Im Jahr 2020 hat der Europäische Gerichtshof gesagt, dass der Datenschutz bzw. das Datenschutzniveau in den USA nicht ausreichend bzw. gut genug ist. Dadurch herrschte und herrscht bei viele europäische Unternehmen, Behörden und Personen nach-wie-vor eine große Unsicherheit.

Diese Unsicherheit betraf besonders diejenigen, die Dienste von US-Anbietern benutzt haben. Firmen und Personen, die Google, Meta, Microsoft oder Amazon genutzt haben, hatten Angst vor Strafen und Verboten von Aufsichtsbehörden.

Jetzt gibt es das Trans-Atlantic Data Privacy Framework (TADPF), um diese Unsicherheit zu verringern und Firmen mehr Rechtssicherheit zu geben. Ursula von der Leyen, die Präsidentin der Europäischen Kommission verkündete am 10.07.2023 via Twitter, dass das Data-Privacy-Framework in Kraft getreten ist. Es wird allerdings befürchtet, dass diese Verbesserung die mit dem Trans-Atlantic Data Privacy Framework einhergehen nur vorübergehend sind – Kritiker des Trans-Atlantic Data Privacy Frameworks gehen sogar schon jetzt davon aus, dass der Europäische Gerichtshof dieses Framework wieder aufheben wird.

Was ist das Trans-Atlantic Data Privacy Framework?

Das TADPF ist kein Gesetz oder Abkommen, sondern eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium. Die USA haben sich in diesem Abkommen verpflichtet, ihren Datenschutz zu verbessern und im Gegenzug hat die EU-Kommission die Übertragung von Daten in die USA als angemessen erklärt.

Das TADPF ist der neueste Versuch der EU und der USA, den Transfer von personenbezogenen Daten von der EU in die USA für Unternehmen und Einzelpersonen rechtlich abzusichern.

An dieser Vereinbarung sind sowohl die EU-Mitgliedstaaten als auch die USA beteiligt. Diese Vereinbarung basiert auf der Einschätzung der EU-Kommission zur Angemessenheit des Datenschutzniveaus. Es ist jedoch wichtig zu beachten, dass jedes EU-Land seine eigene Datenschutzbehörde hat, die für die Überwachung und Durchsetzung der Datenschutzgesetze, einschließlich der Bestimmungen des Trans-Atlantic Data Privacy Frameworks, verantwortlich ist.

Auf der US-Seite ist das Handelsministerium (Department of Commerce) für die Umsetzung und Verwaltung dieses Abkommens zuständig.

Wann dürfen personenbezogene Daten in die USA transferiert werden?

Die DSGVO sagt im Grunde, dass man keine personenbezogenen Daten außerhalb der EU an sogenannte „Drittländer“ übertragen darf (Art. 44 bis 49 DSGVO). Die USA gehören hauptsächlich zu diesen Drittländern. Es sei denn, man kann nachweisen, dass das Datenschutzniveau in diesem Land angemessen ist.

Das kann in den folgenden Situationen möglich sein:

