Trans-Atlantic Data Privacy Framework (TADPF)

Trans-Atlantic Data Privacy Framework (TADPF)

Am 25 März 2022 haben sowohl die europäische Kommission also das Weiße Haus der Vereinigten Staaten bekannt gegeben, eine grundsätzliche Einigung über einen transatlantischen Rahmen für den Datenschutz gefunden zu haben.

Worum geht‘s?

Seit der Entscheidung des europäischen Gerichtshofs vom Juni 2020 zum EU-US-Privacy-Shield („Schrems II“) ist der transnationale Datenverkehr und der Datenaustausch von personenbezogenen Daten mit den USA und US-Unternehmen kompliziert geworden und unterliegt hohen Anforderungen, damit ein gleiches Datenschutzniveau wie in der EU eingehalten werden kann. Das Problem hierbei sind die in den USA geltenden Überwachungsgesetze und Präsidentiellen Anordnungen (Executive Order). Diese beeinträchtigen ganz erheblich den Schutz derjenigen Menschen, deren personenbezogene Daten verarbeitet werden.

Nun nimmt man einen neuen Anlauf dieses Problem zu lösen.

Inhalt

Bisher liegen die Berichte über die grundsätzliche Einigung sowie die Pressemitteilung des Weißen Hauses und der EU-Kommission vor. Danach ergibt sich folgendes Bild:

• Unternehmen sollen sich dem Regelwerk anschließen können durch Selbstzertifizierung und Beitritt dazu.
• Man möchte ein eigenes Regelwerk aufstellen. Hierbei sollen verbindliche Garantien geschaffen werden, um den Zugriff auf Daten durch US-Geheimdienste und Nachrichtendienste zu beschränken.
• Zusätzlich sollen die US-Nachrichtendienste Verfahren einführen, die eine wirksame Überwachung der neuen Datenschutz- und Freiheitsrechte ermöglichen.
• Ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden der Europäer über den Zugang zu Daten durch US-Geheimdienste, einschließlich eines Datenschutzüberprüfungsgerichtsgericht (Data Protection Review Court) soll geschaffen werden.

Unternehmen haben Interesse an Vereinfachung in Datenverkehr.

Aus unternehmerischer Sicht besteht ein erhebliches Interesse daran, dass der Datenverkehr in die USA insbesondere rechtssicher ist und auch vereinfacht wird. Viele Unternehmen sind auf Anwendungen und Software-Lösungen angewiesen, die von Unternehmen angeboten werden, die ihren Sitz und Verarbeitung von personenbezogenen Daten in den USA haben. Daher ist es auf jeden Fall wünschenswert, dass eine solche Lösung gefunden wird.

Denn aktuell lässt sich der transnationale Datenverkehr von personenbezogene Daten den USA nur unter großen Anstrengungen gewährleisten. In Kürze: 1. Es müssen Verträge geschlossen werden mit den Dienstleistern in den USA. Hierbei müssen die von der europäischen Kommission bereitgestellten Standard-Datenschutzklauseln (SCC) zwingend verwendet werden. 2. Es müssen technische und organisatorische Maßnahmen getroffen werden, um den Schutz derjenigen Personen deren Daten verarbeitet werden zu gewährleisten (z.B. IP-Anonymisierung u.a.). 3. Es muss im Rahmen der SCC auch ein sogenanntes Transfer-Impact-Assessment (TIA) durchgeführt werden, also eine Folgeabschätzung unter Berücksichtigung der Rechtslage und der Eingriffsmöglichkeiten von Behörden im Empfängerland, hier USA. Allein eine solche TIA kann sehr aufwendig sein.

Es daher nur zu begrüßen, wenn durch ein Abkommen all diese Themen vermieden bzw. abgekürzt werden könnten.

