EuGH: Urlaub darf nicht zu finanziellen Nachteilen führen
Der Europäische Gerichtshof urteilte zum Thema Arbeits- und Tarifverträge. Diese dürfen […]
Nun ist es soweit: Das Trans-Atlantic Data Privacy Framework – TADPF oder nur kurz DPF – ist da. Doch ist der Einsatz von US-Dienstleistern nun DSGVO-sicher? Was sind die Vor- und Nachteile der neuen Vereinbarung? Diese Frage klären wir in unserem heutigen Artikel!
Das TADPF sollte die Nachfolge des Privacy Shield antreten, das 2020 vom EuGH aufgehoben wurde, und soll als Grundlage für eine sichere Übermittlung personenbezogener Daten in die USA dienen. Es ist kein Gesetz, sondern eine Kombination aus Zusicherungen des Datenschutzes für EU-Bürger und der Feststellung der EU-Kommission, dass diese Zusicherungen ein ausreichendes Datenschutzniveau in Drittländern, so auch in den USA, gewährleisten (so genannter „Angemessenheitsbeschluss“). Es stellt also eine Vereinbarung dar („Agreement“), den die EU-Kommission und das US-Handelsministerium getroffen haben. In dieser Vereinbarung verpflichten sich die USA, ihr Datenschutzniveau zu verbessern und im Gegenzug erklärt die EU-Kommission die Übertragung von Daten in die USA für angemessen.
Die Datenschutzgrundverordnung (DSGVO) verbietet in den Art. 44 – 49 DSGVO die Übermittlung personenbezogener Daten in sog. „Drittländer“. Dazu zählt auch die USA. Eine Ausnahme würde vorliegen, wenn das Datenschutzniveau in dem Drittland DSGVO-konform ist. Das ist es dann, wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, Standardvertragsklauseln vorliegen, Unternehmen sich selbst verbindliche Datenschutzregeln auferlegen („Binding Corporate Rules“), der Datentransfer in das Drittland erforderlich ist, eine Einwilligung vorliegt oder eine Ausnahme des Art. 49 DSGVO greif.
Angemessenheitsbeschlüsse existieren für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. Darüber hinaus hat die EU-Kommisison festgestellt, dass ein angemessenes Datenschutzniveau auch vorliegt, wenn US-Unternehmen erklären, dass sie sich an die DSGVO halten.
Sog. Standardvertragsklauseln sind Musterverträge der EU-Kommission, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Das Besondere ist, dass sie einen Datentransfer nur erlauben, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird. Aber hier steht die berechtigte Frage im Raum, ob eine vertragliche Verpflichtung ausreicht, damit sich Geheimdienste daran halten?
Im Prinzip wurde das „Privacy Shield“ spätestens seit der Wistleblowing-Affaire rund um Edward Snowden in Frage gestellt. Danach hatte sich der EuGH mit vielen Klagen auseinanderzusetzen und erklärte schließlich die Angemessenheitsbeschlüsse 2015 (EuGH, 06.10.2025, Az. C-362/14 „Schrems I“) und 2020 (EuGH, 16.07.2020, Az. C-311/18 „Schrems II“) für unwirksam.
Der größte Vorteil des TADPF ist, dass nicht lediglich eine vertragliche Zusage amerikanischer Unternehmen ist, angemessenen Datenschutz zu gewährleisten, sondern die USA selbst die Befugnisse ihrer Geheimdienste in Bezug auf den Zugriff von Daten von EU-Bürgern begrenzt und gleichzeitig die Rechte der EU-Bürger stärkt.
Rechtstipp: Der US-Präsident Joe Biden hat am 07.10.2022 eine „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ erlassen, was die Rechte der EU-Bürger direkt schützt. So müssen US-Geheimdienste nun den Verhältnismäßigkeitsgrundsatz wahren, es muss ein Beschwerdeverfahren eingerichtet sein („Civil Liberties Protection Officer“) und es muss ein Überprüfungsverfahren stattfinden, was die Entscheidung des Beschwerdeverfahrens unabhängig überprüft.
