Ange­mes­sen­heits­be­schluss für „Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)“ in Kraft

Am 10. Juli hat die Euro­päi­sche Kom­mis­si­on den neu­en Ange­mes­sen­heits­be­schluss nach Art. 45 DSGVO ver­ab­schie­det. Ob damit wie­der alle US-Diens­te für euro­päi­sche Unter­neh­men legal nutz­bar sind, klärt die­ser Arti­kel.

Safe-Har­bour und Pri­va­cy-Shield unwirk­sam

Die daten­schutz­recht­li­chen Bezie­hun­gen zwi­schen den Mit­glieds­staa­ten der Euro­päi­schen Uni­on und den USA waren noch nie ganz ein­fach.

Der 1. Akt

Seit dem Jah­re 2000 galt das Safe-Har­bor-Abkom­men, was US-ame­ri­ka­ni­schen Unter­neh­men ermög­lich­te, sich beim US-Han­dels­mi­nis­te­ri­um in eine Lis­te ein­tra­gen zu las­sen, nach­dem man sich den „Grund­sät­zen des siche­ren Hafens“ unter­wor­fen hat­te. Fort­an war der Daten­aus­tausch mit Unter­neh­men aus den Mit­glieds­staa­ten der Euro­päi­schen Uni­on sicher­ge­stellt. Die­ses Kon­strukt wur­de durch das Schrems I Urteil des EuGH im Jah­re 2015 für unwirk­sam erklärt.

Der 2. Akt

Direkt nach dem auf­se­hen­er­re­gen­den Urteil des EuGH aus dem Jah­re 2015 wur­de flux ein neu­es Abkom­men (Pri­va­cy Shield) geschmie­det. Die Euro­päi­sche Kom­mis­si­on ver­trau­te auf deren Bestand und erließ im Jah­re 2016 einen neu­en Ange­mes­sen­heits­be­schluss. Auch die­se Rege­lung wur­de vor Gericht gebracht. Im Jah­re 2020 hat­te wie­der ein­mal der EuGH dar­über zu ent­schei­den und hielt die Rege­lung aber­mals nicht für aus­rei­chend (Schrems II-Urteil). Seit 2020 ist das Pri­va­cy Shield unwirk­sam.

Der 3. Akt

Für eine Nach­fol­ge­re­ge­lung ließ man sich nun etwas län­ger Zeit. Fast auf den Tag 3 Jah­re nach dem Schrems II-Urteil liegt nun also ein neu­er Ange­mes­sen­heits­be­schluss vor. Das Kon­strukt nennt sich nun „Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)“. Es ist davon aus­zu­ge­hen, dass sich die Gerich­te erneut mit der Rege­lung beschäf­ti­gen müs­sen und in ein paar Jah­ren auch der EuGH wie­der letzt­in­stanz­lich dar­über ent­schei­det. Ob die Rege­lung im 3. Anlauf der kri­ti­schen rich­ter­li­chen Prü­fung stand­hal­ten wird, ist der­zeit völ­lig unge­wiss. Neh­men wir die bis­he­ri­gen Über­prü­fungs­zei­ten bei Gericht für Safe-Har­bor und das Pri­va­cy Shield zum Vor­bild, ist im Jah­re 2028 mit einer end­gül­ti­gen Ent­schei­dung zu rech­nen. Viel­leicht auch ein Jahr frü­her.

Was ist neu im Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF)?

Es gibt neue Garan­tien in Bezug auf den Zugang von US-Behör­den zu inner­halb des Rah­mens über­mit­tel­ten Daten, ins­be­son­de­re für Daten­zu­grif­fe zum Zwe­cke der Straf­ver­fol­gung und der natio­na­len Sicher­heit. Dar­über hin­aus wird ein unab­hän­gi­ges und unpar­tei­isches Rechts­be­helfs­ver­fah­ren ein­ge­führt. In der Pra­xis sol­len dem­nach Gerich­te in den USA etwa­igen Beschwer­den unter­su­chen und bei­le­gen.

Ab wann gilt das TADPF?

Ab sofort.

Gilt es für alle US-Unter­neh­men?

US-Unter­neh­men müs­sen sich dem TADPF anschlie­ßen. Es ist davon aus­zu­ge­hen, dass die jewei­li­gen Fir­men öffent­lich­keits­wirk­sam dar­über berich­ten wer­den, dass sie sich dem Frame­work ange­schlos­sen haben.

