Aller guten Dinge sind drei: Auf Safe Harbor und das Privacy Shield folgt nun das Trans-Atlantic Data Privacy Framework (TADPF). Jedenfalls hat die EU-Kommission am 13. Dezember 2022 den Entwurf ihres Angemessenheitsbeschlusses veröffentlicht, der den Datenverkehr zwischen der EU und den USA für Unternehmen nach einer langen Zeit der Rechtsunsicherheit für Unternehmen erleichtern soll. Der Angemessenheitsbeschluss der EU-Kommission ist der nächste Schritt im Anschluss an die von US-Präsident Joe Biden am 7. Oktober 2022 vorgeschlagene „Executive Order on Enhancing Safeguards For United States Signals Intelligence Activities“ (Executive Order) zur Umsetzung des TADPF zwischen der EU und den USA und zur Ersetzung des durch den Europäischen Gerichtshofs für ungültig erklärten Privacy Shield.

Wie geht es weiter?

Mit der Veröffentlichung des Textentwurfs wird nun das Ratifizierungsverfahren eingeleitet. In diesem Zuge wird der Europäische Datenschutzausschuss (EDSA) seine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses abgeben, die unter Umständen zu einer erneuten Überarbeitung des Textentwurfes führen kann. Darüber hinaus können die EU-Mitgliedstaaten Stellungnahmen abgeben. In einem letzten Schritt wird die finale Angemessenheitsentscheidung im Amtsblatt der Europäischen Union veröffentlicht. Der EU-Justizkommissar Didier Reynders hat kürzlich erklärt, dass er zuversichtlich in die Zukunft blicke. Er gehe davon aus, dass das neue TADPF einer gerichtlichen Prüfung standhalten wird und dass mit dem Angemessenheitsbeschluss im Sommer 2023 zu rechnen sei.

Perspektivisch: Gemischte Gefühle? – Widerstand angekündigt

Die nationalen datenschutzrechtlichen Aufsichtsbehörden haben sich bereits zu dem TADPF positioniert. So sieht der Datenschutzbeauftragte des Landes Baden-Württemberg in den neuen Regelungen erhebliche datenschutzrechtliche Unklarheiten. Im Gegensatz dazu hält der Hamburgische Beauftragte für Datenschutz und Informationssicherheit die pauschale Kritik an den neuen Regelungen für unangebracht. Die DSGVO verlange von einem Drittland gerade kein vollständig identisches Rechtssystem, sondern nur ein dem Wesen nach gleiches Datenschutzniveau.

Auch Max Schrems hat bereits klar Stellung bezogen und angekündigt, den Entscheidungsentwurf in den nächsten Tagen im Detail zu analysieren. Er glaube kaum, dass der Entscheidungsentwurf einer Anfechtung vor dem Gerichtshof standhalten wird. Grund hierfür sei, dass die Europäische Kommission immer wieder Entscheidungen erlasse, die einen eklatanten Verstoß gegen Grundrechte darstelle.

Was ist zu tun?

Bis zum Inkrafttreten des TADPF sollten Unternehmen weiterhin bewährte Datenübertragungsmethoden wie Binding Corporate Rules und Standardvertragsklauseln verwenden. Bei Bedarf ist ein Transfer Impact Assessment (TIA) für die jeweilige Übermittlung in ein Drittland durchführen. Unternehmen, die TIAs für die USA durchführen, sollten schon jetzt im Rahmen einer umfassenderen Risikobewertung die verstärkten rechtlichen Kontrollmechanismen und Abwägungserfordernisse berücksichtigen, die mit der Executive Order von Präsident Biden eingeführt wurden.

Wenn Sie mehr über die Anforderungen des neuen TADPF wissen möchten, Ihre Strategie für Datenübertragungen erörtern wollen oder Fragen zur Einhaltung der Vorschriften für Datenübertragungen haben, stehen wir Ihnen mit unserem Experten-Team gerne zur Seite.

Ich bedanke mich bei Herrn Referendar Michael Vasin für die Unterstützung bei der Erstellung dieses Blog-Eintrags.