Zum Zwecke der Verfügung kann folgendes festgehalten werden: „Die USA würden nachrichtendienstliche elektronische Aufklärung und Fernmeldeaufklärung („Signal Intelligence“) betreiben, damit ihre Entscheidungsträger im Bereich der nationalen Sicherheit Zugang zu rechtzeitigen, genauen und aufschlussreichen Informationen haben. Diese seien notwendig, um die nationalen Sicherheitsinteressen der USA zu fördern und ihre Bürger und die Bürger ihrer Verbündeten und Partner vor Schaden zu schützen. Diese „Signals Intelligence“-Fähigkeiten seien ein wichtiger Grund dafür, dass die USA sich an ein dynamisches und herausforderndes Sicherheitsumfeld anpassen können. Auch sollen die USA robuste und technologisch fortschrittliche „Signals Intelligence“-Fähigkeiten erhalten und weiterentwickeln, um ihre eigene Sicherheit und die ihrer Verbündeten und Partner zu schützen. Gleichzeitig erkenne die USA an, dass bei nachrichtendienstlichen Aktivitäten zu berücksichtigen ist, dass alle Personen mit Würde und Respekt behandelt werden sollten, ungeachtet ihrer Nationalität oder ihres Wohnsitzes. Außerdem würde anerkannt, dass alle Personen ein legitimes Interesse an der Wahrung der Privatsphäre im Umgang mit ihren persönlichen Daten haben.“
Kritiker rügen zu recht, dass auch diese Maßnahmen nicht ausreichen können, um ein unzulässiges Eingreifen von US-Geheimdiensten sicherzustellen. Auch die Zusage der USA erscheint für Kritiker wohl eher ungenügend. Auch ist fraglich wie angemessen die Datenschutzmaßnahmen der USA ausgestaltet sind. Darüber hinaus ist auch jedes EU-Land mit der staatlichen Datenschutzbehörde zu selbstständigen Überwachung und Sicherstellung der Durchsetzung des TADPF zuständig. Das kann dazu führen, dass innerhalb der EU unterschiedliche Maßstäbe angesetzt werden.
Rechtstipp: Für die Schweiz, die auch am DPF beteiligt ist, liegt zur Zeit noch kein Angemessenheitsbeschluss des Bundesrates für den Datenschutz vor (Art. 16 Abs. 1 Schweizer DSG). Daher müssen Schweizer Unternehmen auf andere Mechanismen, wie die oben bereits erklärte Standardvertragsklauseln oder die „Bindung Corporate Rules“ zurückgreifen.
Darüber hinaus gibt es auch hier Bedenken, dass das DPF ebenfalls scheitern könnte. Schließlich ist das Rechtsinstitut der Verhältnismäßigkeit in den USA nicht so ausgestaltet, wie nach europäischen Standards. Auch die Praxis der Geheimdienste wird sich nicht allein durch eine Übereinkunft und Selbstbindungserklärung ändern lassen. Darüber hinaus ist in den USA der „Data Protection Review Court“ kein Gericht, sondern untersteht auch hier den Geheimdiensten. Schließlich ist auch die Erklärung Bidens als „Executive Order“ auch „nur“ eine Verordnung und kein Gesetz, das ein parlamentarisches Gesetzgebungsverfahren durchlaufen hat.
Unternehmen, die unter dem TADPF arbeiten, sind grundsätzlich rechtssicher, wenn sie im Einklang mit Art. 45 DSGVO stehen.
Hierzu der Gesetzeswortlaut: „Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses: (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. […]“
Rechtstipp: Unter das DPF fallen u.A. Unternehmen wie Meta, Google, Microsoft, AWS. Diese Unternehmen müssen ein Selbstzertifizierungsverfahren durchlaufen. Wenn sie zertifiziert sind, werden sie auf der Liste des DPF geführt, was auf der Website des DPF zu finden ist.
