Was sind die neuesten Entwicklungen?
Seit dem 10.7.2023 gilt das neue Trans-Atlantic Data Privacy Framework, das den Datenaustausch zwischen der Europäischen Union und den USA regelt. Mit TADPF wollen beide Seiten das im Jahre 2020 vom EUGH beanstandete und damit nicht anwendbar gewordene US Privacy Shield durch eine neue Regelung ersetzen.
Seit 2020 mussten Unternehmen in der EU, die Daten in die USA übertragen wollten, andere Methoden verwenden, um die Datenübertragung im Sinne der DSGVO zulässig durchführen zu können. In den vielen Fällen wurde auf Standardvertragsklauseln zurückgegriffen.
Was ist der Kern des Problems?
Die EU und USA haben unterschiedliche Auffassungen über den Datenschutz. Die EU stuft den Schutz der Nutzerin oder des Nutzers höher ein und sieht mehr Schranken bei der kommerziellen Verwertung von Daten. Auch die Auswertung durch US-Geheimdienste wird auf EU-Seite kritischer gesehen. Der EUGH hat dabei immer wieder Vereinbarungen, die die EU-Kommission mit den USA getroffen hat, als nicht ausreichend angesehen. Das TADPF ist nun der aktuelle Versuch, eine für beide Seiten akzeptable Lösung zu finden. Die USA haben durch eine Executive Order von Präsident Joe Biden den Schutz der Daten von EU-Bürgern erhöht und die EU-Kommission hat durch einen Angemessenheitsbeschluss festgelegt, dass die Übertragung von Daten an US-Unternehmen, die dem TDAPF beigetreten sind, möglich ist, da diese Unternehmen die Anforderungen für ein ausreichendes Schutzniveau erfüllen.
Was bedeutet das für die Praxis?
Für EU-Unternehmen wird es einfacher, Daten in die USA zu übertragen. Zwar sollten Übertragungen an Unternehmen in den USA immer noch individuell beurteilt werden. Sind diese aber bereits dem neuen TADPF beigetreten und erfüllen die entsprechenden Auflagen, so fällt eine positive Argumentation wesentlich leichter. Auch steht es zu erwarten, dass zunächst das neue Verfahren und der Beschluss der EU diskutiert und beurteilt werden, bevor wieder Bußgelder eine Rolle spielen.
Zertifizierte externe Datenschutzbeauftragte ab 99 EUR* im Monat!
Was muss ich jetzt tun?
Für bestehende Datenübertragen in die USA sollten das Verzeichnis der Verarbeitungstätigkeiten und auch die Informationspflichten z.B. in der Datenschutzerklärung angepasst werden. Unser Datenschutzmanagementsystem ist bereits auf die Änderungen vorbereitet. Bei neu geplanten Verträgen mit Unternehmen aus den USA sollte die neue Situation in die Beurteilung einfließen, bevor eine Übertragung der Daten aufgenommen wird.
Ist die neue Regelung von Dauer?
Die Regelung wurde unbefristet getroffen, jedoch gibt es in der EU bei Datenschützer*innen und anderen betroffenen Organisationen auch Kritikpunkte an dem Kompromiss, so dass nicht auszuschließen ist, dass der EUGH erneut darüber entscheiden muss. Auch ist das Entgegenkommen der USA auf eine Entscheidung des Präsidenten gestützt und nicht durch ein Gesetzgebungsverfahren des Parlamentes abgesichert. Nach den nächsten Wahlen in den USA könnte sich die Lage durch einen anderen Präsidenten wieder ändern. Auch lässt sich derzeit noch nicht sagen, wie deutsche Stellen die neue Situation zukünftig beurteilen werden.
*Das Angebot richtet sich an Unternehmen, Selbständige und Freiberufler*innen in Deutschland und nicht an Verbraucher*innen. Alle angegebenen Preise sind zuzüglich der jeweils gültigen Umsatzsteuer. Es gelten detaillierte Vertragsbedingungen, die wir Ihnen mit unserem Angebot zusenden.
Der Inhalt dieses Beitrags wurde von uns sorgfältig aus öffentlichen Quellen und bekannten Einschätzungen zusammengestellt. Es sollten keine Entscheidungen allein auf Basis der Informationen in diesem Text getroffen werden. Er stellt auch keine Rechtsberatung dar und kann eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.