Lesezeit: 3 Minuten –
Ist die Zusammenarbeit mit US-amerikanischen Dienstleistern nun wieder möglich?
Rückblick:
Am 16.07.2020 erklärte das EUGH das bisherige Abkommen zwischen der EU und der US-Handelskommission, das Privacy Shield Abkommen, für unwirksam. Seither war die Zusammenarbeit mit US-amerikanischen Unternehmen bzw. die Weiterleitung von personenbezogene Daten in die USA nicht mehr rechtskonform. In diesem Beitrag hatte ich ausführlich darüber berichtet: EUGH erklärt das Privacy Shield Abkommen für unwirksam.
Im Dezember 22 gab dann die EU bekannt, dass ein Angemessenheitsbeschluss vorgelegt wurde und man mit einem neuen Abkommen bis zum Juli 2023 rechnet.
Am 10.07.2023 war es nun tatsächlich so weit: das Trans-Atlantic Data Privacy Framework (TADPF) ist in Kraft getreten. Die USA verpflichten sich darin, ihr Datenschutzniveau zu verbessern und die EU-Kommission erklärt im Gegenzug, den Transfer von personenbezogenen Daten in die USA wieder für angemessen ist.
Disclaimer: Der Inhalt dieses Beitrages stellt keine Rechtsberatung dar. Er ist lediglich das Ergebnis meiner Recherchearbeit. Für hundertprozentige Rechtssicherheit wenden Sie sich bitte an einen Fachanwalt. Da ich keine Rechtsanwältin bin, kann und darf ich für den Inhalt dieses Beitrages keine Haftung übernehmen.
Wann ist der Transfer von personenbezogenen Daten erlaubt?
Die DSGVO untersagt grundsätzlich den Transfer von personenbezogenen Daten in Drittländer. Außer:
- es handelt sich um ein sicheres Drittland oder
- das entsprechende Unternehmen bietet Standardvertragsklauseln oder
- es besteht die Einwilligung zum Transfer.
Seit das Privacy Shield Abkommen in 2020 für unwirksam erklärt wurde, galten die USA nicht mehr als sicheres Drittland.
Ist das TADPF besser als das Privacy Shield?
Einer der Gründe, warum die beiden Vorgänger vom TADPF vor dem EUGH nicht Stand gehalten hatten, war, dass die Geheimdienste in den USA Zugriff auf die personenbezogenen Daten von EU Bürgern hatten. Unabhängig davon, ob oder welches Abkommen gerade gültig war. Dies wurde nun verbessert und im TADPF sind die Rechte der Geheimdienste in Bezug auf die personenbezogenen Daten von EU Bürgern begrenzt worden.
Ob dies aber auch für die Zukunft reichen wird, ist noch nicht sicher. Es besteht die Möglichkeit, dass das EUGH in den nächsten Jahren auch das TADPF für unwirksam erklären wird. Max Schrem äußerte bereits Kritik an dem Abkommen und man rechnet damit, dass auch die deutschen Datenschutzbehörden das Abkommen für unzureichend erklären werden.
Unter welchen Bedingungen ist die Zusammenarbeit mit US-amerikanischen Dienstleistern möglich?
Das Abkommen ist unterzeichnet, jetzt müssen US-Unternehmen, die sich auf das Abkommen berufen möchten, noch ein Zertifizierungsverfahren durchlaufen. In einer Datenbank werden dann die zertifizierten Unternehmen erfasst, so wie damals beim Privacy Shield Abkommen. Unternehmen, wie Google, Meta oder Microsoft werden sicherlich dieses Verfahren durchlaufen.
Für uns europäische Unternehmen heißt das also, zuerst prüfen, ob der amerikanische Dienstleister in der Datenbank steht. Wenn ja, ist vorerst wohl nicht mit Problemen bei der Zusammenarbeit zu rechnen.
Im letzten Schritt muss noch die Datenschutzerklärung der eigenen Website angepasst werden. Aktuell berufen sich die meisten US-Unternehmen auf die Standardvertragsklauseln.
Umfangreiche Informationen zu diesem Thema finden Sie hier: https://datenschutz-generator.de/data-privacy-framework/
Fazit:
Es bleibt spannend. Ich rechne aber damit, dass in den kommenden 1-3 Jahren das EUGH auch diesem Abkommen wieder den Riegel vorschieben wird. Wem dies zu unsicher ist, sollte auf europäische Dienstleistern umsteigen. Hier ist gewährleistet, dass alle mit den gleichen Rechtsgrundlagen arbeiten.
——