• Die Europäische Kommission hat ein adäquates Schutzniveau für den Datenschutz festgestellt. Solche Entscheidungen über Angemessenheit gibt es zum Beispiel für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. Im Rahmen des Transatlantischen Datenschutzdialogs (TADPF) hat die Europäische Kommission ebenfalls festgestellt, dass auch US-Unternehmen ein angemessenes Datenschutzniveau aufweisen, sofern sie ein bestimmtes (Selbst)zertifizierungsverfahren durchlaufen, um sicherzustellen, dass sie die DSGVO beachten werden.
• Abschluss von Standardvertragsklauseln: Standardvertragsklauseln sind vordefinierte Verträge, die von der Europäischen Kommission erstellt wurden und die Vertragspartner dahingehend verpflichten, das Datenschutzniveau in Europa einzuhalten. Diese Klauseln gestatten jedoch den Datentransfer nur dann, wenn das Datenschutzniveau tatsächlich gewährleistet ist. Bis dato waren die Standardvertragsklauseln die übliche Alternative zu einer Entscheidung über Angemessenheit. Es wurde jedoch zunehmend infrage gestellt, ob allein eine vertragliche Verpflichtung ausreicht, um die Daten europäischer Bürger vor US-Geheimdiensten zu schützen.
• Verbindliche Unternehmensrichtlinien (Binding Corporate Rules): Unternehmen haben auch die Möglichkeit, selbst verbindliche Datenschutzregeln festzulegen. Diese Option wird eher selten genutzt, da eine externe Zertifizierung oder eine interne Prüfung erforderlich wäre, um auf dieser Grundlage Daten in andere Länder zu übertragen (das Ergebnis würde ähnlich wie bei TSPF ausfallen).
• Notwendige Datenübertragungen: Wenn es erforderlich ist, die Daten in andere Länder zu übermitteln oder anderweitig zu verarbeiten und dies für die betroffenen Personen erkennbar ist, kann die Übermittlung stattfinden (zum Beispiel bei Buchung eines Ferienhauses oder Flugs in die USA oder beim Versenden einer E-Mail in die USA).
• Einwilligungen: Als letzte Option bleiben nur die Zustimmungen der betroffenen Personen. Diese sind jedoch umständlich und können aufgrund fehlender Transparenz, ausdrücklicher Zustimmung oder mangelnder Freiwilligkeit oder fehlender Zustimmungsfähigkeit (zum Beispiel ab 16 Jahren in Deutschland, ab 14 Jahren in Österreich, siehe Art. 8 Abs. 3 DSGVO) scheitern.
• Weitere Ausnahmen: Weitere Ausnahmen können dem Artikel 49 DSGVO entnommen werden.

Unabhängig davon, ob Facebook bzw. Meta, Microsoft, Google, Open AI oder andere US-Unternehmen Daten in den Vereinigten Staaten verarbeiten, beruht die Zulässigkeit der Datenverarbeitung in den USA bisher hauptsächlich auf den Standardvertragsklauseln. Das TADPF hat zum Ziel, dies zu ändern und eine höhere Rechtssicherheit zu gewährleisten.

Der Kern des Transatlantischen Datenschutzrahmens besteht aus dem Angemessenheitsbeschluss der Europäischen Kommission, der Unternehmen, die unter das TADPF fallen, ein ausreichendes Maß an Datenschutz bescheinigt.

Warum wurden die Vorgänger des TADPF, „Safe Harbor“ und „Privacy Shield“ für unwirksam erklärt?

Das Trans-Atlantic Data Privacy Framework hatte bereits zwei Vorgänger, die als „Safe Harbor“ und „Privacy Shield“ bekannt waren und eine ähnliche Struktur aufwiesen. Allerdings wurden diese Zusicherungen, die ein angemessenes Datenschutzniveau gewährleisten sollten, durch die Enthüllungen von Edward Snowden in Frage gestellt. Snowden offenbarte, dass US-Geheimdienste uneingeschränkten Zugriff auf Daten von EU-Bürgern hatten.

Daraufhin wurden rechtliche Schritte eingeleitet und der Europäische Gerichtshof erklärte 2015 (Fall Schrems I) und 2020 (Fall Schrems II), dass die getroffenen Regelungen nicht wirksam waren, da in den USA kein angemessenes Datenschutzniveau gewährleistet war. Dies verstieß gegen die Grundrechte der EU-Bürger in Bezug auf Privatsphäre, Datenschutz, Verhältnismäßigkeit und den Zugang zu effektiven Rechtsbehelfen.

Um zu verhindern, dass das Trans-Atlantic Data Privacy Framework dasselbe Schicksal erleidet, haben die USA im Gegensatz zu den vorherigen Vereinbarungen umfangreiche Maßnahmen ergriffen, um ein angemessenes Datenschutzniveau sicherzustellen.

Was macht das TADPF nun anders als seine Vorgänger?

Ein bedeutender Vorzug des Trans-Atlantic Privacy Frameworks (TADPF) besteht darin, dass es nicht bloß eine vertragliche Zusicherung der amerikanischen Unternehmen ist, einen angemessenen Schutz der Privatsphäre zu gewährleisten. Es geht darüber hinaus, denn wie wir wissen, könnten sich US-Geheimdienste theoretisch und hypothetisch über derlei vertragliche Klauseln hinwegsetzen.

