Die EU-Kommission hat ein neues Datenschutzabkommen zwischen den USA und der EU verabschiedet: das Trans-Atlantic Data Privacy Framework (kurz TADPF)
Am 10.7.2023 erließ die EU-Kommission einen Angemessenheitsbeschluss für die Datenübertragung in die USA. . Durch diesen Beschluss wurde nun festgestellt, dass die USA die personenbezogenen Daten von EU-Bürgern auf einem den europäischen Standards entsprechenden Schutzniveau sichert. Dadurch müssen Unternehmen keine speziellen Schutzmaßnahmen gem. DSGVO mehr treffen, bevor sie personenbezogene Daten von EU-Bürgern an die USA übermitteln.
Dies ist nun der dritte Anlauf, nachdem zwei Vorgängerregelungen („Safe Harbor“ und „Privacy Shield“ vom Europäischen Gerichtshof gekippt wurden.
Bei dem Streit um das „Privacy Shield“ monierte der EuGH seinerzeit, dass die USA das europäische Datenschutzniveau nicht halten könnten, da es zu weitreichende Zugriffmöglichkeiten der US-Geheimdienste auf die Daten gegeben hatte. Der bereits im Streit und „Safe Harbor“ und „Privacy Shield“ federführende Max Schrems erwägt angeblich auch hier wieder eine klageweise Überprüfung.
Derzeit beschränkt das neue Datenschutzabkommen die Zugriffsrechte der US-Geheimdienste insoweit, als diese nur noch dann auf die Daten von EU-Bürgern zugreifen dürfen, wenn dies notwendig und verhältnismäßig sei. Die Überwachung der Einhaltung des Datenschutzes soll künftig einem eigens dafür geschaffenen Gericht obliegen.
Schrems sieht wohl den ersten Angriffspunkt bereits in dem Wort „verhältnismäßig“, da die Auslegung in der EU und in den USA durchaus unterschiedlich sei. Nach Ansicht Schrems‘ sei das Trans-Atlantic Data Privacy Framework nur eine Kopie des bereits gescheiterten „Privacy Shield“
Unabhängig von diesen Einwendungen ist das TADPF derzeit gültig, so dass die Datenschutzerklärungen auf Webseiten entsprechend angepasst werden müssen, sofern dort Daten in die USA übermittelt und dort verarbeitet werden.
Unternehmen, die aufgrund dieses Abkommens Daten nutzen wollen, müssen, so wie auch schon unter dem Privacy Shield, zertifiziert sein und werden künftig in einer Liste geführt, die ab dem 17.07.2023 veröffentlicht werden soll.