Am 10.07.2023 ver­ab­schie­de­te die EU-Kommission den neu­en Ange­mes­sen­heits­be­schluss für die USA – das Trans­at­lan­tic Data Pri­va­cy Frame­work, kurz TADPF. Was lan­ge währt wird end­lich gut – oder bie­tet der Ange­mes­sen­heits­be­schluss doch nur eine neue Rechts­grund­la­ge auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeu­tet fin­den Sie im fol­gen­den Beitrag.

Ent­ge­gen unse­rer Annah­me aus dem letz­ten Bei­trag (hier geht’s zum Bei­trag) kam am 10.07.2023 wider­er­war­tend der lang ersehn­te Ange­mes­sen­heits­be­schluss der EU-Kommission zum EU-US Data Pri­va­cy Framework.

Zwar ver­langt die­se, hin­sicht­lich der Befug­nis­se der US-Behörden, nun die Ver­hält­nis­mä­ßig­keit von Ein­grif­fen soweit es um Daten euro­päi­scher Bürger*innen geht, gleich­wohl scheint das Ver­ständ­nis von Ver­hält­nis­mä­ßig­keit zu dif­fe­rie­ren.” – Marie-Luis Bufler

Rechts­la­ge vor dem EU-US Data Pri­va­cy Framework

Nach den Bestim­mun­gen der DSGVO darf eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land – wie vor­lie­gend den USA – grund­sätz­lich nur dann erfol­gen, soweit dem betref­fen­den Land ein ange­mes­se­nes Schutz­ni­veau attes­tiert wurde.
Bis zum Inkraft­tre­ten des TADPF erfor­der­te der Daten­trans­fer in die USA, man­gels vor­lie­gen­dem Ange­mes­sen­heits­be­schluss, den Abschluss von Stan­dard­ver­trags­klau­seln sowie die Imple­men­tie­rung wei­te­rer Schutz­maß­nah­men, um annä­hernd dem Schutz­ni­veau der DSGVO zu entsprechen.
Die­ser Umstand war Fol­ge der Nich­tig­keits­er­klä­rung des EuGHs hin­sicht­lich des EU-US Pri­va­cy Shield im Jahr 2020. Geschei­tert war der Vor­gän­ger des TADPF an den weit­rei­chen­den Befug­nis­sen der US-Behörden, wel­che auf­grund ame­ri­ka­ni­scher Rechts­vor­schrif­ten einen teils unge­hin­der­ten Zugriff sowie unge­hin­der­te Ver­wen­dung der Daten vor­sah, ohne Rechts­mit­tel für euro­päi­sche Bürger*innen zu erwä­gen. Dahin­ge­hen­de Ein­schrän­kun­gen wur­den als nicht aus­rei­chend deklariert.
Über den Abschluss von Stan­dard­ver­trags­klau­seln wur­de folg­lich ver­sucht die Legi­ti­mie­rung des Daten­trans­fers zu errei­chen. Kon­ter­ka­riert wur­de dies aller­dings durch die als kri­tisch bewer­te­te Rechts­la­ge, sodass der Daten­trans­fer auf der Grund­la­ge von Stan­dard­ver­trags­klau­seln in die USA mit recht­li­chen Risi­ko ver­se­hen war. Der damit ein­her­ge­hen­de Schwe­be­zu­stand führ­te so zur Rechtsunsicherheit.

Rechts­la­ge nach dem EU-US Data Pri­va­cy Framework

Die­sem recht­li­chen Schwe­be­zu­stand ein Ende set­zen soll­te nun das neue Daten­schutz­ab­kom­men, wel­ches am 10. Juli 2023 mit sofor­ti­ger Wir­kung in Kraft getre­ten ist. Mit dem Trans­at­lan­tic Data Pri­va­cy Frame­work wird Unter­neh­men ein Instru­ment an die Hand gege­ben, wel­ches den Daten­trans­fer in die USA wie­der legi­ti­miert. Die Rechts­si­cher­heit scheint somit vor­erst wiederhergestellt.
US-Unternehmen müs­sen sich ent­spre­chend des TADPF zer­ti­fi­zie­ren. Dadurch ver­pflich­ten sich die­se gewis­sen daten­schutz­recht­li­chen Anfor­de­run­gen zu ent­spre­chen. Anschlie­ßend kön­ne für den Drittlands-Transfer direkt das Data Pri­va­cy Frame­work als Rechts­grund­la­ge her­an­ge­zo­gen wer­den. Wei­te­re Maß­nah­men, Sicher­hei­ten und Garan­tien wer­den hinfällig.

Unter­neh­men hin­ge­gen, wel­che bereits eine Zer­ti­fi­zie­rung nach dem vor­mals gel­ten­den Pri­va­cy Shield erlangt haben, sind ledig­lich dazu ange­hal­ten eine Anpas­sung ihrer Daten­schutz­richt­li­ni­en vor­zu­neh­men, soweit sie ein akti­ves Zer­ti­fi­kat nach­wei­sen können.

Doch was bedeu­tet der Beschluss nun für Ihr Unter­neh­men im Detail?