Im Zuge der Umsetzung des TADPF beschränkten die Vereinigten Staaten tatsächlich die Befugnisse ihrer Geheimdienste im Bezug auf den Zugriff auf Daten von EU-Bürgern und stärkten gleichzeitig deren rechtliche Stellung. Dies wurde durch die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ erreicht, die US-Präsident Biden am 7. Oktober 2022 erlassen hat. Für EU-Bürger, deren personenbezogene Informationen in die USA übertragen werden, bringt diese neue Anordnung insbesondere die folgenden Optimierungen mit sich:

• Angemessenheit: Die Geheimdienste der USA sind nun verpflichtet, auch bei europäischen Bürgern zu prüfen, ob der Zugriff auf ihre Daten angemessen ist.
• Beschwerdeverfahren: Auf der ersten Stufe können EU-Bürger eine Beschwerde beim Beauftragten für den Schutz der Bürgerrechte der US-Geheimdienste (“Civil Liberties Protection Officer”) einreichen. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und grundlegenden Rechte respektieren.
• Überprüfungsprozess: Auf der zweiten Stufe gibt es die Möglichkeit für Einzelpersonen, Einspruch gegen die Entscheidung des Verantwortlichen für den Schutz der bürgerlichen Freiheiten vor dem neu eingeführten Datenschutzprüfungsgericht einzulegen. Dieses Überprüfungsgericht setzt sich aus unabhängigen Mitgliedern zusammen, die aufgrund bestimmter Qualifikationen ernannt werden und nur unter strengen Gründen, wie einer strafrechtlichen Verurteilung, entlassen werden können. Das Gericht ist befugt, Beschwerden von EU-Bürgern zu untersuchen, einschließlich der Anforderung relevanter Informationen von Geheimdiensten, und es kann bindende Entscheidungen treffen. Es kann zum Beispiel die Löschung von Daten anordnen, wenn festgestellt wird, dass diese unrechtmäßig gemäß den in der Exekutivanordnung festgelegten Schutzmaßnahmen erhoben wurden. Ob die Maßnahmen das enorm hohe Risiko eines Datenmissbrauchs durch US-Geheimdienste genug beseitigen, entscheidet sicherlich demnächst der EuGH – u.a. hat der Kläger gegen „Safe Habour“ und „Privacy Shield“, Max Schrems sich schon zum TADPF geäußert und plant auch gegen das TADPF vor dem EuGH zu klagen.

Kann man nun also bedenkenlos US-Dienstleistungen nutzen, ohne rechtliche Konsequenzen fürchten zu müssen?

Im Moment gilt der Einsatz von US-Dienstleistern, die gemäß dem Trans-Atlantic Data Privacy Framework zertifiziert sind, als rechtssicher. Dies ist das Resultat einer Vereinbarung zwischen der EU und den USA, in der die USA strengere Datenschutzmaßnahmen für EU-Bürger eingeführt haben und die EU-Kommission ein angemessenes Datenschutzniveau in den USA festgestellt hat.

Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Es gibt jedoch Bedenken darüber, ob die Datenschutzmaßnahmen in den USA ausreichend sind. Datenschützer halten diese Maßnahmen für nicht ausreichend, und es besteht die Möglichkeit, dass der Europäische Gerichtshof das TADPF in den nächsten 3-5 Jahren als unwirksam erklärt. Dies könnte zu einer Unsicherheit im Rechtswesen führen. Deshalb sollten Unternehmen, die US-Dienstleister nutzen, dieses Risiko in Betracht ziehen.

Ist die Schweiz am Trans-Atlantic Data Privacy Framework beteiligt?

Die Schweiz ist nicht unmittelbar am Transatlantic Data Privacy Framework beteiligt, da es sich um ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten handelt. Jedoch hat die Schweiz in der Vergangenheit ähnliche Datenschutzvereinbarungen mit den USA getroffen, wie zum Beispiel das Swiss-US Privacy Shield. Es besteht die Möglichkeit, dass die Schweiz in Zukunft eine ähnliche Vereinbarung wie das Transatlantic Data Privacy Framework treffen wird. Insbesondere, da das neue Schweizer Datenschutzgesetz, das ab September 2023 in Kraft tritt, in Artikel 16 DSG ähnliche Sicherheitsvorkehrungen für den Schutz der schweizerischen Bürger bei der Übertragung von Daten ins Ausland fordert, wie es die Datenschutz-Grundverordnung (DSGVO) in den Artikeln 44 bis 49 für „Drittlandtransfers“ tut.

