Icon Datenschutzbeauftragter
Datenschutz

Quo vadis TADPF?

Verfasst von: Winona Wenning

Das neue Abkommen soll die problematischen Datenexporte in die USA auf eine rechtssichere Grundlage stellen. Erklärtes Ziel des transatlantischen Datenschutzrahmens ist, durch Umsetzung der vereinbarten Executive Orders das Schutzniveau in den USA so anzuheben, dass ein Angemessenheitsbeschluss nach Art. 45 DSGVO wieder möglich wird.

In der Ausgabe 4/2022 der „Compliance konkret“, dem Kundenmagazin von Althammer & Kill, haben wir bereits zum Thema Trans-Atlantic Data Privacy Framework (TADPF) berichtet. Konkret wird sich der Angemessenheitsbeschluss auf alle Datenempfänger beziehen, die das Selbstzertifizierungsverfahren des US-amerikanischen Wirtschaftsministeriums1 durchlaufen. Wie schon während der Geltungsdauer des EU-US Privacy Shields wird also erneut ein sektorspezifischer Angemessenheitsbeschluss angestrebt.

Für Verantwortliche und Datenschutzbeauftragte stellt ein Angemessenheitsbeschluss eine wesentliche Arbeitserleichterung dar, denn Übermittlungen in diese Drittländer sind nicht von geeigneten Garantien abhängig, sondern ohne besondere Genehmigung erlaubt – vielmehr liegt der gesamte Prüfungsaufwand, den Art. 46 DSGVO jedem einzelnen Verantwortlichen auferlegt, dann vorab bei der EU-Kommission (vgl. Art. 45 Abs. 2 DSGVO).

Daher stellt sich nun die Frage: Wo bleibt der Angemessenheitsbeschluss?

Mit Erlass der vereinbarten „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”2 am 7. Oktober 2022 wurden die vereinbarten Änderungen der US-amerikanischen Rechtslage herbeigeführt. Auf dieser neuen Grundlage wurde durch die EU-Kommission ein Entwurf für den Angemessenheitsbeschluss3 geschaffen und das Verabschiedungsverfahren eingeleitet. Der nächste Schritt im Annahmeverfahren, die Stellungnahme des Europäischen Datenschutzausschusses (EDPB)4, ist am 28. Februar 2023 erfolgt.

Begrüßt werden vom EDPB die wesentlichen Verbesserungen, welche unter dem TADPF bereits erreicht werden konnten. Die Einschränkungen der Datenverarbeitungen durch US-Nachrichtendienste auf ein notwendiges, verhältnismäßiges Maß und der neue Rechtsbehelfsmechanismus sind aus Sicht des EDPB grundsätzlich geeignet, die Rechte von Betroffenen auch bei Datenexporten in die USA zu stärken.

Bedenken bleiben jedoch auch beim EDPB zurück, wenn die praktische Umsetzung des Frameworks in den Fokus genommen wird. Auch mögliche Ausnahmen für vorrübergehende Massenerfassung von Daten auf Basis der Executive Order 123335 sind Grund für Zurückhaltung. Insoweit empfiehlt die Stellungnahme den Angemessenheitsbeschluss nicht allein von der bereits erfolgten Verabschiedung der Executive Order 14086, sondern auch von der praktischen Umsetzung der Legislatur abhängig zu machen.

Klärungsbedarf wird außerdem im Bereich von einzelnen Betroffenenrechte, Weiterübermittlungen, dem Umfang verschiedener Ausnahmen und der praktischen Umsetzungen der Abhilfemechanismen gesehen. Daher schlägt der EDPB der Kommission vor, die offenen Fragen zu klären und die Ergebnisse erneut vorzulegen. Die EDPB-Vorsitzende Andrea Jelinek erklärt, dass regelmäßige Überprüfungen mindestens alle drei Jahre stattfinden sollten. Gesetzliche Mindestvorgabe ist dagegen nur ein vierjähriger Rhythmus (vgl. Art. 45 Abs. 3 S. 2 DSGVO). Der EDPB sieht sich dabei in der Pflicht, zu diesen Kontrollen im verkürzten Abstand engagiert beizutragen.

Als nächsten Schritt wird die Kommission die verpflichtende Zustimmung des zuständigen Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt (Art. 93 DSGVO). Weiterhin hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsbeschlüssen. Nach Abschluss dieser Verfahren wird die Kommission den endgültigen Beschluss annehmen.

Erfahrungsgemäß ist mit einer Verfahrensdauer von vier bis fünf Monaten ab Finalisierung des Kommissionsentwurfs zu rechnen. Davor sind jedoch alle Anpassungen vorzunehmen, welche auf dem kritischen Input der Verfahrensbeteiligten wie EDPB und Parlament beruhen.

Wir werden uns also sicher noch etwas gedulden müssen.

 


1 https://www.commerce.gov/news/press-releases/2022/10/statement-us-secretary-commerce-gina-raimondo-enhancing-safeguards

2 Executive Order 14086 abrufbar unter https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

3 Entwurf abrufbar unter https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en

4 Stellungnahme abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en sowie die zugehörige Pressemitteilung unter https://edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_en

5 Executive Order 12333 abrufbar unter https://www.archives.gov/federal-register/codification/executive-order/12333.htm

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.