Nun ist es soweit: Das Trans-Atlantic Data Privacy Framework – TADPF oder nur kurz DPF – ist da. Doch ist der Einsatz von US-Dienstleistern nun DSGVO-sicher? Was sind die Vor- und Nachteile der neuen Vereinbarung? Diese Frage klären wir in unserem heutigen Artikel!

Was ist das „EU-US-Data-Privacy-Framework“?

Das TADPF sollte die Nachfolge des Privacy Shield antreten, das 2020 vom EuGH aufgehoben wurde, und soll als Grundlage für eine sichere Übermittlung personenbezogener Daten in die USA dienen. Es ist kein Gesetz, sondern eine Kombination aus Zusicherungen des Datenschutzes für EU-Bürger und der Feststellung der EU-Kommission, dass diese Zusicherungen ein ausreichendes Datenschutzniveau in Drittländern, so auch in den USA, gewährleisten (so genannter „Angemessenheitsbeschluss“). Es stellt also eine Vereinbarung dar („Agreement“), den die EU-Kommission und das US-Handelsministerium getroffen haben. In dieser Vereinbarung verpflichten sich die USA, ihr Datenschutzniveau zu verbessern und im Gegenzug erklärt die EU-Kommission die Übertragung von Daten in die USA für angemessen.

Transfer von personenbezogenen Daten in die USA

Die Datenschutzgrundverordnung (DSGVO) verbietet in den Art. 44 – 49 DSGVO die Übermittlung personenbezogener Daten in sog. „Drittländer“. Dazu zählt auch die USA. Eine Ausnahme würde vorliegen, wenn das Datenschutzniveau in dem Drittland DSGVO-konform ist. Das ist es dann, wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, Standardvertragsklauseln vorliegen, Unternehmen sich selbst verbindliche Datenschutzregeln auferlegen („Binding Corporate Rules“), der Datentransfer in das Drittland erforderlich ist, eine Einwilligung vorliegt oder eine Ausnahme des Art. 49 DSGVO greif. 

Für welches Drittland existieren Angemessenheitsbeschlüsse? 

Angemessenheitsbeschlüsse existieren für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. Darüber hinaus hat die EU-Kommisison festgestellt, dass ein angemessenes Datenschutzniveau auch vorliegt, wenn US-Unternehmen erklären, dass sie sich an die DSGVO halten. 

Was sind Standardvertragsklauseln? 

Sog. Standardvertragsklauseln sind Musterverträge der EU-Kommission, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Das Besondere ist, dass sie einen Datentransfer nur erlauben, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird. Aber hier steht die berechtigte Frage im Raum, ob eine vertragliche Verpflichtung ausreicht, damit sich Geheimdienste daran halten?

Warum wurde das „Privacy Shield“ abgesetzt? 

Im Prinzip wurde das „Privacy Shield“ spätestens seit der Wistleblowing-Affaire rund um Edward Snowden in Frage gestellt. Danach hatte sich der EuGH mit vielen Klagen auseinanderzusetzen und erklärte schließlich die Angemessenheitsbeschlüsse 2015 (EuGH, 06.10.2025, Az. C-362/14 „Schrems I“) und 2020 (EuGH, 16.07.2020, Az. C-311/18 „Schrems II“) für unwirksam. 

Vorteile des TADPF 

Der größte Vorteil des TADPF ist, dass nicht lediglich eine vertragliche Zusage amerikanischer Unternehmen ist, angemessenen Datenschutz zu gewährleisten, sondern die USA selbst die Befugnisse ihrer Geheimdienste in Bezug auf den Zugriff von Daten von EU-Bürgern begrenzt und gleichzeitig die Rechte der EU-Bürger stärkt. 

Rechtstipp: Der US-Präsident Joe Biden hat am 07.10.2022 eine „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ erlassen, was die Rechte der EU-Bürger direkt schützt. So müssen US-Geheimdienste nun den Verhältnismäßigkeitsgrundsatz wahren, es muss ein Beschwerdeverfahren eingerichtet sein („Civil Liberties Protection Officer“) und es muss ein Überprüfungsverfahren stattfinden, was die Entscheidung des Beschwerdeverfahrens  unabhängig überprüft. 

Zum Zwecke der Verfügung kann folgendes festgehalten werden: „Die USA würden nachrichtendienstliche elektronische Aufklärung und Fernmeldeaufklärung („Signal Intelligence“) betreiben, damit ihre Entscheidungsträger im Bereich der nationalen Sicherheit Zugang zu rechtzeitigen, genauen und aufschlussreichen Informationen haben. Diese seien notwendig, um die nationalen Sicherheitsinteressen der USA zu fördern und ihre Bürger und die Bürger ihrer Verbündeten und Partner vor Schaden zu schützen. Diese „Signals Intelligence“-Fähigkeiten seien ein wichtiger Grund dafür, dass die USA sich an ein dynamisches und herausforderndes Sicherheitsumfeld anpassen können. Auch sollen die USA robuste und technologisch fortschrittliche „Signals Intelligence“-Fähigkeiten erhalten und weiterentwickeln, um ihre eigene Sicherheit und die ihrer Verbündeten und Partner zu schützen. Gleichzeitig erkenne die USA an, dass bei nachrichtendienstlichen Aktivitäten zu berücksichtigen ist, dass alle Personen mit Würde und Respekt behandelt werden sollten, ungeachtet ihrer Nationalität oder ihres Wohnsitzes. Außerdem würde anerkannt, dass alle Personen ein legitimes Interesse an der Wahrung der Privatsphäre im Umgang mit ihren persönlichen Daten haben.“

Kritik am TADPF 

Kritiker rügen zu recht, dass auch diese Maßnahmen nicht ausreichen können, um ein unzulässiges Eingreifen von US-Geheimdiensten sicherzustellen. Auch die Zusage der USA erscheint für Kritiker wohl eher ungenügend. Auch ist fraglich wie angemessen die Datenschutzmaßnahmen der USA ausgestaltet sind. Darüber hinaus ist auch jedes EU-Land mit der staatlichen Datenschutzbehörde zu selbstständigen Überwachung und Sicherstellung der Durchsetzung des TADPF zuständig. Das kann dazu führen, dass innerhalb der EU unterschiedliche Maßstäbe angesetzt werden. 

Rechtstipp: Für die Schweiz, die auch am DPF beteiligt ist, liegt zur Zeit noch kein Angemessenheitsbeschluss des Bundesrates für den Datenschutz vor (Art. 16 Abs. 1 Schweizer DSG). Daher müssen Schweizer Unternehmen auf andere Mechanismen, wie die oben bereits erklärte Standardvertragsklauseln oder die „Bindung Corporate Rules“ zurückgreifen. 

Darüber hinaus gibt es auch hier Bedenken, dass das DPF ebenfalls scheitern könnte. Schließlich ist das Rechtsinstitut der Verhältnismäßigkeit in den USA nicht so ausgestaltet, wie nach europäischen Standards. Auch die Praxis der Geheimdienste wird sich nicht allein durch eine Übereinkunft und Selbstbindungserklärung ändern lassen. Darüber hinaus ist in den USA der „Data Protection Review Court“ kein Gericht, sondern untersteht auch hier den Geheimdiensten. Schließlich ist auch die Erklärung Bidens als „Executive Order“ auch „nur“ eine Verordnung und kein Gesetz, das ein parlamentarisches Gesetzgebungsverfahren durchlaufen hat.

Wie sicher sind US-Dienstleister?

Unternehmen, die unter dem TADPF arbeiten, sind grundsätzlich rechtssicher, wenn sie im Einklang mit Art. 45 DSGVO stehen. 

Hierzu der Gesetzeswortlaut: „Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses: (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. […]“

Rechtstipp: Unter das DPF fallen u.A. Unternehmen wie Meta, Google, Microsoft, AWS. Diese Unternehmen müssen ein Selbstzertifizierungsverfahren durchlaufen. Wenn sie zertifiziert sind, werden sie auf der Liste des DPF geführt, was auf der Website des DPF zu finden ist.

Datenschutzerklärung aktualisieren!

Der Hinweis auf einen Angemessenheitsbeschluss bei Transfers von Daten in Drittländer gehört  gem. Art. 14 Abs. 1 lit. f DSGVO zu den Pflichtangaben in einer Datenschutzerklärung. Daher sollten Sie bei der Angabe der Empfänger Ihrer Datenübermittlungen ebenfalls mitteilen, ob sie in den Anwendungsbereich des von dem Angemessenheitsbeschluss der Kommission, also unter das DPF fallen. Entsprechend den Ergänzung Ihrer Datenschutzerklärung sollten Sie auch Ihr Verzeichnis von Verarbeitungstätigkeiten aktualisieren. 

Ausblick 

Der Datenschutz-Aktivist Schrems deutet schon jetzt eine erneute Klage an. Er kritisiert u.a. auch, dass die USA den Verhältnismäßigkeitsgrundsatz anders verstehen als wir und die Verletzung der Privatsphäre von Nicht-US-Bürgern kein Problem für die USA sein würde, was die Vergangenheit gezeigt habe.

Die USA loben selbstverständlich das TADPF als „Höhepunkt der jahrelangen engen Zusammenarbeit“ zwischen den USA und der EU. 

Jedoch bleibt ein Abkommen zur Vermeidung von Rechtsunsicherheit wichtig. Die Rechtsunsicherheit war in der Vergangenheit einfach zu groß. Dennoch scheint es weiterhin schwierig souveräne Staaten an eine Vereinbarung zu binden, wenn die Vorstellungen von Datenschutz, auch historisch bedingt, unterschiedliche Ansätze verfolgen. Hieran kann auch eine Anweisung bzw. „Verordnung“ des Präsidenten nicht viel ändern. Es ist jedenfalls ein weiterer positiver und begrüßenswerter Ansatz.

Fazit 

Im Ergebnis ist festzuhalten, dass sich die Rechtslage für EU-Bürger grundsätzlich verbessert hat. Die Zusicherung basiert auf dem Angemessenenheitsbeschluss der EU-Kommission. Die beteiligten Länder am TADPF sind die Mitgliedstaaten der EU und die USA. Für Unternehmen aus Deutschland heißt es, dass solange das TADPF in Kraft ist, liegt eine DSGVO-konforme Grundlage für die Übermittlung von Daten in die USA vor. Es ist davon auszugehen, dass zumindest die deutschen Datenschutzbehörden das Datenschutzniveau in den USA weiterhin für unzureichend halten werden. Allerdings müssen Sie keine Bußgelder oder Untersagungen des Einsatzes von US-Anbietern fürchten, sofern diese dem Data Privacy Framework unterfallen. Bei Unsicherheiten hierzu beraten wir Sie gern!

Fest steht, dass das DPF noch einige Verbesserungen und Klarstellungen bedarf. Auch ist grundsätzlich davon auszugehen, dass auch der EuGH die Rechtssicherheit des TADPF bestätigen wird. Sollte es dennoch für unwirksam erklärt werden, könnten Unternehmen, die Daten zwischen der EU und den USA übertragen, in eine rechtliche Grauzone geraten. Sie müssten erneut nach alternativen Mechanismen suchen, um die Rechtmäßigkeit ihrer Datentransfers zu gewährleisten. Hierzu stehen wir Ihnen schnell und unkompliziert mit unserem im Datenschutzrecht spezialisierten Team zur Verfügung und beraten Sie dazu gern. Melden Sie sich bei uns!

Unser Tipp: Wenn sie absolut rechtssicher vorgehen möchten, dann sollten Sie nur Dienstleister und Dienste einsetzen, die Ihre Daten in der EU speichern und nicht gegenüber den US-Geheimdiensten zur Gewährung eines Datenzugangs verpflichtet sind.