Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag.
Entgegen unserer Annahme aus dem letzten Beitrag (hier geht’s zum Beitrag) kam am 10.07.2023 widererwartend der lang ersehnte Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework.
“Zwar verlangt diese, hinsichtlich der Befugnisse der US-Behörden, nun die Verhältnismäßigkeit von Eingriffen soweit es um Daten europäischer Bürger*innen geht, gleichwohl scheint das Verständnis von Verhältnismäßigkeit zu differieren.” – Marie-Luis Bufler
Rechtslage vor dem EU-US Data Privacy Framework
Nach den Bestimmungen der DSGVO darf eine Übermittlung personenbezogener Daten in ein Drittland – wie vorliegend den USA – grundsätzlich nur dann erfolgen, soweit dem betreffenden Land ein angemessenes Schutzniveau attestiert wurde.
Bis zum Inkrafttreten des TADPF erforderte der Datentransfer in die USA, mangels vorliegendem Angemessenheitsbeschluss, den Abschluss von Standardvertragsklauseln sowie die Implementierung weiterer Schutzmaßnahmen, um annähernd dem Schutzniveau der DSGVO zu entsprechen.
Dieser Umstand war Folge der Nichtigkeitserklärung des EuGHs hinsichtlich des EU-US Privacy Shield im Jahr 2020. Gescheitert war der Vorgänger des TADPF an den weitreichenden Befugnissen der US-Behörden, welche aufgrund amerikanischer Rechtsvorschriften einen teils ungehinderten Zugriff sowie ungehinderte Verwendung der Daten vorsah, ohne Rechtsmittel für europäische Bürger*innen zu erwägen. Dahingehende Einschränkungen wurden als nicht ausreichend deklariert.
Über den Abschluss von Standardvertragsklauseln wurde folglich versucht die Legitimierung des Datentransfers zu erreichen. Konterkariert wurde dies allerdings durch die als kritisch bewertete Rechtslage, sodass der Datentransfer auf der Grundlage von Standardvertragsklauseln in die USA mit rechtlichen Risiko versehen war. Der damit einhergehende Schwebezustand führte so zur Rechtsunsicherheit.
Rechtslage nach dem EU-US Data Privacy Framework
Diesem rechtlichen Schwebezustand ein Ende setzen sollte nun das neue Datenschutzabkommen, welches am 10. Juli 2023 mit sofortiger Wirkung in Kraft getreten ist. Mit dem Transatlantic Data Privacy Framework wird Unternehmen ein Instrument an die Hand gegeben, welches den Datentransfer in die USA wieder legitimiert. Die Rechtssicherheit scheint somit vorerst wiederhergestellt.
US-Unternehmen müssen sich entsprechend des TADPF zertifizieren. Dadurch verpflichten sich diese gewissen datenschutzrechtlichen Anforderungen zu entsprechen. Anschließend könne für den Drittlands-Transfer direkt das Data Privacy Framework als Rechtsgrundlage herangezogen werden. Weitere Maßnahmen, Sicherheiten und Garantien werden hinfällig.
Unternehmen hingegen, welche bereits eine Zertifizierung nach dem vormals geltenden Privacy Shield erlangt haben, sind lediglich dazu angehalten eine Anpassung ihrer Datenschutzrichtlinien vorzunehmen, soweit sie ein aktives Zertifikat nachweisen können.
Doch was bedeutet der Beschluss nun für Ihr Unternehmen im Detail?
Zunächst sollten Sie die Überprüfung Ihrer datenschutzrechtlichen Dokumente anberaumen und zeitnah Anpassungen vornehmen. Was Sie dabei berücksichtigen sollten, können Sie nachfolgend unserem Leitfaden inklusive Check-Liste entnehmen:
Anfänglich sollten Sie überprüfen, ob sich das US-Unternehmen auf der Data Privacy Framework List befindet. Im Weiteren unterscheidet sich Ihr Vorgehen wie folgt:
Auflistung in der Data Privacy Framework List
Keine Auflistung in der Data Privacy Framework List
Zu beachten gilt jedoch, dass bisher abgeschlossene Standardvertragsklauseln nicht ihre Gültigkeit verlieren. Vielmehr bleiben diese gerade mangels Zertifizierung einzelner Unternehmen bestehen und behalten demnach ihre Gültigkeit. Zukünftige Datentransfers mit zertifizierten Unternehmen lassen sich jedoch ohne weiteres auf den Angemessenheitsbeschluss stützen.
Von der Rechtsunsicherheit zur Rechtssicherheit?
Die Zukunft des Angemessenheitsbeschlusses kann Stand jetzt nicht ohne weiteres vorhergesagt werden, jedoch scheinen folgende bekannte Redewendungen die Situation zutreffend wiederzu-geben. Sei es entweder „aller guten Dinge sind drei“, oder „was lange währt wird endlich gut“ – im Ergebnis ist das Verständnis dieser Redewendungen unterschiedlich und mithin eine Sache der Auslegung.
Dies spiegelt sich auch in der Kritik, welcher der Durchführungsverordnung zugrunde liegt, wieder. Zwar verlangt diese, hinsichtlich der Befugnisse der US-Behörden, nun die Verhältnismäßigkeit von Eingriffen soweit es um Daten europäischer Bürger*innen geht, gleichwohl scheint das Verständnis von Verhältnismäßigkeit zu differieren.
Fazit – baldige Schicksalsgemeinschaft?
Abschließend bleibt anzumerken, dass dem Angemessenheitsbeschluss aus wirtschaftlicher Perspektive sicher etwas Positives zugestanden werden kann. Für EU-Unternehmen erweist sich der Transfer als rechtlich sicherer und ist die durchaus angenehmere Variante hinsichtlich der einzu-haltenden Anforderungen.
Inwieweit dieser Zustand aufrecht erhalten werden kann scheint jedoch fraglich. Ein Vorgehen gegen das EU-US Data Privacy Framework durch Max Schrems, Jurist und Datenschutzaktivist, ist seinen Aussagen zufolge als wahrscheinlich anzusehen. Demnach könnte sich das TADPF das Schicksal mit seinen Vorgängern “Safe Harbor” und “Privacy Shield” bald teilen, sodass auf drei Jahre Rechtsunsicherheit sogleich „Schrems III“ folgt und daraufhin wirklich aller guten Dinge – je nach Perspektive – drei sind.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]