Trans Atlantic Data Privacy Framework – TADPF
Die digitalen Grenzen verschwimmen schneller als je zuvor, der Schutz persönlicher Daten steht im Rampenlicht internationaler Debatten. Die Notwendigkeit eines soliden Fundaments für Datenschutz und -sicherheit wurde insbesondere durch die Schrems-Entscheidungen des EuGH hervorgehoben. Diese Urteile markieren Wendepunkte im Dialog über den transatlantischen Datenaustausch, indem sie die Unzulänglichkeiten bestehender Datenschutzvereinbarungen zwischen der EU und den Vereinigten Staaten aufzeigten.
Vor diesem Hintergrund entstand das Trans Atlantic Data Privacy Framework (TADPF) als Antwort auf das wachsende Bedürfnis, einen robusten rechtlichen Rahmen für den Schutz persönlicher Daten über den Atlantik hinweg zu schaffen. Werfen wir einen detaillierten Blick auf dieses Rahmenwerk.
Was sind Datenübertragungen im Allgemeinen?
Bevor wir tiefer in die Materie eintauchen wollen wir den Begriff der Datenübertragung zu verstehen. Die Datenschutzkonferenz (DSK) hat in ihren Richtlinien zur Übermittlung personenbezogener Daten aus Europa in die USA vom 4. 9. 2023 eine klare Definition vorgelegt.
Nach Auffassung der DSK umfasst der Begriff der Übermittlung weit mehr als nur zielgerichtete und bewusste Aktionen. So kann bereits die Bereitstellung der Möglichkeit, aus einem Drittland auf Daten zuzugreifen – beispielsweise zu Verwaltungs- oder Supportzwecken – als Übermittlung angesehen werden.
TADPF – Neuer Rahmen für den Datentransfer
Die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb desselben ist sorgfältig reguliert. Die Grundlagen hierfür finden sich in den Artikeln 44 ff. der DSGVO, welche die Bedingungen festlegen, unter denen solche Übertragungen rechtmäßig stattfinden können. Für die USA wurden in der Vergangenheit zwei solcher Abkommen – Safe Harbor und Privacy Shield – beschlossen und später durch Entscheidungen des EuGH in den Fällen Schrems I und II für ungültig erklärt.
Im Oktober 2022 unterzeichnete US-Präsident Joe Biden die Executive Order als Grundlage eines neuen Rechtsrahmens für den Datentransfer zwischen der EU und den USA. Der entscheidende Durchbruch kam am 10. Juli 2023, als der Angemessenheitsbeschluss verabschiedet wurde. Dieser stellt ein angemessenes Datenschutzniveau für die Datenübertragung von Organisationen im EWR an US-Unternehmen sicher, die sich an das TADPF halten. Es ist wichtig zu betonen, dass dieser Beschluss spezifisch für US-Unternehmen gilt und nicht die USA als Ganzes betrifft.
Die Umsetzung dieses Beschlusses markiert einen signifikanten Schritt vorwärts in der Sicherstellung des Schutzes personenbezogener Daten über internationale Grenzen hinweg. Es bietet einen Rahmen, innerhalb dessen Daten im Einklang mit den strengen Datenschutzstandards der EU übertragen werden können.
Umsetzung des TADPF
Das TADPF ermöglicht US-Unternehmen nun die Zertifizierung ihres Datenschutzniveaus. Diese Zertifizierung ist jedoch nicht universell, sondern Unternehmen können sich freiwillig und selbstzertifizierend anschließen. Das US-Handelsministerium veröffentlicht eine Liste unter https:/www.dataprivacyframework.gov/. Eine wichtige Unterscheidung betrifft HR- und Non-HR-Daten.
HR-Daten können nur an zertifizierte US-Unternehmen übermittelt werden. Die Zertifizierung muss jährlich erneuert werden. Derzeit sind etwa 2500 Unternehmen registriert, darunter Google LLC, Meta Platforms (ehemals Facebook), Microsoft und Amazon.
Bedeutung für die Praxis
Bestehende Datenübermittlungen, die bereits durch datenschutzrechtliche Verträge oder andere rechtmäßige Mechanismen abgesichert sind, sollten nicht unbedingt auf das TADPF umgestellt werden. Das Anpassen aller Dokumente ist zeitaufwendig und könnte erneut nötig werden, wenn der neue Angemessenheitsbeschluss vom EuGH für unzulässig erklärt wird. Bestehende Verträge sind vom Angemessenheitsbeschluss nicht beeinträchtigt.
Für neue Datenübermittlungen bietet sich hingegen die Option, das TADPF als Rechtsgrundlage zu nutzen. Dies ist jedoch nur für US-Unternehmen zulässig, die sich beim US-Handelsministerium zertifiziert haben. Bei Dienstleistern ohne TADPF-Zertifizierung müssen weiterhin geeignete Garantien nach Art. 46, Art. 47 oder Art. 49 DSGVO vorhanden sein.
Die Nutzung des TADPF als Rechtsgrundlage für neue Datenübertragungen bietet Vorteile, da keine zusätzliche Genehmigung erforderlich ist. Es gelten die gleichen Anforderungen wie bei Auftragsverarbeitern innerhalb der EU/ des EWR.
Nachteilig wäre im Fall einer erneuten Ungültigkeitsentscheidung des EuGHs, dass alle Datenübermittlungen auf Basis des aktuellen Angemessenheitsbeschlusses auf Verträge umgestellt werden müssten. Es ist zu prüfen, welche Risiken bestehen und wie diese gemindert werden können. Das Risiko einer Ungültigkeit des Abkommens ist leider nicht unerheblich.
Große Auftragsverarbeiter bieten häufig nur eine Möglichkeit zur Legitimierung der Datenübertragung an, so dass Verantwortliche möglicherweise keine Wahl der Vertragsform haben. In diesem Fall könnte eine sofortige Umstellung auf einen Vertrag mit Standardvertragsklauseln (SCCs) in Betracht gezogen werden.
Fazit Trans Atlantic Data Privacy Framework
Angesichts der jahrelangen Rechtsunsicherheit bei der Datenübermittlung an US-Unternehmen ist der Angemessenheitsbeschluss grundsätzlich eine positive Entwicklung. Dennoch wäre eine noch sicherere Grundlage wünschenswert, die langfristige Sicherheit bietet.
Nach wie vor bleiben Verträge mit Standardvertragsklauseln das zuverlässigste Mittel für die Datenübermittlung an Auftragsverarbeiter in unsicheren Drittländern wie den USA. Allerdings reichen Verträge allein oft nicht aus. Verantwortliche müssen daher abwägen, ob der zusätzliche Aufwand angesichts des bestehenden Risikos, dass dieser Aufwand in den nächsten zwei Jahren sowieso erforderlich sein könnte, gerechtfertigt ist.
Links/Verweise:
gesa/procado
procado