Der Hinweis auf einen Angemessenheitsbeschluss bei Transfers von Daten in Drittländer gehört gem. Art. 14 Abs. 1 lit. f DSGVO zu den Pflichtangaben in einer Datenschutzerklärung. Daher sollten Sie bei der Angabe der Empfänger Ihrer Datenübermittlungen ebenfalls mitteilen, ob sie in den Anwendungsbereich des von dem Angemessenheitsbeschluss der Kommission, also unter das DPF fallen. Entsprechend den Ergänzung Ihrer Datenschutzerklärung sollten Sie auch Ihr Verzeichnis von Verarbeitungstätigkeiten aktualisieren.
Der Datenschutz-Aktivist Schrems deutet schon jetzt eine erneute Klage an. Er kritisiert u.a. auch, dass die USA den Verhältnismäßigkeitsgrundsatz anders verstehen als wir und die Verletzung der Privatsphäre von Nicht-US-Bürgern kein Problem für die USA sein würde, was die Vergangenheit gezeigt habe.
Die USA loben selbstverständlich das TADPF als „Höhepunkt der jahrelangen engen Zusammenarbeit“ zwischen den USA und der EU.
Jedoch bleibt ein Abkommen zur Vermeidung von Rechtsunsicherheit wichtig. Die Rechtsunsicherheit war in der Vergangenheit einfach zu groß. Dennoch scheint es weiterhin schwierig souveräne Staaten an eine Vereinbarung zu binden, wenn die Vorstellungen von Datenschutz, auch historisch bedingt, unterschiedliche Ansätze verfolgen. Hieran kann auch eine Anweisung bzw. „Verordnung“ des Präsidenten nicht viel ändern. Es ist jedenfalls ein weiterer positiver und begrüßenswerter Ansatz.
Im Ergebnis ist festzuhalten, dass sich die Rechtslage für EU-Bürger grundsätzlich verbessert hat. Die Zusicherung basiert auf dem Angemessenenheitsbeschluss der EU-Kommission. Die beteiligten Länder am TADPF sind die Mitgliedstaaten der EU und die USA. Für Unternehmen aus Deutschland heißt es, dass solange das TADPF in Kraft ist, liegt eine DSGVO-konforme Grundlage für die Übermittlung von Daten in die USA vor. Es ist davon auszugehen, dass zumindest die deutschen Datenschutzbehörden das Datenschutzniveau in den USA weiterhin für unzureichend halten werden. Allerdings müssen Sie keine Bußgelder oder Untersagungen des Einsatzes von US-Anbietern fürchten, sofern diese dem Data Privacy Framework unterfallen. Bei Unsicherheiten hierzu beraten wir Sie gern!
Fest steht, dass das DPF noch einige Verbesserungen und Klarstellungen bedarf. Auch ist grundsätzlich davon auszugehen, dass auch der EuGH die Rechtssicherheit des TADPF bestätigen wird. Sollte es dennoch für unwirksam erklärt werden, könnten Unternehmen, die Daten zwischen der EU und den USA übertragen, in eine rechtliche Grauzone geraten. Sie müssten erneut nach alternativen Mechanismen suchen, um die Rechtmäßigkeit ihrer Datentransfers zu gewährleisten. Hierzu stehen wir Ihnen schnell und unkompliziert mit unserem im Datenschutzrecht spezialisierten Team zur Verfügung und beraten Sie dazu gern. Melden Sie sich bei uns!
Unser Tipp: Wenn sie absolut rechtssicher vorgehen möchten, dann sollten Sie nur Dienstleister und Dienste einsetzen, die Ihre Daten in der EU speichern und nicht gegenüber den US-Geheimdiensten zur Gewährung eines Datenzugangs verpflichtet sind.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORDer Europäische Gerichtshof urteilte zum Thema Arbeits- und Tarifverträge. Diese dürfen […]
Reisende, die Flüge verschieben mussten oder deren Flüge ausgefallen oder verspätet […]
Nachdem am 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) anwendbar wurde hatten […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke
Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.
Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.