Am 10.7.2023 wurde von der EU ein neuer Angemessenheitsbeschluss mit dem sperrigen Namen Trans-Atlantic Data Privacy Framework (kurz: TADPF) erlassen.

Der lang ersehnte Nachfolger des Privacy Shield und Safe Harbour Abkommens bietet nun damit im dritten Anlauf wieder eine rechtliche Grundlage, Daten sicher in die USA zu übermitteln.

Was genau das für die Praxis bedeutet, was genau im TADPF steckt, und ob das jetzt ein Freifahrtsschein für die Nutzung von US-Tools ist, erfährst du in diesem Artikel.

Hier kannst du das offizielle Merkblatt der EU Commission herunterladen:

Was hat sich seit dem 10.7.2023 geändert?

Der neue Angemessenheitsbeschluss hat konkrete Auswirkungen auf die Praxis:

Datenübermittlungen in die USA gemäß Artikel 45 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) sind nun ohne besondere Genehmigungen und auf Basis allgemeiner Prinzipien erlaubt. Insbesondere lohnt es sich zu erwähnen, dass die USA aus datenschutzrechtlicher Sicht nicht mehr als unsicheres Drittland gelten.

Was steckt hinter dem Trans-Atlantic Data Privacy Framework?

Das TAPDF wurde entwickelt, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten, die zwischen der EU und den USA ausgetauscht werden. Mit dem Inkrafttreten des neuen Angemessenheitsbeschlusses am 10.7.2023 wurde nun erneut (nach Privacy Shield und Safe Harbour) eine Rechtsgrundlage geschaffen, die den Anforderungen des Datenschutzes und der Privatsphäre sowohl in der EU, als auch in den USA gerecht wird - zumindest erstmal auf dem Papier.

Basis für das Framework ist die EU- Datenschutzgrundverordnung (DSGVO). Es beinhaltet Verpflichtungen und Sicherheitsmaßnahmen für Unternehmen, die personenbezogene Daten über den Atlantik übertragen wollen.

Oder einfach formuliert: Durch eine Zertifizierung nach TAPDF können Unternehmen jetzt formell sicherstellen, dass sie den hohen Datenschutzstandards der EU entsprechen.

Zertifizierungen von US-Unternehmen erforderlich

Damit wir im konkreten Nutzungsfall (z. B. bei Verwendung von US-Tools in der EU) auf das TADPF stützen können, müssen die US-Anbiete einen Selbstzertifizierungsprozess auf Basis des Angemessenheitsbeschlusses durchlaufen, um Teil des Frameworks zu werden.

Nach aktuellem Stand (12.7.) hat diese Zertifizierung bisher jedoch kein Unternehmen erhalten. Solange das nicht vorliegt, müssen wir bei der Rechtfertigung von Datenübertragungen in die USA weiterhin auf Standardvertragsklauseln der Anbieter setzen, und diese in den Datenschutzerklärungen erwähnen. Voraussichtlich ab dem 17.7. werden die zertifizierten Unternehmen hier ersichtlich sein:

Tipp: Auch, wenn eine Zertifizierung vorliegt, sollten die Standardvertragsklauseln ggf. als “Rückfall-Option” in den AVVs weiterhin verwendet werden, da vermutlich niemand in der Lage sein wird, die Auswirkungen auf die Vertragsgestaltung im Detail zu bewerten. Außerdem ist das eine gute Fallback Option, um im Falle einer künftigen Unwirksamkeit des TADPF weiterhin “abgesichert” zu sein. Warum das nicht unrealistisch ist, liest du weiter unten.

Privacy Shield, Safe Harbour und Schrems II: Warum die bisherigen Abkommen gescheitert sind

Als Grundlage für die „Schrems II“-Entscheidung des EuGH wurden damals die Überwachungsgesetze der USA genannt. Diese waren aus zweifacher Sicht nicht mit den Datenschutzgrundsätzen der EU vereinbar:

1. Die Zugriffsmöglichkeiten der US-Nachrichtendienste stehen im Widerspruch zu den europäischen Datenschutzanforderungen. Die Überwachungsmethoden der USA unterliegen keiner richterlichen Überprüfung und sind nicht auf ein angemessenes Maß beschränkt.
2. Der Rechtsschutz für Betroffene war unzureichend. Die Gesetze, die den US-amerikanischen Geheimdiensten erlauben, Verbraucher zu überwachen, sehen nur Rechte für US-Bürger vor, um diese Maßnahmen überprüfen zu lassen. Ein Schutz für EU-Bürger gegenüber Geheimdiensten war nicht vorgesehen.

Das Trans-Atlantic Data Privacy Framework soll jetzt genau diese Überwachungsmöglichkeiten stark einschränken. Die wichtigsten Änderungen innerhalb des Frameworks umfassen:

• Ein Rechtsbehelfsverfahren für EU-Bürger. Ein Teil davon wird ein unabhängiges Datenschutzgericht sein, das aus Personen besteht, die nicht der US-Regierung angehören und uneingeschränkte Befugnisse haben, über Klagen zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen.
• Ein neues Verfahren für US-Geheimdienste, das eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten sicherstellen soll.

