3 Min

Das Transatlantic Data Privacy Framework: Bedeutung für EU-Unternehmen

Mit dem neuen Transatlantic Data Privacy Framework (auch als Transatlantischer Datenschutzrahmenvertrag bekannt) soll die Datenübermittlung in die USA vereinfacht – und das Datenschutzniveau für Betroffene verbessert werden.  

Wir erklären, was es mit dem Transatlantischen Datenschutzrahmenvertrag auf sich hat und welche Änderungen sich daraus für Unternehmen ergeben könnten.

Das Wichtigste in Kürze

  • Seit Juli 2020 erklärte der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (das sog. EU-US-Privacy-Schield-Abkommen) für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Unternehmen seitdem bedeutend komplizierter gestaltet.
  • Unternehmen müssen für einen datenschutzkonformen Datentransfer aktuell Standardvertragsklauseln mit ihren Vertragspartnern in den USA abschließen.
  • Einer der Hauptgründe für die Entscheidung des EuGH waren allerdings die nationalen Sicherheitsgesetze der USA.
  • Standardvertragsklauseln können nichts daran ändern, dass Sicherheitsbehörden/ Nachrichtendienste in den USA weiter Zugriff auf die Daten von EU-Bürgern haben.
  • Genau diese Überwachungsmöglichkeiten sollen durch das Transatlantic Data Privacy Framework stark eingeschränkt werden.
  • Noch handelt es sich bei dem neuen Abkommen um kein rechtlich verbindliches Dokument und es ist unklar, ob das finale Dokument den datenschutzrechtlichen Anforderungen der EU genügen wird.
  • Falls das Abkommen umgesetzt wird wie geplant, wären Betroffene in der EU besser geschützt und Unternehmen könnten fortan auf Standardvertragsklauseln verzichten.

Ein kurzer Ausflug in die Geschichte des Datentransfers in die USA

Bis zum Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das in der EU. Das änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.

Am 16. Juli 2020 erklärte der EuGH den bis dahin bestehenden Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (das sog. EU-US-Privacy-Shield-Abkommen) für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Unternehmen bedeutend komplizierter gestaltet.

Mehr Informationen zum Thema Schrems II finden Sie hier:


 

 

Was ist das neue Transatlantic Data Privacy Framework?

Das Transatlantic Data Privacy Framework ist ein neues Abkommen zwischen den USA und der EU. Ziel ist es, das Datenschutzniveau der USA weit genug anzuheben, um diese wieder als sicheres Drittland einstufen zu können. Das Abkommen ist das Ergebnis langer Verhandlungen zwischen der Europäischen Kommission und den USA. Am 25. März 2022 gaben beide Seiten gemeinsam bekannt:

„Die Europäische Kommission und die Vereinigten Staaten geben bekannt, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben, mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten  Bedenken ausgeräumt werden.“

Was zunächst sehr vielversprechend klingt, ist jedoch noch keine beschlossene Sache. Denn bisher existiert das Transatlantic Data Privacy Framework nicht als rechtlich verbindliches Dokument.

Was sind dir wichtigsten Inhalte des neuen Abkommens?

Maßgeblich für die „Schrems II“-Entscheidung des EuGH waren die Überwachungsgesetzte der USA. Diese sind gleich aus zweierlei Gründen nicht mit den Datenschutzgrundsätzen der EU vereinbar:

  1. Die Zugriffsmöglichkeiten der US-Nachrichtendienste widersprechen den europäischen Datenschutzanforderungen: Die Überwachungsmethoden der USA unterliegen keiner richterlichen Kontrolle und sind nicht auf das zwingend erforderliche Maß beschränkt. 
  1. Der Rechtsschutz für Betroffene ist unzureichend: Die Gesetze, welche den US-amerikanischen Geheimdiensten gestatten, Verbraucher zu überwachen, sehen nur Rechte für US-Bürger vor, diese Maßnahmen überprüfen zu lassen. Ein Schutz für Unionsbürger gegenüber Geheimdiensten sieht das US-Recht nicht vor.

Und genau diese Überwachungsmöglichkeiten sollen durch das Transatlantic Data Privacy Framework stark eingeschränkt werden.

Die wichtigsten Änderungen im Rahmen des Transatlantic Data Privacy Frameworks:

  • EU-Bürgern soll künftig ein neues Rechtsbehelfsverfahren zur Verfügung gestellt werden. Teil dessen soll ein unabhängiges Datenschutzgericht sein, das sich aus Personen zusammensetzt, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Klagen zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen.
  • Die US-Geheimdienste sollen Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten

Noch ist unklar, ob das finale Dokument den datenschutzrechtlichen Anforderungen der EU genügen wird. Es gibt für die Übersetzung des Abkommens in nationale Rechtstexte außerdem noch keine Timeline. Nach unserer Einschätzung ist damit frühestens bis Ende des Jahres zu rechnen.

