Ange­mes­sen­heits­be­schluss für „Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)“ in Kraft

Am 10. Juli hat die Euro­päi­sche Kom­mis­si­on den neu­en Ange­mes­sen­heits­be­schluss nach Art. 45 DSGVO ver­ab­schie­det. Ob damit wie­der alle US-Diens­te für euro­päi­sche Unter­neh­men legal nutz­bar sind, klärt die­ser Arti­kel.

Safe-Har­bour und Pri­va­cy-Shield unwirk­sam

Die daten­schutz­recht­li­chen Bezie­hun­gen zwi­schen den Mit­glieds­staa­ten der Euro­päi­schen Uni­on und den USA waren noch nie ganz ein­fach.

Der 1. Akt

Seit dem Jah­re 2000 galt das Safe-Har­bor-Abkom­men, was US-ame­ri­ka­ni­schen Unter­neh­men ermög­lich­te, sich beim US-Han­dels­mi­nis­te­ri­um in eine Lis­te ein­tra­gen zu las­sen, nach­dem man sich den „Grund­sät­zen des siche­ren Hafens“ unter­wor­fen hat­te. Fort­an war der Daten­aus­tausch mit Unter­neh­men aus den Mit­glieds­staa­ten der Euro­päi­schen Uni­on sicher­ge­stellt. Die­ses Kon­strukt wur­de durch das Schrems I Urteil des EuGH im Jah­re 2015 für unwirk­sam erklärt.

Der 2. Akt

Direkt nach dem auf­se­hen­er­re­gen­den Urteil des EuGH aus dem Jah­re 2015 wur­de flux ein neu­es Abkom­men (Pri­va­cy Shield) geschmie­det. Die Euro­päi­sche Kom­mis­si­on ver­trau­te auf deren Bestand und erließ im Jah­re 2016 einen neu­en Ange­mes­sen­heits­be­schluss. Auch die­se Rege­lung wur­de vor Gericht gebracht. Im Jah­re 2020 hat­te wie­der ein­mal der EuGH dar­über zu ent­schei­den und hielt die Rege­lung aber­mals nicht für aus­rei­chend (Schrems II-Urteil). Seit 2020 ist das Pri­va­cy Shield unwirk­sam.

Der 3. Akt

Für eine Nach­fol­ge­re­ge­lung ließ man sich nun etwas län­ger Zeit. Fast auf den Tag 3 Jah­re nach dem Schrems II-Urteil liegt nun also ein neu­er Ange­mes­sen­heits­be­schluss vor. Das Kon­strukt nennt sich nun „Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)“. Es ist davon aus­zu­ge­hen, dass sich die Gerich­te erneut mit der Rege­lung beschäf­ti­gen müs­sen und in ein paar Jah­ren auch der EuGH wie­der letzt­in­stanz­lich dar­über ent­schei­det. Ob die Rege­lung im 3. Anlauf der kri­ti­schen rich­ter­li­chen Prü­fung stand­hal­ten wird, ist der­zeit völ­lig unge­wiss. Neh­men wir die bis­he­ri­gen Über­prü­fungs­zei­ten bei Gericht für Safe-Har­bor und das Pri­va­cy Shield zum Vor­bild, ist im Jah­re 2028 mit einer end­gül­ti­gen Ent­schei­dung zu rech­nen. Viel­leicht auch ein Jahr frü­her.

Was ist neu im Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)?

Es gibt neue Garan­tien in Bezug auf den Zugang von US-Behör­den zu inner­halb des Rah­mens über­mit­tel­ten Daten, ins­be­son­de­re für Daten­zu­grif­fe zum Zwe­cke der Straf­ver­fol­gung und der natio­na­len Sicher­heit. Dar­über hin­aus wird ein unab­hän­gi­ges und unpar­tei­isches Rechts­be­helfs­ver­fah­ren ein­ge­führt. In der Pra­xis sol­len dem­nach Gerich­te in den USA etwa­igen Beschwer­den unter­su­chen und bei­le­gen.

Ab wann gilt das TADPF?

Ab sofort.

Gilt es für alle US-Unter­neh­men?

US-Unter­neh­men müs­sen sich dem TADPF anschlie­ßen. Es ist davon aus­zu­ge­hen, dass die jewei­li­gen Fir­men öffent­lich­keits­wirk­sam dar­über berich­ten wer­den, dass sie sich dem Frame­work ange­schlos­sen haben.

Wel­che Aus­wir­kun­gen hat das für euro­päi­sche Unter­neh­men?

Bis zur höchst­in­stanz­li­chen Ent­schei­dung (durch den EuGH in eini­gen Jah­ren) gel­ten die Über­tra­gung per­so­nen­be­zo­ge­ner Daten zu US-Unter­neh­men, die sich dem Frame­work ange­schlos­sen haben, daten­schutz­recht­lich als sicher und unpro­ble­ma­tisch. Wo bis­lang (ins­bes. seit 2020) erheb­li­che Rechts­un­si­cher­heit herrsch­te, ob eine Daten­über­tra­gung nach der DSGVO als legal oder ille­gal ein­zu­stu­fen war, sind damit ent­fal­len. Auch die sog. „zusätz­li­chen Maß­nah­men nach der Schrems II-Ent­schei­dung sind in die­sem Fall nicht erfor­der­lich. Es darf aller­dings nicht dar­über hin­weg­ge­täuscht wer­den, dass mit dem TADPF in ers­ter Linie Zeit gewon­nen wur­de. Soll­te der EuGH in eini­gen Jah­ren die erneu­te Unwirk­sam­keit des TADPF fest­stel­len, sind die Daten­über­tra­gun­gen zu US-Fir­men (erneut) unver­züg­lich ein­zu­stel­len.

