutzverletzungen bei Facebook und Deezer
Facebook und Deezer, zwei bekannte Unternehmen im Bereich soziale Medien und Musikstreaming, sehen sich mit Schadensersatzansprüchen…
Privatnutzung von dienstlichen Kommunikationsmitteln
Das Urteil des Landesarbeitsgerichts Baden-Württemberg vom 27.01.2023 (12 Sa 56/21) verdeutlicht insgesamt die Notwendigkeit…
Datenschutzverletzungen erschüttern das Vertrauen der Öffentlichkeit
In den letzten Monaten haben mehrere Datenschutzverletzungen das öffentliche Bewusstsein für die Sicherheit personenbezogener Daten geschärft…