Was verändert das Transatlantic Data Privacy Framework am transatlantischen Datenaustausch?

Aktuell gestaltet sich eine rechtssichere Datenübermittlung personenbezogener Daten in die USA sehr kompliziert. Unternehmen sind meist gezwungen auf zwei der folgenden Möglichkeiten zurückzugreifen:

  1. Standardvertragsklauseln (SCC) als mögliche Garantie für die Datenübermittlung in die USA. Die Europäische Kommission hat als Reaktion auf das EuGH Urteil Schrems II die Standardvertragsklauseln angepasst und am 4. Juni 2021 die neue Version veröffentlicht. Werden die SCC von beiden Vertragsparteien akzeptiert, ist keine weitere Genehmigung durch die Behörden nötig.
  2. Binding Corporate Rules (BCR) für den internationalen Datentransfer innerhalb einer Konzerngruppe: Konzerngruppen haben die Möglichkeit, verbindliche interne Datenschutzrichtlinien zu formulieren. Diese sogenannten Binding Corporate Rules müssen dann behördlich genehmigt werden. Nur die wenigsten unternehmen haben die Kapazitäten und Ressourcen von dieser Option Gebrauch zu machen.

Das Problem: Auch SCC und BCR können nichts daran ändern, dass Sicherheitsbehörden in den USA weiter Zugriff auf die Daten von EU-Bürgern haben. Das neue Transatlantic Data Privacy Framework beabsichtigt, dass die USA hier die national erforderlichen Schritte zum Datenschutz ergreifen.

Falls die Vorlage genauso umgesetzt wird wie geplant, wären Betroffene in der EU besser geschützt als bisher. Und Unternehmen könnten sich wieder auf einen Angemessenheitsbeschluss verlassen und auf SCC, BCR oder andere Garantien verzichten.

So geht es weiter

Die Ausarbeitung eines rechtsverbindlichen Dokumentes, mit dem beide Parteien zufrieden sind, könnte sich schwierig gestalten. Es ist unklar, wie viele verbindliche Zugeständnisse die USA machen werden und, ob diese ausreichen werden, um den Vorstellungen der EU zu genügen.

Die nächsten Schritte sehen wie folgt aus:

  1. Die USA erlassen ein „Executive Order“ (einen Ausführungsbefehl) zur Gründung des sogenannten Data Protection Review Courts, der mögliche Datenschutzverletzungen untersuchen und Bußgelder verhängen kann.
  2. Danach wird die Europäische Kommission prüfen, ob die Ausführung des Executive Order dem datenschutzrechtlichen Niveau der Europäischen Union entspricht.
  3. Schließlich wird ein neuer Angemessenheitsbeschluss zugunsten der USA erlassen. Zusätzliche Schritte sind dann im Rahmen des Drittlandtransfers nicht mehr notwendig.

Zusammenfassung

Der neue Transatlantische Datenschutzrahmenvertrag wäre nach Safe Harbor und dem Privacy Shield das dritte Abkommen zwischen der EU und den USA. Ob das Abkommen von Erfolg gekrönt sein und zu einem Angemessenheitsbeschluss führen wird, bleibt abzuwarten.

Insgesamt wäre eine Einschränkung der Überwachungsmöglichkeiten der USA gegenüber EU-Bürgern aus datenschutzrechtlicher Sicht sehr zu begrüßen. Und auch für Unternehmen wäre ein Angemessenheitsbeschluss eine große Erleichterung hinsichtlich des Datentransfers.  

Wir halten Sie in jedem Fall auf dem Laufenden! Wenn Sie in der Zwischenzeit Fragen haben, oder Sie das Abkommen sogar direkt betrifft, können Sie jederzeit mit unseren Experten sprechen.

 
Internationaler Datenaustausch

Empfehlungen zum intern. Datenaustausch

Was gibt es zu beachten, wenn Sie Daten in Drittländer schicken? In unserem Whitepaper erfahren Sie alles, was Sie wissen sollten.

Jetzt kostenlos herunterladen
Tags

Über den Autor

Inessa Meckler Inessa Meckler
Inessa Meckler

Inessa Meckler ist Juristin (Dipl. Jur.) und zertifizierte Datenschutzbeauftragte. Bei DataGuard berät sie Kunden vorwiegend aus den Bereichen Marketing, Werbung und PR sowie aus der Industrie und Fertigung. Darüber hinaus unterstützt sie die interne Rechtsabteilung als Juristin. Bereits während ihres Studiums hat sie sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren