Trans-Atlantic Data Privacy Framework: was Unternehmen jetzt wissen müssen

Das neue Trans-Atlantic Data Privacy Framework ist nicht der erste Versuch, den Datentransfer zwischen der EU und den USA als sicher einzustufen und zu vereinfachen. Zunächst gab es ab dem Jahr 2000 die sogenannten „Safe-Harbor-Regeln”: Sie erlaubten unter bestimmten Umständen die Weiterverarbeitung von sensiblen Daten aus der EU in den USA. Nach den Aufdeckungen des US-amerikanisch-russischen Whistleblowers Edward Snowden im Jahr 2013 reichte der österreichische Datenschutzaktivist Maximilian Schrems Klage gegen das Safe-Harbor-Abkommen ein – und bekam 2015 vom Europäischen Gerichtshof (EuGH) Recht.

Im Nachgang zu den Safe-Harbor-Regeln entwickelte die EU das sogenannte „Privacy Shield”. Die Grundlage hierfür bilden Zugeständnisse der USA: Das dortige Datenschutzniveau sollte angehoben werden, um sich für den sicheren Datentransfer aus der EU zu qualifizieren. Datenschützer:innen hatten jedoch weiterhin Zweifel und klagten erneut – wieder mit Erfolg: 2020 stellte der EuGH fest, dass europäische Daten in den USA noch immer nicht ausreichend geschützt wurden, und kippte das Privacy-Shield-Abkommen. Ebenso bei dieser Klage wirkte Maximilian Schrems maßgeblich mit. Daher wird das Urteil zur Aufhebung des Privacy Shields auch als Schrems-II-Urteil bezeichnet.

In einem dritten Anlauf haben die USA das Schutzniveau für Daten aus der EU weiter angehoben. Die Europäische Kommission zeigte sich damit einverstanden und nahm im Juli 2023 den sogenannten Angemessenheitsbeschluss zur DSGVO an. Dieser dient seitdem als Grundlage für die Übermittlung von Daten an zertifizierte Organisationen in den USA. Alternative Lösungen wie Standardvertragsklauseln (SCCs) sind nicht mehr notwendig – zumindest wenn das Abkommen Bestand hat.

Das Trans-Atlantic Data Privacy Framework (zu Deutsch EU-US-Datenschutzrahmen) enthält Regeln für den Transfer personenbezogener Daten aus der EU in die USA. Die Reglements sollen sicherstellen, dass die Datenverarbeitung mit einem vergleichbar hohen Datenschutzniveau wie durch die DSGVO stattfindet. Das Abkommen bescheinigt den USA dieses Niveau, wodurch zusätzliche Datenschutzgarantien wie zum Beispiel Standardvertragsklauseln (SCCs) nicht mehr nötig sind – derzeit zumindest.

Doch was genau hat sich verändert seit dem gescheiterten Privacy Shield? Die USA haben der EU gegenüber einige Zugeständnisse in Sachen Datenschutz gemacht:

Während die US-Regierung und die Europäische Kommission große Zufriedenheit mit dem Ergebnis ihrer Verhandlungen und Maßnahmen vermitteln, sind Datenschützer:innen weniger optimistisch. In Deutschland äußerten mehrere Landesdatenschutzbeauftragte die Befürchtung, dass nach „Safe Harbor” und „Privacy Shield” auch das Trans-Atlantic Data Privacy Framework keinen Bestand vor dem EuGH haben wird. Daher kann nach wie vor keine Entwarnung für Datenübermittlungen in die USA gegeben werden – Unternehmen sollten sich nicht langfristig auf das Regelwerk verlassen.

In dieselbe Richtung schlugen die Reaktionen zahlreicher Datenschutzaktivist:innen. Allen voran kündigte Maximilian Schrems an, gegen das neue Regelwerk zu klagen. Seiner Meinung nach erfüllt es nicht die Voraussetzungen zur Einhaltung der Datenschutzvorgaben aus der DSGVO.

Unternehmen und Verbände hingegen bekundeten Erleichterung darüber, nun Rechtssicherheit für den Datentransfer in die USA zu haben. Diese optimistische Stimmung würde durch eine Aufhebung des Frameworks durch den EuGH wieder zunichtegemacht werden – denn: Was die Wirtschaft vor allem herbeisehnt, ist eine langfristige, rechtssichere Lösung für Datentransfers in die USA.

In den USA sind viele Unternehmen angesiedelt, die wichtige Dienstleistungen und Technologien anbieten. Daher ist es für Unternehmen gut zu wissen, dass personenbezogene Daten auch unabhängig von dem Trans-Atlantic Data Privacy Framework Framework in die Vereinigten Staaten übermittelt werden können. Dazu müssen sie geeignete Garantien im Sinne von Art. 46 der DSGVO bieten.

Dieser DSGVO-Artikel mit dem Titel „Datenübermittlung vorbehaltlich geeigneter Garantien“ hält unter anderem fest: „Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.“

Einen Anhaltspunkt dafür, welche Garantien gegeben sein müssen, stellen die Standardvertragsklauseln für die USA dar. Diese regelten in den letzten Jahren den Datentransfer. Das Vertragsmuster wurde von der Europäischen Kommission verabschiedet, weshalb sich Unternehmen darauf verlassen können.

Die erhoffte endgültige Lösung für Datentransfers in die USA ist das Trans-Atlantic Data Privacy Framework nicht – da sind sich Behörden und Datenschutzaktivist:innen einig. Auf langfristige Klarheit müssen Unternehmen also noch warten. Allerdings gibt es alternative Wege, um ein hohes Datenschutzniveau zu gewährleisten, allen voran die SCCs der Europäischen Kommission, die schon seit der Aufhebung des Privacy Shields und bis zum Angemessenheitsbeschluss der Kommission galten. Um beim Datenschutz stets die Compliance zu erfüllen und immer auf dem aktuellen rechtlichen Stand zu sein, können Unternehmen zudem auf unsere Softwarelösung zurückgreifen.

Dennis Kurpierz

Co-Founder & COO von caralegal

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.