Bis eine solche Vereinbarung besteht, müssen Schweizer Unternehmen, die personenbezogene Daten in die USA übermitteln, andere Mechanismen wie Standardvertragsklauseln oder Binding Corporate Rules verwenden, um ein angemessenes Schutzniveau für diese Daten zu gewährleisten.

Welche US-Anbieter sind bereits im Trans-Atlantic Data Privacy Framework?

Im Gegensatz zu den Angemessenheitsbeschlüssen für die Schweiz oder Großbritannien erstreckt sich der Beschluss zur Angemessenheit des Datenschutzes im Rahmen des TADPF nicht auf das gesamte Gebiet der Vereinigten Staaten.

Stattdessen müssen US-amerikanische Unternehmen ein Verfahren zur Selbstzertifizierung durchlaufen, um sich auf den Angemessenheitsbeschluss berufen zu können. Unternehmen wie Meta, Google, Microsoft, AWS usw., die viele EU-Nutzer oder Kunden haben, werden voraussichtlich bald dieses Verfahren durchlaufen müssen. Die zertifizierten US-Unternehmen werden, wie beim Vorgänger „Privacy Shield“, in einer Datenbank erfasst.

Dort können Informationen über die jeweiligen Unternehmen abgerufen werden. Dabei ist darauf zu achten, welcher Teil des Unternehmens tatsächlich vom TADPF als angemessen eingestuft wurde. Nur diese spezifischen Bereiche können sich auf das angemessene Datenschutzniveau verlassen.

Über die URL https://www.dataprivacyframework.gov/ haben Sie die Möglichkeit, offizielle Informationen zum TADPF abzurufen und nach Unternehmen zu suchen, die zertifiziert sind. Bitte beachten Sie, dass bis zum aktuellen Stand vom 10.07.2023 noch keine Unternehmen in der Datenbank eingetragen sind.

Warum und wann könnte auch das TADPF scheitern?

Folgende Details werden von den Kritikern der US-Datenschutztransfers allen voran der österreichische Jurist Max Schrems für unzureichend angesehen:

• Ein anderes Verständnis von Verhältnismäßigkeit besteht in den Vereinigten Staaten, und es ist unwahrscheinlich, dass sich die Praktiken der Geheimdienste substantiell ändern werden. Alle Daten, die an US-Anbieter gesendet werden, werden weiterhin in Überwachungsprogrammen wie PRISM oder Upstream erfasst.
• Die Verwendung des Begriffs „Verhältnismäßigkeit“ wird daher bloß als eine leere Phrase verstanden, die nicht den Anforderungen von Artikel 52 der Grundrechtecharta der EU und dem Europäischen Gerichtshof entspricht.
• Es wird darauf hingewiesen, dass das „Data Protection Review Court“ kein unabhängiges Gericht im eigentlichen Sinne ist, sondern der Regierung untersteht, ebenso wie die Geheimdienste. Dadurch wird das Grundrecht auf einen Rechtsweg gemäß Artikel 47 der Grundrechtecharta der EU nicht gewahrt, da dort ein Zugang zu einem unparteiischen Gericht gefordert wird und nicht zu einer Behörde, die zwar mehr Unabhängigkeit aufweisen mag, aber dennoch dem Staat untersteht.
• Es ist wichtig zu beachten, dass die „Executive Order“ lediglich eine Verordnung ist und daher nicht als stabiles Gesetz angesehen werden kann, da es nicht durch ein parlamentarisches Verfahren entstanden ist. Dies bedeutet, dass der nächste US-Präsident die Möglichkeit hätte, eine solche Exekutive Order seines Vorgängers aufzuheben. Dies birgt das Risiko einer Gefährdung der bereits in den USA gespeicherten Daten von EU-Bürgern.

Was passiert, wenn das Trans-Atlantic Data Privacy Framework wie „Safe Habour“ und „Privacy Shield“ auch für unwirksam erklärt wird?

