linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
30.Mai 2023 | Team Datenschutz | Thema: Datenschutz

Privacy Shield 2.0 aka „TADPF“

Schlagwörter: Datentransfer | EU-US Privacy Shield 2.0

Ein sicheres, wirksames und belastbares Datenschutzabkommen zwischen der EU und den USA ist gerade wohl der Traum eines jeden Menschen, der sich im Unternehmenskontext mit Datenschutz beschäftigt. Nun scheint dieser Traum nach langer Zeit tatsächlich wahr zu werden, oder? Wir haben für Dich die wichtigsten Informationen über den Inhalt des Abkommens gesammelt und fassen diese nachfolgend zusammen.

Am 25.03.22 kündigten Vertreter*innen aus der EU und den USA in einer gemeinsamen Erklärung ein neues, baldiges Abkommen zum freien Transfer von personenbezogenen Daten zwischen beiden Regionen an. In der Erklärung ist die Rede von einem „unprecedented commitment“, also einem beispiellosen Bekenntnis seitens der USA, welches den Weg zu einem neuen Abkommen möglich machen soll. Ein solches braucht es auch, um die hohen Anforderungen aus dem Schrems II-Urteil tatsächlich zu erfüllen. Aber ordnen wir die Sache erst einmal ein.

Der neue Name

Safe Harbor & Privacy Shield sind Geschichte, deshalb bedient man sich wohl auch im dritten Versuch eines neuen Namens für ein belastbares Abkommen. Geeinigt habe man sich laut EU und USA grundsätzlich auf ein neues „Trans Atlantic Data Privacy Framework“.

Da wir im Datenschutz Abkürzungen lieben (und ansonsten die Texte noch länger werden, man denke nur an das „TTDSG“) macht man daraus jetzt schon das „TADPF“ – über andere Abkürzungen wird man ganz sicher auch noch streiten. Der Einfachheit halber bleiben wir hier und heute beim TADPF.

Was steht drin?

Genug gescherzt, kommen wir zum Punkt – dem Inhalt. Im Oktober 2022 unterzeichnete US-Präsident Joe Biden die Verfügung (Executive Order) unter der Nummer 14086 im Federal Register als Grundlage eines neuen Rechtsrahmens für den Datentransfer zwischen der EU und den USA.

Mit dieser Verfügung werden Schutzmaßnahmen für den Zugang der US-Geheimdienste zu europäischen personenbezogenen Daten und Rechtsschutzmöglichkeiten eingeführt. Die USA würden nachrichtendienstliche elektronische Aufklärung und Fernmeldeaufklärung („Signal Intelligence“) betreiben, damit ihre Entscheidungsträger im Bereich der nationalen Sicherheit Zugang zu rechtzeitigen, genauen und aufschlussreichen Informationen haben, so der Zweck der Verfügung.

Weiter sollen ergänzende Schutzmaßnahmen entwickelt und der Umgang mit personenbezogenen Daten geregelt werden. Auch die Zuständigkeiten von Rechts-, Aufsichts- und Compliance-Beamten sollen hier geregelt sein. Darüber ist bislang im Detail leider noch wenig bekannt. Bekannt ist derzeit nur, dass die USA den Anforderungen aus Schrems II über einen neuen Rechtsbehelfsweg genügen wollen.

Reicht uns das?

So weit so gut. Aber genügen diese Maßnahmen wirklich, um die Probleme, die sowohl Safe Harbor als auch das Privacy Shield zu Fall gebracht haben, zu lösen? Nun ja. Wir Datenschützer lieben nicht nur Abkürzungen, sondern haben mittlerweile auch einen gewissen Galgenhumor entwickelt. Viele sehen „Schrems III“ schon am Horizont, andere freuen sich auf wenigstens 3-5 Jahre Ruhe. Max Schrems selbst bzw. die von ihm initiierte Datenschutzplattform „noyb“ kündigten in einem ersten Statement schon an, die kommenden Rechtstexte sobald wie möglich genauestens zu prüfen und bei Abweichungen erneut den gerichtlichen Weg zu gehen.

Wie geht es weiter?

Doch bevor es dazu kommen kann, braucht es erst einmal die finalen, grundlegenden Rechtstexte. Jetzt muss die EU-Kommission einen eigenen dazu passenden Rechtsrahmen erarbeiten. Frühestens könne damit ab Frühjahr 2023 gerechnet werden. Bis jetzt gibt es noch kein entsprechendes Signal. Ob dieses Abkommen dann rechtsgültig sein wird, bleibt fraglich. Vor allem die immer noch durchgeführte – im Sinne des EU-Rechts unverhältnismäßige – Massenüberwachung in den Staaten gibt zu denken. Auch sollen die neu eingeführten Rechtsschutzmöglichkeiten nicht ausreichend sein. Vor allem, weil das neu geschaffene Data Protection Review Court kein unabhängiges, echtes Gericht sei.

Es wird also noch ein bisschen Zeit vergehen, bis wir hier Klarheit haben – leider. Wir halten Euch auf dem Laufenden…

 

Quellen:

Executive Order Nummer 14086

Trans Atlantic Data Privacy Framework (TADPF)

zurück
Themen
Schlagwörter
Girls-DayDSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarkleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Die kleine Reihe: Whistleblowing-Richtlinie Teil 3Postit - Online SchulungOnlineseminar für Datenschutzbeauftragte: Datenschutz Refresh „IT“