Zunächst soll­ten Sie die Über­prü­fung Ihrer daten­schutz­recht­li­chen Doku­men­te anbe­rau­men und zeit­nah Anpas­sun­gen vor­neh­men. Was Sie dabei berück­sich­ti­gen soll­ten, kön­nen Sie nach­fol­gend unse­rem Leit­fa­den inklu­si­ve Check-Liste entnehmen:
Anfäng­lich soll­ten Sie über­prü­fen, ob sich das US-Unternehmen auf der Data Pri­va­cy Frame­work List befin­det. Im Wei­te­ren unter­schei­det sich Ihr Vor­ge­hen wie folgt:

Auflistung in der Data Privacy Framework List

  • Daten­schutz­in­for­ma­ti­on – Emp­fän­ger sowie TADPF als Rechts­grund­la­ge anführen

  • AV-Verträge sowie die Aus­wahl­ent­schei­dung der jewei­li­gen Auf­trags­ver­ar­bei­ter anpassen

  • Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten überarbeiten

  • Über­ar­bei­tung bereits bestehen­der DSFA – soweit die Daten­über­tra­gung als kri­tisch erach­tet wird

Keine Auflistung in der Data Privacy Framework List

  • Hin­rei­chen­de Garan­tien nach Art. 46 DSGVO, bei­spiels­wei­se durch Starndarddatenschutzklauseln

  • Risi­ko­ein­schät­zung hin­sicht­lich der Gewähr­leis­tung eines ange­mes­se­nen Schutz­ni­veaus vor­neh­men – Durch­füh­rung TIA (Trans­fer Impact Assessments)

Zu beach­ten gilt jedoch, dass bis­her abge­schlos­se­ne Stan­dard­ver­trags­klau­seln nicht ihre Gül­tig­keit ver­lie­ren. Viel­mehr blei­ben die­se gera­de man­gels Zer­ti­fi­zie­rung ein­zel­ner Unter­neh­men bestehen und behal­ten dem­nach ihre Gül­tig­keit. Zukünf­ti­ge Daten­trans­fers mit zer­ti­fi­zier­ten Unter­neh­men las­sen sich jedoch ohne wei­te­res auf den Ange­mes­sen­heits­be­schluss stützen.

Von der Rechts­un­si­cher­heit zur Rechtssicherheit?

Die Zukunft des Ange­mes­sen­heits­be­schlus­ses kann Stand jetzt nicht ohne wei­te­res vor­her­ge­sagt wer­den, jedoch schei­nen fol­gen­de bekann­te Rede­wen­dun­gen die Situa­ti­on zutref­fend wiederzu-geben. Sei es ent­we­der „aller guten Din­ge sind drei“, oder „was lan­ge währt wird end­lich gut“ – im Ergeb­nis ist das Ver­ständ­nis die­ser Rede­wen­dun­gen unter­schied­lich und mit­hin eine Sache der Auslegung.
Dies spie­gelt sich auch in der Kri­tik, wel­cher der Durch­füh­rungs­ver­ord­nung zugrun­de liegt, wie­der. Zwar ver­langt die­se, hin­sicht­lich der Befug­nis­se der US-Behörden, nun die Ver­hält­nis­mä­ßig­keit von Ein­grif­fen soweit es um Daten euro­päi­scher Bürger*innen geht, gleich­wohl scheint das Ver­ständ­nis von Ver­hält­nis­mä­ßig­keit zu differieren.

Fazit – bal­di­ge Schicksalsgemeinschaft?

Abschlie­ßend bleibt anzu­mer­ken, dass dem Ange­mes­sen­heits­be­schluss aus wirt­schaft­li­cher Per­spek­ti­ve sicher etwas Posi­ti­ves zuge­stan­den wer­den kann. Für EU-Unternehmen erweist sich der Trans­fer als recht­lich siche­rer und ist die durch­aus ange­neh­me­re Vari­an­te hin­sicht­lich der einzu-haltenden Anforderungen.
Inwie­weit die­ser Zustand auf­recht erhal­ten wer­den kann scheint jedoch frag­lich. Ein Vor­ge­hen gegen das EU-US Data Pri­va­cy Frame­work durch Max Schrems, Jurist und Daten­schutz­ak­ti­vist, ist sei­nen Aus­sa­gen zufol­ge als wahr­schein­lich anzu­se­hen. Dem­nach könn­te sich das TADPF das Schick­sal mit sei­nen Vor­gän­gern “Safe Har­bor” und “Pri­va­cy Shield” bald tei­len, sodass auf drei Jah­re Rechts­un­si­cher­heit sogleich „Schrems III“ folgt und dar­auf­hin wirk­lich aller guten Din­ge – je nach Per­spek­ti­ve – drei sind.

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Die Zulässigkeit digitaler Entgeltabrechnungen

Die Zuläs­sig­keit digi­ta­ler Ent­gelt­ab­rech­nun­gen Es ist mitt­ler­wei­le üblich, dass wir Rech­nun­gen und Doku­men­te digi­tal erhal­ten. Zu den­ken sind an […]

eAU: Neuerungen für Arbeitgeber

eAU: Neue­run­gen für Arbeit­ge­ber Seit dem 01.01.2023 gilt für Arbeit­ge­ber die Pflicht, die Arbeits­un­fä­hig­keits­be­schei­ni­gung (AU) ihrer Beschäf­tig­ten digi­tal abzurufen. […]

Autorin des Artikels:

Marie-Luis Bufler

Juristin mit Schwerpunkt Datenschutzrecht