Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für den Transatlantischen Datenschutzrahmen (Trans-Atlantic Data Privacy Framework TADPF oder nur DPF) angenommen. Damit ist das DPF der zweite Nachfolger des durch das Schrems-I Urteil ausgesetzte Safe Harbor Abkommen 2015 und dessen Nachfolger Privacy Shield, dass mit dem Schrems-II Urteil 2020 für ungültig erklärt wurde.
Endlich wieder Rechtssicherheit und keiner spricht darüber
Seit der EuGH im Juli 2020 das Privacy Shield kippte, da das Datenschutzniveau in den USA seiner Einschätzung nach nicht den EU-Standards entsprach, trat eine große Rechtsunsicherheit bei europäischen Unternehmen auf. Um die fehlende Rechtsgrundlage für die Übermittlung wiederherzustellen, wurden neue Standardvertragsklauseln (Standard Contractual Clauses - SCC) verabschiedet, die ab 27.09.2021 den Datenschutz bei transatlantischen Verarbeitungen regelten.
Die SCCs verpflichteten verantwortliche Stellen in Klausel 14 zu einer Daten Transfer Folgenabschätzung (Transfer Impact Assessment - TIA). Damit sollte sichergestellt werden, dass der Datenimporteur sich an die neuen Standardvertragsklauseln halten kann, ohne dass gesetzliche Zugriffsrechte im Drittland ihn daran hindern, wie beispielsweise der US Cloudact. Was sich als TIA lapidar anhört, beinhaltete einen umfangreichen Prüfkatalog mit entsprechender Dokumentation:
- die besonderen Umstände der Übermittlung
- die Länge der Verarbeitungskette
- die Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle
- beabsichtigte Datenweiterleitungen
- die Art des Empfängers
- den Zweck der Verarbeitung
- die Kategorien und das Format der übermittelten personenbezogenen Daten
- den Wirtschaftszweig, in dem die Übertragung erfolgt
- den Speicherort der übermittelten Daten,
- die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten)
- die geltenden Beschränkungen und Garantien
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden
…und jetzt wird von der EU ein Angemessenheitsbeschluss bescheinigt und Datenübermittlungen in die USA sind datenschutzkonform und rechtssicher? Fast.
Prüfung auf notwendige Zertifizierung von US-Unternehmen
US---Unternehmen müssen sich zertifizieren, um sich auf das DPF berufen zu können. Wurde diese Zertifizierung durchgeführt, erfolgt ein Eintrag auf der Data Privacy Framework Webseite. Als EU-Unternehmen müssen Sie also prüfen, ob der gewünschte US-Dienstleister gelistet ist.
Blick in die Kristallkugel
Viele gehen davon aus, dass der aktuelle Angemessenheitsbeschluss durch ein Schrems-III Urteil vor dem EuGH wieder für ungültig erklärt wird. Es macht auf jeden Fall Sinn, bei der Auswahl von Dienstleistern europäische Anbieter in die engere Auswahl mit einzubeziehen. Fällt die Entscheidung auf einen US-Anbieter, sollten technische und organisatorische Maßnahmen bestehen, die einer TIA standhalten.
Dieses Damoklesschwert einer erneuten Anfechtung wird auch der Grund dafür sein, dass der Angemessenheitsbeschluss nicht in der Sichtbarkeit durch die Medien ging, wie das für ein Abkommen dieser Tragweite erwartet worden wäre.