USA-Update Teil 3: Das Data Privacy Framework

14. August 2024

Am 10. Juli 2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenaustausch zwischen der EU und den USA zu ermöglichen. Das Trans-Atlantic Data Privacy Framework (TADPF) stellt den dritten Versuch dar, nach „Safe Harbor“ und „Privacy Shield“, den transatlantischen Datentransfer zu erleichtern. Diese Vereinbarung erlaubt es nun, Unternehmen wie Google, Microsoft, Meta oder AWS, Daten sicher von der EU in die USA zu übertragen.

Das TADPF wurde notwendig, nachdem die vorherigen Regelungen „Safe Harbor“ und „Privacy Shield“ vom Europäischen Gerichtshof (EuGH) in den Jahren 2015 bzw. 2020 für ungültig erklärt wurden. Seit dem 10. Juli 2023 gilt nun der neue Angemessenheitsbeschluss gemäß der Datenschutz-Grundverordnung (DSGVO) zwischen der EU und den USA. Dieser Beschluss soll den sicheren Datentransfer zwischen den 27 EU-Mitgliedsstaaten und den Vereinigten Staaten gewährleisten.

Das Data Privacy Framework

Das Trans-Atlantic Data Privacy Framework (TADPF) stellt einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DSGVO dar, wodurch die USA wieder als sicherer Drittstaat im Hinblick auf den Datenschutz anerkannt werden. Dies bedeutet, dass für den Datenexport an Empfänger in den USA keine zusätzlichen Legitimationsinstrumente mehr notwendig sind. Allerdings hat das TADPF, ähnlich wie das vorherige Privacy Shield, nur eine begrenzte Reichweite. Die bevorzugte Wirkung des TADPF gilt ausschließlich für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterwerfen und sich verpflichten, bestimmte detaillierte Datenschutzvorgaben einzuhalten. Unternehmen, die nach den TADPF-Kriterien zertifiziert sind, werden voraussichtlich auf der Website www.dataprivacyframework.gov gelistet sein.

Der Angemessenheitsbeschluss – was ist das? 

Ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO ist eine Entscheidung der Europäischen Kommission, die bestätigt, dass ein Drittland (also ein Land außerhalb der EU/EWR) ein ausreichendes Schutzniveau für personenbezogene Daten bietet. Dieser Beschluss bedeutet, dass die Datenschutzstandards des betreffenden Landes als mit den EU-Standards vergleichbar anerkannt werden und somit der Schutz personenbezogener Daten in ähnlicher Weise gewährleistet ist. Dadurch können personenbezogene Daten ohne zusätzliche Schutzmaßnahmen in dieses Drittland übertragen werden.

Die vorherigen Regelungen „Safe Harbor“ und „Privacy Shield“ waren ebenfalls solche Angemessenheitsbeschlüsse. Beide wurden jedoch vom Europäischen Gerichtshof (EuGH) für ungültig erklärt, da die USA kein Datenschutzniveau bieten konnten, das den EU-Standards entsprach. Ein wesentlicher Kritikpunkt war die weitreichende Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA), auf personenbezogene Daten von EU-Bürgern, selbst wenn die betreffenden Unternehmen in den USA ansässig waren, aber ihre Dienstleistungen in der EU anboten.

Background: Executive Order vom 07. Oktober 2022 

Um die Zugriffsmöglichkeiten der NSA auf personenbezogene Daten von EU-Bürgern einzuschränken, unterzeichnete US-Präsident Biden am 7. Oktober 2022 die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“. Diese Anordnung zielt darauf ab, sicherzustellen, dass der Grundsatz der Verhältnismäßigkeit eingehalten wird. Bevor US-Geheimdienste auf Daten von EU-Bürgern zugreifen dürfen, müssen sie nun prüfen, ob der Zugriff verhältnismäßig ist. Zusätzlich wurde für EU-Bürger ein Beschwerdeverfahren in den USA eingeführt. Sie haben die Möglichkeit, sich beim Civil Liberties Protection Officer der US-Geheimdienste zu beschweren. Sollte die Beschwerde nicht erfolgreich sein, können EU-Bürger Klage vor einem neu eingerichteten Gericht erheben, das ebenfalls vom Civil Liberties Protection Officer überwacht wird.

Diese Executive Order hat im Wesentlichen dazu geführt, dass das TADPF durch die EU beschlossen wurde. 

Sichere Datenübermittlung zwischen EU und USA wieder möglich? 

Solange der Europäische Gerichtshof (EuGH) das TADPF nicht erneut für ungültig erklärt, können EU-Unternehmen darauf vertrauen, dass zertifizierte US-Unternehmen die erforderlichen Datenschutzstandards einhalten. Im Unterschied zu den Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO, die vor der Einführung des TADPF überwiegend als Rechtsgrundlage für den Datentransfer zwischen der EU und den USA dienten, entfällt beim TADPF die Pflicht zur eigenständigen Überprüfung der Datenschutzstandards bei den jeweiligen US-Unternehmen.

Ausblick auf kommende Teile der Reihe

Im vierten Teil dieser Beitragsreihe werden gesetzgeberische Initiativen beleuchtet und ein ausführliches Fazit gezogen. Lesen Sie Teil 1 und Teil 2, falls Sie es bisher verpasst haben. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.