Wel­che Aus­wir­kun­gen hat das für euro­päi­sche Unter­neh­men?

Bis zur höchst­in­stanz­li­chen Ent­schei­dung (durch den EuGH in eini­gen Jah­ren) gel­ten die Über­tra­gung per­so­nen­be­zo­ge­ner Daten zu US-Unter­neh­men, die sich dem Frame­work ange­schlos­sen haben, daten­schutz­recht­lich als sicher und unpro­ble­ma­tisch. Wo bis­lang (ins­bes. seit 2020) erheb­li­che Rechts­un­si­cher­heit herrsch­te, ob eine Daten­über­tra­gung nach der DSGVO als legal oder ille­gal ein­zu­stu­fen war, sind damit ent­fal­len. Auch die sog. „zusätz­li­chen Maß­nah­men nach der Schrems II-Ent­schei­dung sind in die­sem Fall nicht erfor­der­lich. Es darf aller­dings nicht dar­über hin­weg­ge­täuscht wer­den, dass mit dem TADPF in ers­ter Linie Zeit gewon­nen wur­de. Soll­te der EuGH in eini­gen Jah­ren die erneu­te Unwirk­sam­keit des TADPF fest­stel­len, sind die Daten­über­tra­gun­gen zu US-Fir­men (erneut) unver­züg­lich ein­zu­stel­len.

Lis­te der zer­ti­fi­zier­ten Unter­neh­men

Unter https://​www​.data​pri​va​cy​frame​work​.gov/s/ wer­den künf­tig die US-Unter­neh­men gelis­tet sein, die sich dem Frame­work ver­pflich­tet haben. Eine Aus­wahl der „Big Play­er“ mit Ver­lin­kung zur jewei­li­gen Detail­sei­te fin­det sich nach­fol­gend:


Was sagen die Auf­sichts­be­hör­den dazu?

  • Der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz ver­öf­fent­lich­te am 14.07.2023 eine Pres­se­mit­te­lung (pdf-For­mat), in der er das neue Abkom­men kri­tisch sieht und von einer Unwirk­sam­keit aus­geht, die durch den EuGH fest­zu­stel­len ist.
  • Am 04.09.2023 ver­öf­fent­lich­te der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz eine Pres­se­mit­tei­lung (pdf-For­mat), wonach er eine von der DSK (sie­he unten) abwei­chen­de Mei­nung ver­tritt.
  • Der Lan­des­be­auf­trag­te für Daten­schutz Baden-Würt­tem­berg ver­öf­fent­lich­te am 14.07.2023 eine Pres­se­mit­tei­lung, in der er das Abkom­men neu­tral bewer­tet.
  • Der Lan­des­be­auf­trag­te für den Daten­schutz Nie­der­sach­sen ver­öf­fent­lich­te eine Pres­se­mit­tei­lung auf sei­ner Inter­net­sei­te, in der er noch kei­ne „Ent­war­nung“ gibt.
  • Der Hes­si­sche Beauf­trag­te für Daten­schutz ver­öf­fent­lich­te am 19.07.2023 eine Pres­se­mit­tei­lung auf sei­ner Inter­net­sei­te, in der er dar­auf ver­weist, dass wohl nur „vor­über­ge­hend“ mehr Rechts­si­cher­heit ein­tre­te.
  • Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz ver­öf­fent­lich­te am 01.08.2023 eine „Ers­te Hil­fe“ im Rah­men sei­ner „Aktu­el­le Kurz-Infor­ma­tio­nen“ Nr. 51. Er gibt Ver­ant­wort­li­chen u.a. eine Check­lis­te mit 4 Prüf­schrit­ten an die Hand.
  • Die Kon­fe­renz der Auf­sichts­be­hör­den in Deutsch­land (DSK) haben am 04.09.2023 einen Anwen­dungs­hin­weis ver­öf­fent­licht.

Was sagen die Fach­ver­bän­de dazu?


Wei­ter­füh­ren­de Links und Unter­la­gen

Hat Ihnen der Beitrag gefallen? Wurden Ihre Fragen vollständig beantwortet?

Dann teilen Sie den Beitrag gerne mit Ihren Bekannten, Freunden und Kollegen!