Am 10. Juli hat die Europäische Kommission den neuen Angemessenheitsbeschluss nach Art. 45 DSGVO verabschiedet. Ob damit wieder alle US-Dienste für europäische Unternehmen legal nutzbar sind, klärt dieser Artikel.
Safe-Harbour und Privacy-Shield unwirksam
Die datenschutzrechtlichen Beziehungen zwischen den Mitgliedsstaaten der Europäischen Union und den USA waren noch nie ganz einfach.
Der 1. Akt
Seit dem Jahre 2000 galt das Safe-Harbor-Abkommen, was US-amerikanischen Unternehmen ermöglichte, sich beim US-Handelsministerium in eine Liste eintragen zu lassen, nachdem man sich den „Grundsätzen des sicheren Hafens“ unterworfen hatte. Fortan war der Datenaustausch mit Unternehmen aus den Mitgliedsstaaten der Europäischen Union sichergestellt. Dieses Konstrukt wurde durch das Schrems I Urteil des EuGH im Jahre 2015 für unwirksam erklärt.
Der 2. Akt
Direkt nach dem aufsehenerregenden Urteil des EuGH aus dem Jahre 2015 wurde flux ein neues Abkommen (Privacy Shield) geschmiedet. Die Europäische Kommission vertraute auf deren Bestand und erließ im Jahre 2016 einen neuen Angemessenheitsbeschluss. Auch diese Regelung wurde vor Gericht gebracht. Im Jahre 2020 hatte wieder einmal der EuGH darüber zu entscheiden und hielt die Regelung abermals nicht für ausreichend (Schrems II-Urteil). Seit 2020 ist das Privacy Shield unwirksam.
Der 3. Akt
Für eine Nachfolgeregelung ließ man sich nun etwas länger Zeit. Fast auf den Tag 3 Jahre nach dem Schrems II-Urteil liegt nun also ein neuer Angemessenheitsbeschluss vor. Das Konstrukt nennt sich nun „Trans-Atlantic Data Privacy Framework (TADPF)“. Es ist davon auszugehen, dass sich die Gerichte erneut mit der Regelung beschäftigen müssen und in ein paar Jahren auch der EuGH wieder letztinstanzlich darüber entscheidet. Ob die Regelung im 3. Anlauf der kritischen richterlichen Prüfung standhalten wird, ist derzeit völlig ungewiss. Nehmen wir die bisherigen Überprüfungszeiten bei Gericht für Safe-Harbor und das Privacy Shield zum Vorbild, ist im Jahre 2028 mit einer endgültigen Entscheidung zu rechnen. Vielleicht auch ein Jahr früher.
Was ist neu im Trans-Atlantic Data Privacy Framework (TADPF)?
Es gibt neue Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Darüber hinaus wird ein unabhängiges und unparteiisches Rechtsbehelfsverfahren eingeführt. In der Praxis sollen demnach Gerichte in den USA etwaigen Beschwerden untersuchen und beilegen.
Ab wann gilt das TADPF?
Ab sofort.
Gilt es für alle US-Unternehmen?
US-Unternehmen müssen sich dem TADPF anschließen. Es ist davon auszugehen, dass die jeweiligen Firmen öffentlichkeitswirksam darüber berichten werden, dass sie sich dem Framework angeschlossen haben.
Welche Auswirkungen hat das für europäische Unternehmen?
Bis zur höchstinstanzlichen Entscheidung (durch den EuGH in einigen Jahren) gelten die Übertragung personenbezogener Daten zu US-Unternehmen, die sich dem Framework angeschlossen haben, datenschutzrechtlich als sicher und unproblematisch. Wo bislang (insbes. seit 2020) erhebliche Rechtsunsicherheit herrschte, ob eine Datenübertragung nach der DSGVO als legal oder illegal einzustufen war, sind damit entfallen. Auch die sog. „zusätzlichen Maßnahmen nach der Schrems II-Entscheidung sind in diesem Fall nicht erforderlich. Es darf allerdings nicht darüber hinweggetäuscht werden, dass mit dem TADPF in erster Linie Zeit gewonnen wurde. Sollte der EuGH in einigen Jahren die erneute Unwirksamkeit des TADPF feststellen, sind die Datenübertragungen zu US-Firmen (erneut) unverzüglich einzustellen.
