Nun ist es soweit: Das Trans-Atlantic Data Privacy Framework – TADPF oder nur kurz DPF – ist da. Doch ist der Einsatz von US-Dienstleistern nun DSGVO-sicher? Was sind die Vor- und Nachteile der neuen Vereinbarung? Diese Frage kl\u00e4ren wir in unserem heutigen Artikel!<\/p>\n\n\n\n
Das TADPF sollte die Nachfolge des Privacy Shield antreten, das 2020 vom EuGH aufgehoben wurde, und soll als Grundlage f\u00fcr eine sichere \u00dcbermittlung personenbezogener Daten in die USA dienen. Es ist kein Gesetz, sondern eine Kombination aus Zusicherungen des Datenschutzes f\u00fcr EU-B\u00fcrger und\u00a0der Feststellung der EU-Kommission, dass diese Zusicherungen ein ausreichendes Datenschutzniveau in Drittl\u00e4ndern, so auch in den USA, gew\u00e4hrleisten (so genannter \u201eAngemessenheitsbeschluss\u201c). Es stellt also eine Vereinbarung dar (\u201eAgreement\u201c), den die EU-Kommission und das US-Handelsministerium getroffen haben. In dieser Vereinbarung verpflichten sich die USA, ihr Datenschutzniveau zu verbessern und im Gegenzug erkl\u00e4rt die EU-Kommission die \u00dcbertragung von Daten in die USA f\u00fcr angemessen.<\/p>\n\n\n\n
Die Datenschutzgrundverordnung (DSGVO) verbietet in den Art. 44 – 49 DSGVO die \u00dcbermittlung personenbezogener Daten in sog. \u201eDrittl\u00e4nder\u201c. Dazu z\u00e4hlt auch die USA. Eine Ausnahme w\u00fcrde vorliegen, wenn das Datenschutzniveau in dem Drittland DSGVO-konform ist. Das ist es dann, wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, Standardvertragsklauseln vorliegen, Unternehmen sich selbst verbindliche Datenschutzregeln auferlegen (\u201eBinding Corporate Rules\u201c), der Datentransfer in das Drittland erforderlich ist, eine Einwilligung vorliegt oder eine Ausnahme des Art. 49 DSGVO<\/a> greif. <\/p>\n\n\n\n Angemessenheitsbeschl\u00fcsse existieren f\u00fcr die Schweiz, Neuseeland, Andorra, Argentinien, die F\u00e4r\u00f6er Inseln, Guernsey, Japan, Korea, Kanada, Israel und Gro\u00dfbritannien. Dar\u00fcber hinaus hat die EU-Kommisison festgestellt, dass ein angemessenes Datenschutzniveau auch vorliegt, wenn US-Unternehmen erkl\u00e4ren, dass sie sich an die DSGVO halten. <\/p>\n\n\n\n Sog. Standardvertragsklauseln sind Mustervertr\u00e4ge der EU-Kommission, die Vertragspartner zur Einhaltung des Europ\u00e4ischen Datenschutzniveaus verpflichten. Das Besondere ist, dass sie einen Datentransfer nur erlauben, wenn das EU-Datenschutzniveau auch tats\u00e4chlich gewahrt wird. Aber hier steht die berechtigte Frage im Raum, ob eine vertragliche Verpflichtung ausreicht, damit sich Geheimdienste daran halten?<\/p>\n\n\n\n Im Prinzip wurde das \u201ePrivacy Shield<\/a>\u201c sp\u00e4testens seit der Wistleblowing-Affaire rund um Edward Snowden in Frage gestellt. Danach hatte sich der EuGH mit vielen Klagen auseinanderzusetzen<\/a> und erkl\u00e4rte schlie\u00dflich die Angemessenheitsbeschl\u00fcsse 2015 (EuGH, 06.10.2025, Az. C-362\/14<\/a> \u201eSchrems I\u201c) und 2020 (EuGH, 16.07.2020, Az. C-311\/18<\/a> \u201eSchrems II\u201c) f\u00fcr unwirksam.\u00a0<\/p>\n\n\n\n Der gr\u00f6\u00dfte Vorteil des TADPF ist, dass nicht lediglich eine vertragliche Zusage amerikanischer Unternehmen ist, angemessenen Datenschutz zu gew\u00e4hrleisten, sondern die USA selbst die Befugnisse ihrer Geheimdienste in Bezug auf den Zugriff von Daten von EU-B\u00fcrgern begrenzt und gleichzeitig die Rechte der EU-B\u00fcrger st\u00e4rkt. <\/p>\n\n\n\n Rechtstipp<\/strong>: Der US-Pr\u00e4sident Joe Biden hat am 07.10.2022 eine \u201eExecutive Order on Enhancing Safeguards for United States Signals Intelligence Activities\u201c erlassen, was die Rechte der EU-B\u00fcrger direkt sch\u00fctzt. So m\u00fcssen US-Geheimdienste nun den Verh\u00e4ltnism\u00e4\u00dfigkeitsgrundsatz wahren, es muss ein Beschwerdeverfahren eingerichtet sein („Civil Liberties Protection Officer\u201c) und es muss ein \u00dcberpr\u00fcfungsverfahren stattfinden, was die Entscheidung des Beschwerdeverfahrens\u00a0 unabh\u00e4ngig \u00fcberpr\u00fcft.