Datenschutz in USA und EU: Was bringt das TADAP-Framework?

STAND 23.01.2023 | LESEZEIT 3 MIN

Nach zwei gescheiterten Datenschutzabkommen zwischen den USA und der EU soll nun das dritte Abkommen, TADAP-Framework, endlich die notwendigen Verbindlichkeiten im rechtssicheren Datentransfer zwischen USA und der EU bringen.

Das Wichtigste in Kürze

• Die Abkommen „Privacy Shield“ und „Safe Harbour“ scheiterten 2015 und 2020.
• Die USA konnten den Schutz von personenbezogenen Daten von EU-Bürgern gemäß den EU-Datenrichtlinien nicht gewährleisten.
• Das TADAP-Framework soll diese Lücke schließen.

Safe Harbour: Uneingeschränkter Zugriff auf Daten von EU-Bürgern

Es gab bereits zwei Versuche, einen sicheren Datentransfer zwischen den EU-Staaten und den USA zu gewährleisten. „Safe Harbour“ war das erste Abkommen, das 2015 vor dem Europäischen Gerichtshof scheiterte (Urteil vom 06.10.2015, Az. C-362/14 – „Schrems I“).

Ziel von Datenschutz-Vereinbarungen zwischen Europa und den USA ist es grundsätzlich, dass personenbezogene Daten von EU-Bürgern gemäß der Europäischen Datenschutzrichtlinien in die USA übertragen werden. Die Schwierigkeit dabei ist, dass die USA keinen Datenschutz anwenden, der den europäischen Ansprüchen gerecht werden kann. So konnten Unternehmen, die die „Safe Harbour“-Regelung anwendeten, nicht gewährleisten, dass personenbezogene Daten von EU-Bürgern tatsächlich geschützt sind, denn: Sie sind gemäß US-amerikanischer Gesetze dazu verpflichtet, alle Daten jederzeit und uneingeschränkt US-amerikanischen Sicherheitsbehörden zur Verfügung stellen zu müssen.

Privacy Shield-Abkommen: Datenzugriff durch US-Sicherheitsbehörden möglich

Die Unwirksamkeit des Abkommens machte es nötig, eine neue Regelung zu schaffen. Der zweite Versuch eines Übereinkommens war das Privacy Shield (auch „Datenschutzschild“ zwischen USA und EU genannt), das von der Europäischen Kommission 2016 bestätigt wurde. Im Schrems II-Urteil (Az. C 311/18) wurde das Privacy Shield-Abkommen am 16. Juli 2020 vom EuGH für ungültig erklärt. Wie auch beim Vorgänger gab das Datenschutz-Abkommen „Privacy Shield“ zwischen den USA und der EU dem US-Recht den Vorrang, zudem ist die Massenüberwachung vorgesehen, die auch dem Prinzip der Datensparsamkeit entgegensteht. Außerdem gilt in den USA seit 2018 der CLOUD ACT, gemäß dem US-Behörden uneingeschränkten Zugriff auf Daten von US-Unternehmen gewährleistet, die in EU-Ländern gespeichert werden. Auch europäische Unternehmen sind betroffen, wenn sie Daten auf Servern von US-amerikanischen Cloud-Anbietern speichern, die Rechenzentren in der EU nutzen.

Seitdem das Privacy Shield-Datenschutzabkommen zwischen den USA und der EU gekippt wurde, müssen EU-Unternehmen im Einzelfall prüfen, ob eine Zusammenarbeit mit US-amerikanischen Unternehmen den europäischen Datenschutzrichtlinien entsprechen kann. Praktisch fand die Datenübertragung zwischen den USA und der EU jedoch in einem rechtsfreien Raum statt, was für die wirtschaftliche Zusammenarbeit große Risiken barg.

Neues Datenschutz-Abkommen zwischen EU und USA kommt

Im Oktober 2022 unterzeichnete der US-amerikanische Präsident Joe Biden ein Dekret, das ein neues Abkommen, das „Trans-Atlantic Data Privacy Framework“ (TADAP-Framework) in Gang setzen soll.

Es sieht striktere Vorgaben für die Datenweitergabe an US-Sicherheitsbehörden vor. Diese sollen nur auf Daten von EU-Bürgern zugreifen können, wenn der Zugriff für die Verfolgung nationaler Sicherheitsziele, die vorab genau definiert wurden, notwendig ist.

Zudem soll es für EU-Bürger die Möglichkeit geben, sich über mutmaßlich rechtswidrige Zugriffe auf ihre Daten beschweren zu können. Dafür soll es ein zweistufiges Verfahren geben, in dem zunächst Personen im Büro des US-Geheimdienstdirektors die Sachlage prüfen. Wenn dieser den Vorwurf gerechtfertigt sieht, soll die Entscheidung durch ein spezialisiertes Gericht gefällt werden.

Wann wird das TADAP-Framework in Kraft treten?

In welcher Weise und wann das TADAP-Framework in Kraft treten wird, ist noch nicht klar. Es gibt bereits Bedenken, ob das Abkommen den Datenschutz zwischen den USA und der EU tatsächlich gewährleisten kann. Kritik kommt unter anderem vom österreichischen Datenschutzaktivisten Max Schrems. Dieser hatte mit seinen Klagen bereits maßgeblich dazu beigetragen, dass die ersten beiden Abkommen gekippt wurden. Er hat aktuell insbesondere Bedenken bezüglich des zweistufigen Beschwerdeverfahrens und der Unabhängigkeit der prüfenden Instanzen. Er hat angekündigt, das neue Abkommen zu prüfen und ggf. wieder gerichtlich dagegen vorzugehen.

So hilft Ihnen ein KLUGO Partner-Anwalt weiter

Arbeiten Sie mit Drittländern zusammen oder nutzen deren Cloud-Angebote? Wenn Sie Fragen zu der datenschutzkonformen Zusammenarbeit mit Drittländern aus Nicht-EU-Staaten haben, können Sie von einem KLUGO Partner-Anwalt oder Rechtsexperten für Datenschutzrecht wertvolle Informationen erhalten.