Lis­te der zer­ti­fi­zier­ten Unter­neh­men

Unter https://​www​.data​pri​va​cy​frame​work​.gov/s/ wer­den künf­tig die US-Unter­neh­men gelis­tet sein, die sich dem Frame­work ver­pflich­tet haben. Eine Aus­wahl der „Big Play­er“ mit Ver­lin­kung zur jewei­li­gen Detail­sei­te fin­det sich nach­fol­gend:

• Active­Cam­paign, LLC
• Ado­be Inc.
• Aka­mai Tech­no­lo­gies, Inc.
• Ama­zon Web Ser­vices, Inc.
• Asa­na, Inc
• Atlas­si­an, Inc
• Goog­le LLC
• Hub­s­pot, Inc.
• Magen­to
• Mar­ke­to
• Micro­soft Corp.
• Mix­pa­nel, Inc.
• Sales­force, Inc
• Slack Tech­no­lo­gies, LLC
• Stri­pe, Inc
• The Rocket Sci­ence Group LLC d/​b/​a Mailchimp
• Twi­lio, Inc
• Zoom Infor­ma­ti­on, Inc

Was sagen die Auf­sichts­be­hör­den dazu?

• Der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz ver­öf­fent­lich­te am 14.07.2023 eine Pres­se­mit­te­lung (pdf-For­mat), in der er das neue Abkom­men kri­tisch sieht und von einer Unwirk­sam­keit aus­geht, die durch den EuGH fest­zu­stel­len ist.
• Am 04.09.2023 ver­öf­fent­lich­te der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz eine Pres­se­mit­tei­lung (pdf-For­mat), wonach er eine von der DSK (sie­he unten) abwei­chen­de Mei­nung ver­tritt.
• Der Lan­des­be­auf­trag­te für Daten­schutz Baden-Würt­tem­berg ver­öf­fent­lich­te am 14.07.2023 eine Pres­se­mit­tei­lung, in der er das Abkom­men neu­tral bewer­tet.
• Der Lan­des­be­auf­trag­te für den Daten­schutz Nie­der­sach­sen ver­öf­fent­lich­te eine Pres­se­mit­tei­lung auf sei­ner Inter­net­sei­te, in der er noch kei­ne „Ent­war­nung“ gibt.
• Der Hes­si­sche Beauf­trag­te für Daten­schutz ver­öf­fent­lich­te am 19.07.2023 eine Pres­se­mit­tei­lung auf sei­ner Inter­net­sei­te, in der er dar­auf ver­weist, dass wohl nur „vor­über­ge­hend“ mehr Rechts­si­cher­heit ein­tre­te.
• Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz ver­öf­fent­lich­te am 01.08.2023 eine „Ers­te Hil­fe“ im Rah­men sei­ner „Aktu­el­le Kurz-Infor­ma­tio­nen“ Nr. 51. Er gibt Ver­ant­wort­li­chen u.a. eine Check­lis­te mit 4 Prüf­schrit­ten an die Hand.
• Die Kon­fe­renz der Auf­sichts­be­hör­den in Deutsch­land (DSK) haben am 04.09.2023 einen Anwen­dungs­hin­weis ver­öf­fent­licht.

Was sagen die Fach­ver­bän­de dazu?

• GDD — Gesell­schaft für Daten­schutz und Daten­si­cher­heit e.V. — FAQ vom 25.07.2023 im pdf-For­mat
• Ankün­di­gung vom 10.07.2023 von Max Schrems (noyb), das Abkom­men vor Gericht über­prü­fen zu las­sen.
• Kla­ge vom 07.09.2023 des fran­zö­si­schen Par­la­men­ta­ri­ers Phil­ip­pe Latom­be vor dem Euro­päi­schen Gerichts­hof gegen den Ange­mes­sen­heits­be­schluss (Pres­se­mit­tei­lung).

Wei­ter­füh­ren­de Links und Unter­la­gen

• Pres­se­mit­tei­lung der Euro­päi­schen Kom­mis­si­on: https://​ec​.euro​pa​.eu/​c​o​m​m​i​s​s​i​o​n​/​p​r​e​s​s​c​o​r​n​e​r​/​d​e​t​a​i​l​/​d​e​/​i​p​_​2​3​_​3721

• Ange­mes­sen­heits­be­schluss (pdf) auf eng­lisch: https://commission.europa.eu/document/download/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en?filename=Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf

• Fra­gen und Ant­wor­ten der Euro­päi­schen Kom­mis­si­on zum Ange­mes­sen­heits­be­schluss: https://​ec​.euro​pa​.eu/​c​o​m​m​i​s​s​i​o​n​/​p​r​e​s​s​c​o​r​n​e​r​/​d​e​t​a​i​l​/​d​e​/​q​a​n​d​a​_​2​3​_​3752

• EDPB Kurz­pa­pier im pdf-For­mat auf eng­lisch