Es gibt jetzt also

• klarere Regeln für Unternehmen hinsichtlich des Umgangs mit personenbezogenen Daten,
• das Recht von Einzelpersonen, auf ihre Daten zuzugreifen und diese zu korrigieren,
• sowie die Erfüllung der Rechenschaftspflicht durch unabhängige Kontrollinstanzen.

Der Angemessenheitsbeschluss des TAPDFs stellt damit zumindest offiziell sicher, dass personenbezogene Daten zwischen der EU und den USA auf eine rechtskonforme und datenschutzfreundliche Weise übertragen werden können.

Was bedeutet das für uns als Unternehmer:innen?

Besonders relevant ist die neue Rechtslage für alle, die US-Tools oder andere Tools nutzen, die auf ein US-Infrastuktur setzen (wie AWS, Google oder Cloudflare). Defacto betrifft das also einen sehr großen Teil der Tools, die auch bei vielen Selbstständigen und kleinen Unternehmen im Einsatz sind, auch in Deutschland.

Für die Nutzung dieser Tools ist weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich (z. B. Einwilligung, berechtigtes Interesse, Erforderlichkeit für Vertragserfüllung etc.).

Kein Freifahrtsschein

Selbst, wenn eine Rechtsgrundlage vorliegt, müssen Unternehmen und Organisationen sicherstellen, dass die Datenverarbeitung in Übereinstimmung mit den Grundsätzen der DSGVO erfolgt. Hierzu zählen unter anderem Transparenz, Zweckbindung und Datensparsamkeit.

Auch in Zukunft empfiehlt es sich daher immer wieder kritisch zu hinterfragen, ob bestimmte Tools wirklich notwendig sind oder ob nicht alternative Lösungen aus der EU verwendet werden können. Ob für E-Mail Marketing, Shopsysteme oder andere Kategorien, es gibt viele gute SaaS Alternativen aus der EU. Eine gute Lösung können auch Open Source Tools sein, die einfach selbst (in Deutschland) gehostet werden können.

Weiterhin empfehle ich darauf zu achten, dass die Datenschutzrichtlinien von verwendeten Tools regelmäßig überprüft und Mitarbeiter entsprechend geschult werden. Ein Bewusstsein für Datenschutz sollte in jedem Unternehmen etabliert werden. Wer es sich leisten kann, sollte im besten Fall auf einen externen Datenschutzbeauftragten setzen.

Wie langfristig können wir mit dem aktuellen Gesetz planen?

Eine langfristige Lösung dürfte auch der aktuelle Angemessenheitsbeschluss nicht sein.

Aus dem Europäischen Zentrum für Digitale Rechte NOYB heißt es:

Overall the new "Trans-Atlantic Data Privacy Framework" is a copy of Privacy Shield (from 2016), which in turn was a copy of "Safe Harbor" (from 2000). Given that this approach has failed twice before, there was no legal basis for the change of course - the only logic of having a deal was political.

Max Schrems, Vorsitzender des NOYB sagt konkret:

They say the definition of insanity is doing the same thing over and over again and expecting a different result. Just like 'Privacy Shield' the latest deal is not based on material changes, but by political interests. Once again the current Commission seems to think that the mess will be the next Commission's problem. FISA 702 needs to be prolonged by the US this year, but with the announcement of the new deal the EU has lost any power to get a reform of FISA 702.

Schrems argumentiert, dass die USA nach wie vor kein ausreichendes Datenschutzniveau bieten und europäische Daten auch weiterhin von US-Geheimdiensten abgegriffen werden könnten.

Schrems ist bekannt dafür, sich für den Schutz der Privatsphäre im Internet einzusetzen - er hatte bereits zuvor erfolgreich gegen das Safe-Harbor-Abkommen geklagt. Es bleibt also abzuwarten, ob der Angemessenheitsbeschluss tatsächlich Bestand haben wird oder bald ebenfalls wieder in sich zusammenfällt.

Die Entscheidungen des EuGH vom vergangenen Jahr (Bußgelder, hier im GDPR Enforcement Tracker) haben gezeigt, dass das Thema Datenschutz in Europa sehr ernst genommen wird und es immer wieder zu Veränderungen kommen kann.

Als Online Business empfehle ich daher weiterhin vorsichtig bei der Auswahl von US-Tools sein und zumindest einen Plan B in der Schublade zu haben, sollte eine lokale Datenschutzbehörde versuchen, die Rechte durchzusetzen. Das kann auch ganz kleine Unternehmen treffen, wie mein Fall (Bußgeld Androhung wegen Shopify Nutzung) gezeigt hat.