Wenn das Trans-Atlantic Data Privacy Framework für unwirksam erklärt wird, könnten Unternehmen, die Daten zwischen der Europäischen Union und den Vereinigten Staaten übertragen, in eine rechtlich unsichere Situation geraten. Sie wären gezwungen, erneut nach anderen Mechanismen zu suchen, um die Rechtmäßigkeit ihrer Datenübertragungen sicherzustellen.

Dies hätte zur Folge, dass sie auf alternative Instrumente wie Standardvertragsklauseln zurückgreifen müssten oder ihre Datenverarbeitungspraktiken überprüfen und anpassen müssten, um sicherzustellen, dass sie den Datenschutzgesetzen sowohl in der EU als auch in den USA entsprechen.

Sind Standardvertragsklauseln nun nicht mehr nötig?

Die Standardvertragsklauseln waren die Hauptgrundlage für die meisten Übertragungen von Daten in die Vereinigten Staaten. Jedoch wurden sie in letzter Zeit zunehmend angezweifelt, unter anderem in folgenden Verfahren:

Eine Entscheidung der irischen Datenschutzbehörde:

Die irische Datenschutzbehörde hat Meta mit einer Geldstrafe in Höhe von 1,2 Milliarden Euro belegt und eine Untersagung von Datenübertragungen in die USA angeordnet. Sie befand, dass die Standardvertragsklauseln als vertragliche Verpflichtungen keinen ausreichenden Schutz für EU-Bürger bieten.

Ein Urteil des Landgerichts Köln:

Das Landgericht Köln hat im Fall von Google Analytics entschieden, dass die „Standardvertragsklauseln“ als vertragliche Datenschutzverpflichtungen keinen angemessenen Schutz vor US-Geheimdiensten bieten können (LG Köln Urteil vom 23.03.2023, 33 O 376/22).

Die Verfahren können so verstanden werden, dass die Standardvertragsklauseln nicht mehr gültig sind. Aber da die USA im Rahmen des TADPF tatsächlich Schritte unternommen haben, um den Datenschutz zu verbessern, hat sich die Situation auch in Bezug auf die Standardvertragsklauseln geändert.Das bedeutet, dass die EuGH-Urteile zu den vorherigen Regelungen nicht mehr direkt auf die Anwendung der Standardvertragsklauseln übertragen werden können.

Allerdings, wenn der EuGH auch nach TADPF entscheiden würde, dass der Datenschutz in den USA für EU-Bürger unzureichend ist, würde die oben genannte Kritik an den Standardvertragsklauseln wieder aufkommen. Aber zumindest wären sie dann noch eine letzte Rettung, da sie immer noch weltweit gelten, während das TADPF aufgehoben würde und nicht mehr als Grundlage für den Datentransfer in der EU dienen würde.

Sollte immer noch ein “Transfer Impact Assessment” durchgeführt werden?

Die Standardvertragsklauseln bringen die Verpflichtung mit sich, dass das tatsächlich ausreichende Datenschutzniveau geprüft und nachgewiesen werden muss (das sogenannte „Transfer Impact Assessment“ oder auf Deutsch „Datentransfer-Folgeabschätzung“). Der Beschluss der EU-Kommission im Rahmen des Trans-Atlantic Data Privacy Frameworks sieht jedoch keine solche Prüfung vor. Es besteht jedoch das Risiko, dass der EuGH das TADPF für ungültig erklärt. Das würde bedeuten, dass auch alle anderen US-Datentransfers, die sich auf das TADPF gestützt haben, unrechtmäßig waren.

Daher empfiehlt es sich, vor der Nutzung von US-Anbietern wie bisher das Vorhandensein eines ausreichenden Datenschutzniveaus nicht nur anhand des TADPF, sondern auch der Standardvertragsklauseln oder anderer rechtlicher Grundlagen (z.B. Einwilligung oder Vertragserfüllung) zu prüfen und zu bestätigen.

Dies gilt insbesondere für größere Unternehmen, bei denen es aus Haftungsgründen notwendig ist, die Datenschutzkonformität nachzuweisen, um die potenzielle Haftung von Geschäftsführern oder leitenden Angestellten zu vermeiden.

