Seit dem 10.07.2023 ist es so weit: Die EU-Kommission und das Handelsministerium der USA haben das Trans-Atlantic Data Privacy Framework (TADPF) beschlossen. Können Daten an Google, Microsoft, Meta, AWS und Co. nun von der EU sicher in die USA übermittelt werden?
Der Hintergrund des TADPF
Safe-Harbour und Privacy-Shield als Vorgänger des TADPF wurden von dem Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für unwirksam erklärt. Seit dem 10.07.2023 gilt nun der viel erwartete neue Angemessenheitsbeschluss nach der Datenschutzgrundverordnung (DSGVO) zwischen der EU und den USA, der für eine sichere Datenübermittlung von Daten aus und von der EU in die USA sorgen soll. Das Trans-Atlantic Data Privacy Framework ist ein Abkommen zwischen allen 27 Mitgliedsstaaten der Europäischen Union und den Vereinigten Staaten.
Was ist ein Angemessenheitsbeschluss nach der DSGVO- das TADPF
Ein Angemessenheitsbeschluss nach der DSGVO, genauer nach Art. 45 Abs. 3 DSGVO ist vereinfacht gesagt eine Entscheidung der Europäischen Kommission, dass ein Drittland (ein Land außerhalb der EU/EWR) ein angemessenes Schutzniveau für personenbezogene Daten bietet. Ein solcher Beschluss bestätigt, dass das betreffende Drittland Datenschutzstandards eingeführt hat, die mit den Standards der EU vergleichbar sind und den Schutz personenbezogener Daten in ähnlicher Weise gewährleisten. Personenbezogene Daten dürfen dann in das Drittland übertragen werden, ohne dass zusätzliche Maßnahmen zum Schutz der Daten ergriffen werden müssen.
Safe-Harbour und Privacy-Shield stellten ebenfalls einen solchen Angemessenheitsbeschluss dar. Bekanntlich wurden beide von dem EuGH für unwirksam erklärt. Ein Grund hierfür lag seit jeher darin, dass die USA gerade kein dem EU-Standard vergleichbares Datenschutzniveau gewährleisten konnten. Denn, wie allgemeinhin bekannt, war Hauptgrund hierfür die nahezu jederzeitige Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA) auf personenbezogene Daten von EU-Bürgern. Letzte galt übrigens selbst dann, wenn Unternehmen ihren Sitz zwar in den USA, ihrer Service allerdings in der EU vorhielten.
beschränkter Zugriff durch NSA dank Biden
Damit die Zugriffsmöglichkeit der NSA auf personenbezogene Daten von EU-Bürgern zumindest eingeschränkt wird, unterzeichnete US-Präsident Biden bereits am 07.10.2022 die “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”. Diese sollte dafür sorgen, dass jedenfalls der Grundsatz der Verhältnismäßigkeit gewahrt wird. Die US-Geheimdienste müssen als vor jedem Zugriff auf Daten von EU-Bürgern überprüfen, ob der Zugriff auf ihre Daten verhältnismäßig ist. Zudem ist ein Beschwerdeverfahren in den USA für EU-Bürger eingerichtet worden. Bei dem Civil Liberties Protection Officer der US-Geheimdienste können EU-Bürger damit künfitg eine Beschwerde beim einreichen. Führt eine solche nicht zum Erfolg, haben EU-Bürger die Möglichkeit vor ein neu geschaffenes Gericht, das Civil Liberties Protection Officer, zu ziehen.
Diese Order hat nun im Wesentlich dafür gesorgt, dass die EU das TADPF beschlossen hat.
Ist die Datenübermittlung zwischen EU und USA nun sicher
Erstmal ja. Denn so lange der EuGH das TADPF nicht wieder für unwirksam erklärt, dürfen sich EU-Unternehmen darauf verlassen, dass nach dem TADPF zertifizierte Unternehmen die Datenschutzstandards einhalten. Anders als bei Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, welche vor Geltung des TADPF überwiegend Rechtsgrundlage für die Übermittlung von personenbezogenen Daten zwischen EU und USA waren, entfällt beim TADPF die verpflichtende eigene Überprüfung des Standards bei den jeweiligen US-Unternehmen.
Wenn Sie Fragen zur Datenübermittlung in die USA, dem TADPF, Cookies und Tracking durch US-Tools haben, wenden Sie sich gerne an uns. Wir helfen.
Unkompliziert – schnell – verständlich.
ITjur
Rechtsanwältin Anne Sulmann