- Die Europäische Kommission hat den neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen.
- Der Beschluss gewährleistet, dass US-Unternehmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
- Neu verbundene Garantien beschränken den Zugang von US-Nachrichtendiensten zu EU-Daten.
- Ein Data Protection Review Court (DPRC) wird geschaffen, um den Datenschutz für EU-Bürger zu überprüfen.
- Die Executive Order von Biden stärkt die Rechte von EU-Bürgern bei Datenübertragungen.
- Das TADPF erfordert ein Selbstzertifizierungsverfahren für US-Unternehmen zur Teilnahme.
- Die Rechtssicherheit bei Datenübertragungen könnte von zukünftigen amerikanischen Datenschutzpolitiken abhängen.
Alles neu, macht der Juli?
Es dürfte viele geben, die die Neuigkeiten des Tages bereits vernommen haben. Richtig, es geht um Datenschutz! Die Europäische Kommission hat endlich den neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Was bedeutet das? Es ist ein großer Schritt in Richtung eines sicheren und vertrauenswürdigen Datenverkehrs zwischen der EU und den USA.
Mit diesem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Das bedeutet, dass personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden können, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Es gibt aber noch mehr! Der neue Datenschutzrahmen EU-USA bringt erhebliche Verbesserungen gegenüber dem bisherigen Mechanismus mit sich. Es werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. So wird beispielsweise der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt. Außerdem wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen, zu dem Einzelpersonen in der EU Zugang haben.
Jetzt, wo das alles geklärt ist, könnte man eine Wette anbieten. Wie lange wird es dauern, bis man sich mit Schrems III beim EuGH beschäftigen muss? 😉
Aber im Ernst, dies ist ein wichtiger Schritt, um den Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, die wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig gemeinsame Werte zu stärken.
Was das Trans-Atlantic Data Privacy Framework (TADPF) neu macht
Das Trans-Atlantic Data Privacy Framework (TADPF) ist nicht nur eine vertragliche Zusage amerikanischer Unternehmen, angemessenen Datenschutz zu gewährleisten. Es geht weit darüber hinaus. Im Zuge der Implementierung des TADPF haben die USA tatsächlich die Befugnisse ihrer Geheimdienste hinsichtlich des Zugriffs auf Daten von EU-Bürgern begrenzt und zugleich deren rechtliche Position gestärkt. Dies erfolgte mittels der “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”, die der US-Präsident Biden am 7. Oktober 2022 erlassen hat.
Für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden, bringt diese neue Executive Order insbesondere die folgenden Verbesserungen mit sich:
Verhältnismäßigkeit: US-Geheimdienste müssen nun auch bei EU-Bürgern überprüfen, ob der Zugriff auf ihre Daten verhältnismäßig ist. Beschwerdeverfahren: Auf der ersten Ebene können EU-Bürger eine Beschwerde beim “Civil Liberties Protection Officer” der US-Geheimdienste einreichen. Diese Person trägt die Verantwortung dafür, dass die US-Geheimdienste die Privatsphäre und Grundrechte wahren. Überprüfungsverfahren: Auf der zweiten Ebene haben Einzelpersonen die Möglichkeit, die Entscheidung des “Civil Liberties Protection Officer” vor dem neu geschaffenen “Data Protection Review Court” anzufechten.
Ob diese Maßnahmen das Risiko eines Datenmissbrauchs durch US-Geheimdienste ausreichend ausräumen, wird der Europäische Gerichtshof (EuGH) zu entscheiden haben. Kritiker der Datentransfers in die USA halten die Zusage jedoch für ungenügend.
Was es zu beachten gibt
Das TADPF erstreckt sich nicht auf die gesamten Vereinigten Staaten. Vielmehr müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen, um sich dann auf den Angemessenheitsbeschluss berufen zu können. Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie z.B. Meta, Google, Microsoft, AWS, etc. ist das alsbald zu erwarten.
Die zertifizierten US-Unternehmen werden, wie schon bei dem Vorgänger “Privacy Shield” in einer Datenbank geführt. Dort kann nach den jeweiligen Unternehmen gesucht werden. Dabei müssen auch die Angaben zur Reichweite der Zertifizierung unter dem TADPF beachtet werden. So können z.B. nur bestimmte Unternehmensbereiche sich auf die Angemessenheit des Datenschutzniveaus verlassen.
Unter der Webadresse https://www.dataprivacyframework.gov/ können offizielle Informationen zum TADPF abgerufen, sowie nach den zertifizierten Unternehmen gesucht werden. Hinweis, Stand 10.07.2023 – Bis dato wurden noch keine Unternehmen in der Datenbank eingepflegt.
Fazit
Das TADPF stellt einen wichtigen Schritt zur Rechtssicherheit beim Datentransfer zwischen der EU und den USA dar. Es bietet einen strukturierten und rechtlich anerkannten Mechanismus für den Transfer personenbezogener Daten, was besonders wichtig ist, wenn Dienste von US-Anbietern, wie z.B. Google, Meta, Microsoft oder Amazon genutzt werden, die personenbezogene Daten verarbeiten.
Allerdings ist es nicht unwahrscheinlich, dass es nur eine Rechtssicherheit auf Zeit ist. Sie hängt sowohl von der Datenschutzpolitk des nächsten US-Präsidenten ab als auch davon, ob das EuGH die bis dato getroffenen Datenschutzmaßnahmen der USA für ausreichend halten wird.
Für die meisten bedeutet es, dass der Einsatz von US-Unternehmen vorerst sicherer sein wird. Um sich gegen künftige Unwägbarkeiten zu wappnen, bleibt nur der Wechsel zu EU-Anbietern. Da es hier häufig keine adäquaten Alternativen gibt, wird die Frage des Einsatzes von US-Anbietern auch in der Zukunft ein “Betriebsrisiko” vieler Unternehmen, Behörden und anderer Verantwortlichen bleiben.
Für mehr Details, kann man sich den 123-seitigen Beschluss selbst durchlesen.