Obwohl das Trans-Atlantic Data Privacy Framework einen rechtlich sicheren Rahmen bietet, ist es wichtig, dass Unternehmen weiterhin eine Überprüfung und Bewertung ihrer eigenen US-Dienstleister und Datenübertragungen vornehmen. Ein „Transfer Impact Assessment“ kann dabei helfen, potenzielle Risiken und Auswirkungen von Datentransfers auf die Privatsphäre zu identifizieren und zu bewerten. Es ist ein wertvolles Instrument, um sicherzustellen, dass Sie die Anforderungen des Datenschutzes vollständig verstehen und erfüllen.

Muss ich mit Bußgeldern rechnen?

Der Beschluss der Europäischen Kommission bezüglich der Angemessenheit von Datentransfers ist kein Gesetz, jedoch dient er als rechtmäßige und der DSGVO entsprechende Grundlage für die Übermittlung von Daten in die Vereinigten Staaten, solange er nicht ungültig erklärt wird. Es kann angenommen werden, dass zumindest die deutschen Datenschutzbehörden nach wie vor Bedenken hinsichtlich des Datenschutzniveaus in den USA haben werden. Dennoch müssen Sie keine Sanktionen oder Verbote befürchten, wenn Sie US-Anbieter nutzen, die dem Trans-Atlantic Data Privacy Framework unterliegen.

Zumindest bis jetzt wurde das Trans-Atlantic Data Privacy Framework nicht vom EuGH als unwirksam erklärt. Infolgedessen müssen US-Dienste einer neuen Bewertung unterzogen werden. Ein Problem könnte dann entstehen, wenn Ihr Unternehmen stark mit US-Unternehmen verflochten ist und die von Ihnen verarbeiteten Daten auf Servern in den USA gespeichert sind. Je nach der aktuellen Situation und Rechtslage könnten Sie möglicherweise gegen die Bestimmungen der DSGVO verstoßen.

Was, wenn ich echte Rechtssicherheit haben will?

Die TADPF birgt das Risiko, dass sie aufgrund unzureichenden Schutzniveausen in den USA aufgehoben wird, genau wie ihre Vorgänger. Dann würde eine juristische „Hängepartie“ beginnen und es gäbe große Unsicherheit darüber, ob und wie US-Dienstleister verwendet werden können oder ob Daten in die USA transferiert werden dürfen.Wenn Sie diese Unsicherheit vermeiden möchten, sollten Sie nur Dienstleister und Dienste nutzen, die Ihre Daten in der EU speichern und nicht den US-Geheimdiensten zur Datenzugriffsermöglichung verpflichtet sind.

Desweiteren sollten Sie auch überprüfen, ob die EU-Dienste keine US-Dienstleister als Subunternehmer einsetzen. Denn dann wären sie trotzdem für US-Datentransfers verantwortlich.

Muss meine Datenschutzerklärung aktualisiert werden?

Es ist wichtig, in der Datenschutzerklärung anzugeben, dass Daten in Drittländer übertragen werden können. Das steht in Artikel 13 Absatz 1 Buchstabe f der DSGVO.

[…] teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […] Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie

das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses

Daher sollten Sie bei der Angabe der Empfänger Ihrer Datenübermittlungen (ebenfalls eine Pflichtangabe nach Art. 13 Abs. 1 lit. e DSGVO) ebenfalls mitteilen, ob sie in den Anwendungsbereich des von dem Angemessenheitsbeschluss der Kommission, also unter das TADPF fallen.

Deswegen müsen sie auch angeben, an wen sie ihre Daten weitergegeben werden (was übrigens auch nach Art. 13 Abs. 1 lit. e DSGVO Pflicht ist) und ob diese Empfänger dem Anwendungsbereich der Entscheidung der Kommission unterliegen, sprich dem TADPF.