Historie

Es gab bereits mehrere Datenschutzabkommen zwischen den USA und der EU-Komission, die aber allesamt aufgrund von Entscheidungen des europäischen Gerichtshofs nicht mehr in Kraft sind. Zwischen 2000 und 2015 war das Safe Harbor-Abkommen in Kraft. Es regelte die Einhaltung von Datenschutz-Grundsätzen, zu welchen US-Unternehmen sich öffentlich bekennen mussten, damit das Schutzniveau als äquivalent zum europäischen Datenschutz angesehen wurde. 2015 entschied der europäische Gerichtshof, dass dieses Abkommen unwirksam ist. In der Folgezeit wurde das sogenannte zum EU-US-Privacy-Shield-Abkommen geschaffen. Auch hierzu konnten sich die US-Unternehmen durch Beitritt zertifizieren. Die Probleme blieben aber: Das Datenschutzniveau in der EU konnte nicht gewährleistet werden. Folgerichtig entschied der europäische Gerichtshof im Juli 2020 das auch dieses Abkommen unwirksam ist.

Einordnung und Ausblick

Bisher liegen nur Eckdaten vor. Die US-Regierung wird dies nach eigenen Angaben kurzfristig in eine Executive Order einarbeiten. Das wird dann die Grundlage eines sogenannten Angemessenheitsbeschlusses der europäischen Kommission. Das wiederum wäre dann die formelle Grundlage zur Datenübermittlung. Wie lange dies noch dauert, kann aktuell nicht abgesehen werden.

Es bleibt allerdings die Frage, ob dies nicht nur „alter Wein in neuen Schläuchen“ ist. Ich meine ja. Denn die Probleme, die es bisher gegeben hatte, bleiben ja. Insbesondere bleibt die Frage, wie man das Datenschutzniveau, welches innerhalb der EU gilt, in den USA gewährleisten werden soll, wenn die USA ihre Überwachungsgesetze nicht ändern. Und das war bereits das Problem in den beiden vorangegangenen Datenschutz-Abkommen. Dass die USA wahrscheinlich ihre Überwachungsgesetze nicht ändern werden, zeigt auch eine aktuelle Entscheidung vom März 2022 des U.S. Supreme Court, in der es um die Überwachung durch das FBI ging. Aufgrund dieser Entscheidung wurde deutlich, dass hinsichtlich bestehender Überwachungsgesetze diese nicht durch eine Executive Order eingeschränkt werden könnten. Vielmehr muss der Kongress selbst ein dauerhaftes Abkommen zwischen der EU und den USA mit den hierfür erforderlichen Regelungen in Gang setzen.

Max Schrems, Ehrenvorsitzender der NGO NOYB (noyb.eu) und Hauptkläger in den Verfahren "Schrems I" und "Schrems II" vor dem EuGH hat schon angekündigt, sobald der Text vorliegt, hier ein neues Verfahren vor dem EuGH gegebenenfalls anzustrengen: "Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht steht, werden wir oder eine andere Gruppe ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird".[…..] "Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem 'No-Spy'-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen stehen weitere Jahre der Rechtsunsicherheit bevor."

Empfehlung:

Sollte sich der zu erwartende Kommission-Beschluss als nicht rechtsicher erweisen, kann es schnell gehen, bis dieses Abkommen wieder zu Fall gebracht werden kann. Daher ist nicht zu empfehlen, abzuwarten sondern sich dem gegenwärtig leider komplizierten Prozess des transnationalen Datenverkehrs zu stellen und die aufgezeigten Handlungsschritte zu befolgen.

Quellen:

• https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100
• https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/
• https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
• https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18
• https://thehill.com/opinion/judiciary/598899-the-supreme-court-just-made-a-us-eu-privacy-shield-agreement-even-harder?mkt_tok=MTM4LUVaTS0wNDIAAAGDTIidTYBevAce4jdZue48BmaBwKx_UQd6C1p8Z64Sjsdo3RjCRdvsc82JSjvV0G27moUxa0F3Yk1dpAVkuyYg0HnPjTqj-UlaWtHJHDVE7PUC

Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.                  

Sie können mir folgen auf LinkedIn 

Hier hören Sie meinen Podcast.