\u00a0<\/p>\n\n\n\n Zum Zwecke der Verf\u00fcgung kann folgendes festgehalten werden:<\/strong> \u201eDie USA w\u00fcrden nachrichtendienstliche elektronische Aufkl\u00e4rung und Fernmeldeaufkl\u00e4rung (\u201eSignal Intelligence\u201c) betreiben, damit ihre Entscheidungstr\u00e4ger im Bereich der nationalen Sicherheit Zugang zu rechtzeitigen, genauen und aufschlussreichen Informationen haben. Diese seien notwendig, um die nationalen Sicherheitsinteressen der USA zu f\u00f6rdern und ihre B\u00fcrger und die B\u00fcrger ihrer Verb\u00fcndeten und Partner vor Schaden zu sch\u00fctzen. Diese \u201eSignals Intelligence\u201c-F\u00e4higkeiten seien ein wichtiger Grund daf\u00fcr, dass die USA sich an ein dynamisches und herausforderndes Sicherheitsumfeld anpassen k\u00f6nnen. Auch sollen die USA robuste und technologisch fortschrittliche \u201eSignals Intelligence\u201c-F\u00e4higkeiten erhalten und weiterentwickeln, um ihre eigene Sicherheit und die ihrer Verb\u00fcndeten und Partner zu sch\u00fctzen. Gleichzeitig erkenne die USA an, dass bei nachrichtendienstlichen Aktivit\u00e4ten zu ber\u00fccksichtigen ist, dass alle Personen mit W\u00fcrde und Respekt behandelt werden sollten, ungeachtet ihrer Nationalit\u00e4t oder ihres Wohnsitzes. Au\u00dferdem w\u00fcrde anerkannt, dass alle Personen ein legitimes Interesse an der Wahrung der Privatsph\u00e4re im Umgang mit ihren pers\u00f6nlichen Daten haben.<\/em>\u201c<\/p>\n\n\n\n Kritiker r\u00fcgen zu recht, dass auch diese Ma\u00dfnahmen nicht ausreichen k\u00f6nnen, um ein unzul\u00e4ssiges Eingreifen von US-Geheimdiensten sicherzustellen. Auch die Zusage der USA erscheint f\u00fcr Kritiker wohl eher ungen\u00fcgend. Auch ist fraglich wie angemessen die Datenschutzma\u00dfnahmen der USA ausgestaltet sind. Dar\u00fcber hinaus ist auch jedes EU-Land mit der staatlichen Datenschutzbeh\u00f6rde zu selbstst\u00e4ndigen \u00dcberwachung und Sicherstellung der Durchsetzung des TADPF zust\u00e4ndig. Das kann dazu f\u00fchren, dass innerhalb der EU unterschiedliche Ma\u00dfst\u00e4be angesetzt werden.\u00a0<\/p>\n\n\n\n Rechtstipp<\/strong>: F\u00fcr die Schweiz, die auch am DPF beteiligt ist, liegt zur Zeit noch kein Angemessenheitsbeschluss des Bundesrates f\u00fcr den Datenschutz vor (Art. 16 Abs. 1 Schweizer DSG). Daher m\u00fcssen Schweizer Unternehmen auf andere Mechanismen, wie die oben bereits erkl\u00e4rte Standardvertragsklauseln oder die \u201eBindung Corporate Rules\u201c zur\u00fcckgreifen.\u00a0<\/p>\n\n\n\n Dar\u00fcber hinaus gibt es auch hier Bedenken, dass das DPF ebenfalls scheitern k\u00f6nnte. Schlie\u00dflich ist das Rechtsinstitut der Verh\u00e4ltnism\u00e4\u00dfigkeit in den USA nicht so ausgestaltet, wie nach europ\u00e4ischen Standards. Auch die Praxis der Geheimdienste wird sich nicht allein durch eine \u00dcbereinkunft und Selbstbindungserkl\u00e4rung \u00e4ndern lassen. Dar\u00fcber hinaus ist in den USA der \u201eData Protection Review Court\u201c kein Gericht, sondern untersteht auch hier den Geheimdiensten. Schlie\u00dflich ist auch die Erkl\u00e4rung Bidens als \u201eExecutive Order\u201c auch \u201enur\u201c eine Verordnung und kein Gesetz, das ein parlamentarisches Gesetzgebungsverfahren durchlaufen hat.<\/p>\n\n\n\n Unternehmen, die unter dem TADPF arbeiten, sind grunds\u00e4tzlich rechtssicher, wenn sie im Einklang mit Art. 45 DSGVO<\/a> stehen. <\/p>\n\n\n\nF\u00fcr welches Drittland existieren Angemessenheitsbeschl\u00fcsse? <\/strong><\/h3>\n\n\n\n
Was sind Standardvertragsklauseln? <\/strong><\/h3>\n\n\n\n
Warum wurde das \u201ePrivacy Shield\u201c abgesetzt? <\/strong><\/h3>\n\n\n\n
Vorteile des TADPF <\/strong><\/h3>\n\n\n\n
Kritik am TADPF <\/strong><\/h3>\n\n\n\n
Wie sicher sind US-Dienstleister?<\/strong><\/h3>\n\n\n\n