Trans-Atlantic Data Privacy Framework (TADPF)

Gemäß den Ergänzungen Ihrer Datenschutzerklärung bitten wir Sie, auch Ihr Register der Verarbeitungstätigkeiten zu aktualisieren. In diesem Register sollen auch die US-Anbieter und andere Datenübertragungen in die USA aufgelistet und deren Rechtmäßigkeit erklärt werden. Dabei ist es auch wichtig, den Beschluss der EU-Kommission über die Angemessenheit als rechtliche Grundlage anzuführen.Das Register der Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO ist ein Dokument, das eine Übersicht über die Datenverarbeitungsaktivitäten eines Unternehmens bietet. Es enthält Informationen zu Zwecken, Arten von Daten, Empfängern und anderen relevanten Details. Das Register ist erforderlich, wenn personenbezogene Daten verarbeitet werden. Es muss regelmäßig aktualisiert und den Aufsichtsbehörden zur Verfügung gestellt werden können. Eine Aktualisierung ist notwendig, insbesondere bei Änderungen wie dem Wechsel zu Google Analytics 4, um den Datenschutzbestimmungen gerecht zu werden.

Die wichtigsten Fakten zum TADPF

Die nachfolgende Aufstellung stellt Ihnen eine Zusammenfassung der bedeutendsten Grundlagen des TADPF zur Verfügung.

• Das Abkommen „Trans-Atlantic Data Privacy Framework“ ist eine Vereinbarung zwischen den Vereinigten Staaten und der Europäischen Union.
• Um EU-Bürger besser zu schützen, haben die Vereinigten Staaten innerhalb dieses Rahmens verbesserte Schutzmaßnahmen eingeführt.
• Im Gegenzug hat die Europäische Kommission festgestellt, dass in den Vereinigten Staaten ein angemessenes Datenschutzniveau besteht (sogenannter Angemessenheitsbeschluss).
• US-Unternehmen müssen sich selbst zertifizieren lassen, um sich auf das Trans-Atlantic Data Privacy Framework berufen zu können.
• EU-Unternehmen können US-Dienstleister einsetzen, die gemäß dem Trans-Atlantic Data Privacy Framework zertifiziert sind.
• In der Datenschutzerklärung und im Verzeichnis der Verarbeitungstätigkeiten sollte darauf hingewiesen werden, dass US-Anbieter gemäß dem Trans-Atlantic Data Privacy Framework als Grundlage verwendet werden.
• Einige Kritiker halten die Datenschutzmaßnahmen der USA für unzureichend, wodurch das Risiko besteht, dass das Trans-Atlantic Data Privacy Framework wie seine Vorläufer vom Europäischen Gerichtshof für unwirksam erklärt wird.
• Aus diesem Grund ist es ratsam, bei der Nutzung von US-Anbietern damit zu rechnen, dass das TADPF in etwa 3-5 Jahren für ungültig erklärt wird und somit wieder Rechtsunsicherheit herrschen könnte.
• Deshalb sollten Unternehmen oder Behörden, die auf US-Dienste angewiesen sind, eine Datentransfer-Folgeabschätzung (TIA) durchführen.

Unser Fazit:

Das Trans-Atlantic Data Privacy Framework stellt einen bedeutsamen Schritt für die Gewährleistung der rechtlichen Sicherheit beim Transfer von Daten zwischen der EU und den USA dar. Es bietet einen gut strukturierten und von der Rechtsprechung anerkannten Mechanismus für den Übermittlung persönlicher Informationen. Dies ist besonders relevant, wenn man Dienstleistungen von US-Unternehmen wie Google, Meta, Microsoft oder Amazon nutzt, die personenbezogene Daten verarbeiten.

Jedoch besteht die Möglichkeit, dass diese Rechtssicherheit nur vorübergehend ist. Es hängt sowohl von der Datenschutzpolitik des nächsten US-Präsidenten ab als auch davon, ob der EuGH die bisher getroffenen Datenschutzmaßnahmen der USA als ausreichend erachtet.

Für Sie hat dies die Konsequenz, dass vorerst die Nutzung von US-Unternehmen sicherer ist. Um in Zukunft vor möglichen Unsicherheiten gewappnet zu sein, bleibt nur die Umstellung auf europäische Anbieter als Option. Da es oft keine geeigneten Alternativen gibt, wird die Frage, ob man US-Anbieter einsetzen sollte, auch weiterhin als ein Risiko betrachtet, dem viele Unternehmen, Behörden und andere Verantwortliche ausgesetzt sind.