Im März 2022 wurde ein neuer „transatlantischer Datenschutzrahmen“ angekündigt – jetzt ist er da! Damit vereinbaren die EU und die USA das dritte Abkommen, welches einen sicheren Datenaustausch zwischen der EU und den USA sicherstellen soll.
Das Trans-Atlantic Data Privacy Framework (Abkürzung “TADPF”) ist ein erneutes Abkommen, welches die Unsicherheit eines Datentransfers von personenbezogenen Daten in die USA mindern und EU-Unternehmen eine rechtliche Sicherheit bieten soll. Am 10.07.2023 hat die EU-Kommission auf Basis dieses Abkommens einen Angemessenheitsbeschluss für den Datentransfer in die USA verabschiedet.
Die beiden ersten Versuche („Safe Harbour“ und „Privacy Shield“) wurden durch den EuGH für ungültig erklärt. Gegen diese Abkommen hatte Max Schrems geklagt, weshalb die Urteile des EuGH auch als Schrems I und Schrems II bezeichnet werden.
Welchen Zweck verfolgt das (neue) Abkommen?
Die DSGVO verbietet einen Datentransfer ins (unsichere) Drittland, wozu auch die USA zählen, sofern nicht über weitere Maßnahmen ein angemessenes Datenschutzniveau im Zielland festgestellt wird. Für diese Feststellung kommt ein Angemessenheitsbeschluss der EU-Kommission in Betracht, womit die EU so gesehen ihr „ok“ zum Datentransfer gibt. Fehlt ein Angemessenheitsbeschluss kann ein Datentransfer auch durch so genannte „Binding Corporate Rules“ und natürlich auch durch die Einwilligung des Betroffenen gerechtfertigt werden. Mit Abstand am häufigsten trifft man jedoch aktuell auf die EU-Standardvertragsklauseln (SCCs), die ein festes Set an Regeln beinhalten, die zwischen Datenexporteur und Datenimporteur zu vereinbaren sind. Allerdings sind die SCCs umstritten, denn mit den SCCs wird immer wieder die Frage verbunden, ob vertragliche Verpflichtungen die Daten von EU-Bürgern vor Auskunftsansprüchen der US-Geheimdienste zu schützen überhaupt wirksam (vereinbart) sein können.
Das TADPF ist das Ergebnis von Zugeständnissen der US-Regierung, durch eine „Executive Order“ des Präsidenten Biden, wonach die Rechte von EU-Bürgern in Bezug auf die Zugriffe durch US-Geheimdienste besser gewahrt werden sollen. Diese Zugeständnisse haben den Weg für einen neuen Angemessenheitsbeschluss frei gemacht, weshalb ein Datentransfer in die USA nun wieder leichter möglich sein soll.
Ist das TADPF besser als die Vorgängerabkommen?
Zuerst einmal ja, denn es basiert nicht nur auf vertraglichen Regelungen zwischen den am Transfer beteiligten Unternehmen, sondern wird durch die „Executive Order“ (EO) des US-Präsidenten gestützt. Diese EO ist jedoch auch gleichzeitig der Knackpunkt. Denn es ist kein Gesetz der USA, welches nun einen angemesseneren Umgang mit personenbezogenen Daten gewährleisten soll, sondern „nur“ eine „Verfügung“, die solange in Kraft ist, bis der amtierende Präsident der USA diese Verfügung ändert oder aufhebt. Des Weiteren könnte auch ein Gericht in den USA diese EO für ungültig erklären und damit den alten Rechtstand wieder herbeiführen. Die Belastbarkeit dieser Vereinbarung zwischen den USA und der EU wird sich also erst zeigen müssen.
Auch Max Schrems steht schon in den Startlöchern und wird die Entwicklung sehr genau beobachten und möglicherweise einen erneuten Gang zum EuGH antreten. Im Ergebnis besteht also das Risiko, dass auch das TADPF wieder vom EuGH für ungültig erklärt wird und wir eine Schrems III-Entscheidung erhalten.
Was bedeutet dieses Abkommen für den Datentransfer?
Durch die Feststellung der Angemessenheit ist ein Datentransfer in die USA nicht mehr anders zu betrachten, wie ein Datentransfer innerhalb der EU bzw. des EWR; anders ausgedrückt: Wenn sich ein US-Dienstleister dem TADPF unterwirft, ist der Datentransfer an diesen Dienstleister aktuell rechtssicher!
Ob dies eine langfristige Lösung ist, bleibt abzuwarten (siehe weiter oben). Ein Scheitern würde die Datenübermittlungen erneut in die Grauzone drängen. Denn schon heute ist, wie oben bereits erwähnt, umstritten, ob die SCCs mit den weiteren geforderten Maßnahmen einen angemessenen Schutz gewährleisten können. Für alle EU-Unternehmen, die US-Dienstleister eingesetzt haben, war der Datentransfer die letzten 3 Jahre mit einem Restrisiko verbunden; Rechtssicherheit bestand im Grunde auch mit den SCCs nicht.
Wie unterwirft sich ein US-Dienstleister dem Abkommen?
Für US-Unternehmen gibt es ein Zertifizierungsverfahren, welches durchlaufen werden muss. Erst danach können sich die Dienstleister auf das Abkommen berufen und damit den Datentransfer rechtfertigen. Zumindest was die großen US-Dienstleister betrifft, wird dies aber nur eine Frage der Zeit sein, bis diese die Selbstzertifizierung durchgeführt haben. Für alle Unternehmen, die mit US-Dienstleistern zusammenarbeiten (wollen), gibt es eine Datenbank geben, in der die Zertifizierung hinterlegt und einsehbar sein wird.
Was müssen EU-Unternehmen beachten?
Die Anwendbarkeit des TADPF setzt voraus, dass der US-Dienstleister sich zertifiziert hat und in der Datenbank der US-Regierung eingetragen hat. Erst dann kann der Datentransfer mit dem TADPF legitimiert werden. Das TADPF ist aber nur die zweite Stufe der Rechtmäßigkeitsprüfung. Unabhängig vom Datentransfer in die USA muss selbstverständlich auch weiterhin eine Rechtsgrundlage für die eigentliche (Daten-) Verarbeitung der personenbezogenen Daten vorliegen. Regelmäßig wird diese in Art. 6 DSGVO zu suchen sein.
Zudem wird im Falle eines Datentransfers und eines Wechsels dieses Transfers von den SCCs auf das TADPF eine Aktualisierung der Datenschutzinformationen für die Betroffenen notwendig werden und auch die Anpassung der Datenschutzdokumentation darf nicht vergessen werden. Zu beachten wären da vor allem die Artikel 12-14, 28 und 30 DSGVO.
Unser Fazit
Für eine gewisse Zeit wird der Einsatz von US-Dienstleistern durch das TADPF eine rechtssichere Basis erhalten. Der administrative Aufwand für einen Wechsel von den aktuellen SCCs auf das TADPF wird sich in Grenzen halten, sollte aber nicht vergessen werden.
Wir begrüßen die neue Rechtssicherheit für unsere Mandanten, sehen das TADPF jedoch auf wackligen Beinen. Vorsichtig optimistisch rechnen wir mit 5 Jahren Rechtssicherheit, bis Max Schrems das TADPF vor dem EuGH zu Fall gebracht haben wird. Es gilt diese Zeit sinnvoll zu nutzen und Lösungen zu erschaffen, die auch nach Schrems III rechtssicher betrieben werden können.