Liste der zertifizierten Unternehmen
Unter https://www.dataprivacyframework.gov/s/ werden künftig die US-Unternehmen gelistet sein, die sich dem Framework verpflichtet haben. Eine Auswahl der „Big Player“ mit Verlinkung zur jeweiligen Detailseite findet sich nachfolgend:
- ActiveCampaign, LLC
- Adobe Inc.
- Akamai Technologies, Inc.
- Amazon Web Services, Inc.
- Asana, Inc
- Atlassian, Inc
- Google LLC
- Hubspot, Inc.
- Magento
- Marketo
- Microsoft Corp.
- Mixpanel, Inc.
- Salesforce, Inc
- Slack Technologies, LLC
- Stripe, Inc
- The Rocket Science Group LLC d/b/a Mailchimp
- Twilio, Inc
- Zoom Information, Inc
Was sagen die Aufsichtsbehörden dazu?
- Der Thüringer Landesbeauftragte für den Datenschutz veröffentlichte am 14.07.2023 eine Pressemittelung (pdf-Format), in der er das neue Abkommen kritisch sieht und von einer Unwirksamkeit ausgeht, die durch den EuGH festzustellen ist.
- Am 04.09.2023 veröffentlichte der Thüringer Landesbeauftragte für den Datenschutz eine Pressemitteilung (pdf-Format), wonach er eine von der DSK (siehe unten) abweichende Meinung vertritt.
- Der Landesbeauftragte für Datenschutz Baden-Württemberg veröffentlichte am 14.07.2023 eine Pressemitteilung, in der er das Abkommen neutral bewertet.
- Der Landesbeauftragte für den Datenschutz Niedersachsen veröffentlichte eine Pressemitteilung auf seiner Internetseite, in der er noch keine „Entwarnung“ gibt.
- Der Hessische Beauftragte für Datenschutz veröffentlichte am 19.07.2023 eine Pressemitteilung auf seiner Internetseite, in der er darauf verweist, dass wohl nur „vorübergehend“ mehr Rechtssicherheit eintrete.
- Der Bayerische Landesbeauftragte für den Datenschutz veröffentlichte am 01.08.2023 eine „Erste Hilfe“ im Rahmen seiner „Aktuelle Kurz-Informationen“ Nr. 51. Er gibt Verantwortlichen u.a. eine Checkliste mit 4 Prüfschritten an die Hand.
- Die Konferenz der Aufsichtsbehörden in Deutschland (DSK) haben am 04.09.2023 einen Anwendungshinweis veröffentlicht.
Was sagen die Fachverbände dazu?
- GDD — Gesellschaft für Datenschutz und Datensicherheit e.V. — FAQ vom 25.07.2023 im pdf-Format
- Ankündigung vom 10.07.2023 von Max Schrems (noyb), das Abkommen vor Gericht überprüfen zu lassen.
- Klage vom 07.09.2023 des französischen Parlamentariers Philippe Latombe vor dem Europäischen Gerichtshof gegen den Angemessenheitsbeschluss (Pressemitteilung).
Weiterführende Links und Unterlagen
- Pressemitteilung der Europäischen Kommission: https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721
- Angemessenheitsbeschluss (pdf) auf englisch: https://commission.europa.eu/document/download/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en?filename=Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf
- Fragen und Antworten der Europäischen Kommission zum Angemessenheitsbeschluss: https://ec.europa.eu/commission/presscorner/detail/de/qanda_23_3752
Foto von Shari Sirotnak auf Unsplash