23.06.2022
Trans-Atlantic Data Privacy Framework (TADPF)
Datentransfers in die USA
Autor: Melanie Ludolph



Shutterstock / Bernulius
EU und USA kündigen Fortschritte bei ihren Verhandlungen an. Rechtssicherheit für die transatlantische Datenübertragung bringt das avisierte Framework (allein) noch nicht.
Am 25. März veröffentlichten die EU-Kommission und die USA eine von vielen Unternehmen sehnlichst erwartete Erklärung: Es gibt eine Einigung über die Prinzipien des Trans-Atlantic Data Privacy Framework (TADPF). Vor knapp zwei Jahren hatte das „Schrems II“-Urteil des EuGH transatlantische Datentransfers massiv erschwert. Die Richter kippten den Privacy Shield, ein Abkommen, auf dessen Grundlage Daten von der EU in die USA übermittelt wurden. 2015 war bereits das Vorgänger-Abkommen Safe Harbor vom EuGH für nichtig erklärt worden. Derzeit müssen Unternehmen deshalb auf andere Transfermechanismen zurückgreifen, etwa die von der EU vorgegebenen Standarddatenschutzklauseln (SDK). Es besteht aber weiter große Rechtsunsicherheit, da sich aus den Vorgaben des „Schrems II“-Urteils und den Anforderungen der Aufsichtsbehörden teils hohe Hürden ergeben.
Hoffnungsträger TADPF
Große Hoffnungen liegen deshalb auf dem sich abzeichnenden TADPF. Über den konkreten Inhalt ist noch wenig bekannt, aber das Ziel ist: endlich Einklang zwischen den Sicherheitsinteressen der USA und europäischen Datenschutzstandards und der Rechtsstaatlichkeit. Wesentliche Inhalte können der Pressemitteilung der US-Regierung entnommen werden. Das TADPF soll auf dem bisherigen Privacy Shield aufsetzen. Neu ist, dass ein quasigerichtliches, zweistufiges Gremium etabliert werden soll, das über Beschwerden Betroffener aus der EU entscheidet. Ergänzend sollen Maßnahmen bei US-Geheimdiensten dafür sorgen, dass etwa die Überwachung auf ein verhältnismäßiges Maß reduziert wird. Die angestrebten Änderungen werden die USA über eine neue Verwaltungsvorschrift (Executive Order) des Präsidenten umsetzen. EU-Justizkommissar Didier Reynders nannte als mögliches Zieldatum einer Ratifizierung Ende des Jahres.
Widerstand angekündigt
Doch Max Schrems, dessen Klagen die vorherigen Abkommen zu Fall gebracht hatten, kritisiert das TADPF als „rein politisches“ Abkommen „ohne Rechtsgrundlage“. Er gehe davon aus, dass jedes Abkommen, das dem Datenschutzniveau der EU nicht entspreche, zeitnah vor dem EuGH angefochten werde. Die Frage ist, wie schnell mit einem „Schrems III“-Urteil zu rechnen ist. Safe Harbor war 15 Jahre in Kraft, die erste Klage gegen den Privacy Shield wurde anderthalb Monate nach Veröffentlichung erhoben, die Aufhebung erfolgte rund vier Jahren später.
Die Ankündigung des TADPF sorgt noch nicht für Rechtssicherheit bei Unternehmen. Es ist weiter nötig, transatlantische Datenübermittlungen mit den bestehenden Mitteln (etwa SDK) abzusichern. Die letztes Jahr veröffentlichten, nun modular aufgebauten SDK beschäftigen derzeit viele Unternehmen – für Verträge mit Dienstleistern und Kunden oder bei konzerninternen Datentransfers. Bereits seit Herbst 2021 dürfen für Neuverträge nur noch die neuen SDK verwendet werden, für Altverträge noch bis 27. Dezember 2022. Diese Frist sollte im Kopf behalten werden, denn unabhängig von der Implementierung des TADPF ist es für EU-Unternehmen ratsam, SDK mit US-Unternehmen abzuschließen – denn das Risiko eines „Schrems III“-Urteils ist hoch und mit den SDK ist man besser gewappnet.
Streit um neues Handynetz
Kartellamt leitet Missbrauchsverfahren gegen Vodafone ein
1&1 will ein eigenes Mobilfunknetz aufbauen. Doch nur wenige Antennenstandorte wurden bisher bereitgestellt. Nun prüft das Kartellamt eine mögliche kartellrechtswidrige Behinderung.
>>
Saskia Esken
SPD-Chefin will Aufsichtsbehörde für Einsatz Künstlicher Intelligenz
SPD-Chefin Saskia Esken wünscht sich in Deutschland eine Behörde, die beurteilt, ob der Einsatz von KI nach Recht und Gesetz erfolgt. Als Beispiel dafür, wer die Aufgabe übernehmen könnte, nennt sie den Beauftragten für Datenschutz und Informationsfreiheit.
>>
KI-Regulierung in Europa
OpenAI-Chef Sam Altman will Rückzug aus der EU nicht ausschließen
Sam Altman, Chef von OpenAI, ist grundsätzlich für eine Regulierung von Künstlicher Intelligenz. Zugleich schränkte Altman ein, dass die Pläne für die KI-Regulierung in Europa noch "ziemlich vage" seien.
>>
Hinweisschutzgesetz
Besserer Schutz für Whistleblower
Die Umsetzung der Whistleblowing-Richtlinie ist eine Hängepartie. Doch was ist eigentlich Inhalt der Richtlinie und warum lohnt es sich für Unternehmen, bereits jetzt zu handeln?
>>