Wo liegt das Problem?

Es gibt seit langem Kritik, dass das Datenschutz-Niveau der USA nicht dem der EU entspricht. Der ursprüngliche Angemessenheitsbeschluss zwischen der EU und den USA, um die Angemessenheit dennoch festzustellen („Safe Harbor“) wurde 2015 durch den Europäischen Gerichtshof für unwirksam erklärt. Das Folgeabkommen „Privacy Shield“ wurde vom Europäischen Gerichtshof 2020 gekippt. 

Als problematisch wird vor allem das US-amerikanische Gesetz „FISA 702“ angesehen. Es erlaubt US-amerikanischen Nachrichtendiensten Zugriff auf personenbezogenen Daten. Laut EuGH boten die gekippten Abkommen keinen ausreichenden Schutz davor, dass nicht auch Daten von EU-Bürgerinnen und Bürger in dieser Weise hätten verarbeitet werden können. Gegen beide Abkommen klagte die österreichische Organisation "NOYB" (none of your business) von Max Schrems, weswegen die Urteile als „Schrems I“ und „Schrems II“ bekannt wurden.

Nach dem Schrems II-Urteil galt das Datenschutzniveau in den USA als unzureichend. Damit war eine Datenübermittlung in die USA und somit die Nutzung von Dienstleistern mit Sitz in den USA mit großen Unsicherheiten verbunden. Dies betraf auch die in der EU verbreiteten Services von Unternehmen wie Microsoft, Google, Zoom & Co. 

Das Trans-Atlantic Data Privacy Framework

Die Europäische Kommission hat am 10.07.2023 einen neuen Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Die neue Vereinbarung nennt sich „Trans-Atlantic Data Privacy Framework“ (TADPF) und kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.

Quelle: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html

Was bedeutet das? 

Die EU-Kommission hat im TADPF festgestellt, dass ein angemessenes Datenschutzniveau auch für US-Unternehmen besteht, die ein bestimmtes (Selbst)zertifizierungsverfahren durchlaufen.

https://www.privacyshield.gov/welcome

Sind wir jetzt sicher? 

Nein. Die alleinige Selbstzertifizierung der US-Unternehmen macht eine Nutzung der Dienste aus datenschutzrechtlicher Sicht zwar einfacher, dennoch befreit sie europäische Unternehmen nicht von den allgemeinen datenschutzrechtlichen Verpflichtungen. Weiterhin müssen die entsprechenden Verarbeitungen dokumentiert werden und ggf. auch besondere Maßnahmen zur Datensicherung durchgeführt werden.  

Was nun? 

Das Risiko der Nutzung von Diensten mit Sitz in den USA ist durch das neue Abkommen aus datenschutzrechtlicher Sicht zunächst reduziert. Allerdings gibt es bereits neue Bedenken, dass auch der neuen Angemessenheitsbeschlusses einer rechtlichen Prüfung nicht standhält. Datenschützende halten die Maßnahmen weiterhin für unzureichend und die Organisation NOYB arbeitet bereits an einer Klagen gegen das neue Abkommen (https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu).

Es besteht durchaus die Möglichkeit, dass auch das TADPF in den nächsten 3-5 Jahren vom Europäischen Gerichtshof wieder für unwirksam erklärt wird.