Datenverkehr in die USA: Eine Neuerung: TADPF – die Lösung?

Datenübertragungen in die USA waren nicht mehr zulässig, seit dem die USA als unsicheres Drittland ausgerufen wurde. Zu dieser Regelung gab es natürlich auch Ausnahmen, zum Beispiel ein Angemessenheitsbeschluss. Jedoch wurde der letzte Angemessenheitsbeschluss(Privacy Shield) wurde 2020 für ungültig erklärt. Somit war die Rechtslage für Datenverkehr und Datenübertragung in die USA unsicher geworden und eine Grauzone.

Doch ab Juli 2023 gibt es eine Neuerung! Jetzt ist es natürlich wichtig zu wissen: Sind Sie von dieser Neuerung betroffen? Müssen Sie Anpassungen treffen? Ändert sich etwas für Sie? Und am wichtigsten: worum geht es überhaupt? All diese Fragen werden wir im Folgenden beantworten.

Datenübertragungen in die USA – Worum geht es eigentlich?

Die USA gelten im Sinne der DSGVO als unsicheres Drittland mit unzureichendem Datenschutzniveau. Somit ist Datenübertragung personenbezogener Daten über Webseiten in die USA auch eigentlich nicht erlaubt.

In der Vergangenheit gab es bereits verschiedene Angemessenheitsbeschlüsse seitens der EU. Um es einfach zu erklären: ein Angemessenheitsbeschluss gibt dem Drittland das gleiche Datenschutzniveau wie einem Mitgliedsstaat der EU. Ein Datenverkehr wurde somit durch diesen Beschluss für die USA zulässig.

Die bisherigen Angemessenheitsbeschlüsse mit den USA (Safe Harbour, Privacy Shield) wurden jedoch relativ schnell seitens des EuGH für ungültig erklärt. Privacy Shield zuletzt 2020.

Diese Ungültigkeitserklärung führte dazu, dass für viele Unternehmen keine Rechtssicherheit mehr gegeben war. Um hier auf der sicheren Seite zu bleiben wurde auf verschiedene Hilfsmittel zurückgegriffen. Zum Beispiel wurden von der EU Standardvertragsklauseln veröffentlicht. Was jedoch viel Unsicherheit verbreitete war die Verpflichtung der Unternehmen, selbst ihr eigenes Datenschutzniveau zu überprüfen – eine schwierige und oft unmögliche Aufgabe für die Unternehmen.

Was ist der jetzige Stand?

Seitens der EU und USA wurde nun das „Trans Atlantic Data Privacy Framework“ (TADPF) geschaffen und dies als Angemessenheitsbeschluss im Juli 2023 seitens der EU bestätigt. Dieses TADPF bringt jedoch leider keine dauerhafte Rechtssicherheit. Unternehmen die im TADPF gelistet sind müssen sich, wie auch schon beim Privacy Shield, selbst zertifizieren.

Ein großes Problem des Privacy Shield war die unsichere Rechtslage von EU-Bürgern in den USA sowie die Befugnisse der Geheimdienste in diesem Bereich. Dieses wurde geändert beziehungsweise die Rechte der Geheimdienste wurden mit einer Executive-Order des Präsidenten der USA eingeschränkt.

Nachteil ist, dass dies lediglich „Vereinbarungen“ sind. Eine Executive-Order ist in dem Sinne kein Gesetz, sondern kann jederzeit widerrufen oder geändert werden. Zudem gehen diese „Einschränkungen“ oder Änderungen einigen Datenschutzorganisationen nicht weit genug. Es ist daher mit neuerlichen Klagen beim EuGH zu rechnen.

Betrifft mich das?

Diese Änderungen betreffen jeden, der Datenverkehr mit den USA betreibt. Wir erinnern daran, dass bereits die Übertragung einer IP-Adresse als personenbezogenes Datum ohne Einwilligung der Website-Nutzer nicht zulässig ist. Es betrifft aber natürlich auch alle, die vermeintlich Dienste europäischer Anbieter nutzen, diese ihrerseits aber selber Daten in Drittländern (wie eben den USA) verarbeiten. Hierzu gehören allein trivial erscheinende Dinge, wie Google Fonts oder Google Maps auf der eigenen Website benutzen.

Muss ich etwas ändern oder anpassen?

Ja. Gemäß DSGVO ist man zur Information verpflichtet. Somit kann eine bisher gültige Definition für den Datenverkehr in die USA wohl nicht mehr korrekt sein. Der jeweilige Dienst beziehungsweise das Unternehmen muss überprüft werden (z. B. ob das Unternehmen überhaupt im TADPF gelistet und somit zertifiziert ist). Unter Umständen ist sogar eine Folgenabschätzung notwendig.

Der einfachste Weg wäre hier eine neuerliche Gesamt-Analyse durchzuführen, bei der alle verwendeten Dienste überprüft werden. Üblicherweise gibt es auch bei technischen Updates Änderungen die den Datenschutz betreffen können.