USA und EU vereinbaren neuen transatlantischen Datenschutzrahmen

Der Datenschutzrahmen hat viele der während des Entwurfsprozesses aufgeworfenen Fragen erfolgreich gelöst. Es wird sich jedoch zeigen, ob er rechtlichen Anfechtungen standhalten kann, da die bundesstaatlichen Datenzugangsrechte in den USA die Datensicherheit der EU-Bürger beeinträchtigen.

Anfechtungen des TADPF zeichnen sich ebenfalls bereits ab.

NOYB - die gemeinnützige Datenschutzorganisation von Max Schrems - hat bereits angekündigt, dass sie den Datenschutzrahmen vor Gericht anfechten wird. Sie sieht darin im Wesentlichen eine Nachahmung des gescheiterten Privacy Shield, ohne dass sich das US-Recht oder gar der Ansatz der EU geändert hätte.

"Wir hatten jetzt 'Harbors', 'Umbrellas', 'Shields' und auch 'Frameworks' - aber keine wesentliche Änderung im US-Überwachungsrecht. Auch die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derjenigen der letzten 23 Jahre. Die bloße Ankündigung, dass etwas 'neu', 'robust' oder 'effektiv' ist, reicht vor dem Gerichtshof nicht aus. Wir bräuchten Änderungen im US-Überwachungsrecht, damit dies funktioniert - und die haben wir einfach nicht."

- Max Schrems, None of Your Business (NYOB)

Dies wird jedoch Zeit brauchen.

Die "Schrems III"-Entscheidung könnte über ein Jahr in der Zukunft liegen, und das bedeutet, dass wir auch der Lösung eines wichtigen politischen Handelskriegs im Westen nicht näher gekommen sind.

Der Datenschutzrahmen ermöglicht den teilnehmenden Unternehmen die freie Übermittlung personenbezogener Daten aus der EU in die USA. Entscheidend ist, dass dadurch keine zusätzlichen Sicherheitsvorkehrungen oder Ausnahmeregelungen wie die Standardvertragsklauseln der EU für die Datenübermittlung mehr erforderlich sind.

Es ist auch erwähnenswert, dass das TADPF - ähnlich wie die GDPR - alle US-Unternehmen betrifft, unabhängig davon, ob sie sich selbst für das Programm zertifiziert haben oder nicht. Da der Missbrauch personenbezogener Daten nach US-amerikanischem Recht strafbar ist, ist dies auch ein wichtiger Aspekt für alle Unternehmen.

Alle Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, müssen ihre Datenschutzrichtlinien aktualisieren, um die TADPF-Grundsätze zu berücksichtigen, und zwar vor dem 10. Oktober 2023.

Um Unternehmen dabei zu helfen, sich an diesen neuen Rahmen zu gewöhnen, hat das US-Handelsministerium eine Website für das Data Privacy Framework-Programm eingerichtet. Sie dient als öffentliches Ressourcenzentrum und soll US-Unternehmen die Möglichkeit geben, ihre Teilnahme selbst zu zertifizieren, bevor sie personenbezogene Daten über den Atlantik übermitteln.

Die Teilnahme an dem Programm ermöglicht es US-Unternehmen, personenbezogene Daten legal aus der EU zu exportieren.

Um teilnahmeberechtigt zu sein, müssen sich die Unternehmen jedoch selbst zertifizieren und sich auch öffentlich zu den Grundsätzen der DPF verpflichten. Dies ist möglich, indem sie sich auf der Website der Regierung für das EU-US-DSGVO anmelden.

Ebenso können sie sich bei der britischen Erweiterung der EU-US-DSGVO und auch bei der schweizerisch-amerikanischen DSGVO zertifizieren lassen, wenn sie an einem dieser beiden Standorte tätig sind.

Diese unterschiedlichen Compliance-Maßnahmen zeigen auch, wie weit die Politiker von der Schaffung eines optimalen Rechtsrahmens für Unternehmen entfernt sind, was hoffentlich in den kommenden Jahren geklärt wird.

Auch wenn die Ratifizierung des TADPF durch die Europäische Kommission zu begrüßen ist, bleibt die Befürchtung, dass sie dem unvermeidlichen Schrems-III-Verfahren, das sich im Laufe des nächsten Jahres abspielen wird, nicht zuvorkommt.

Die USA und Europa vertreten eine unterschiedliche Haltung zum Recht der Regierungen auf Zugang zu Informationen, die Unternehmen über Internetnutzer besitzen. Diese philosophische Kluft scheint sich nicht zu verringern, und persönliche Daten befinden sich im Niemandsland zwischen den beiden Lagern.

Alles in allem können die Unternehmen wenig Trost aus der Ankunft des Datenschutzrahmens ziehen. Wie auch immer die Absichten aussehen mögen, man hat immer noch das Gefühl, dass wir der Illegalisierung des TADPF näher sind als einer nachhaltigen Regelung für den transatlantischen Datentransfer. Das ist eine Schande. Es zeigt auch, wie schwierig es selbst für vergleichbare Nationen der Ersten Welt ist, sich in Fragen von gemeinsamem Interesse zu einigen.

In Anbetracht dessen werden sich kluge Unternehmen weiterhin von der Nutzung personenbezogener Daten abwenden.

Erleichtert wird dies durch datenschutzfreundliche Technologien, die so konzipiert sind, dass sie funktionieren, ohne die Nutzer in Fragen der Einhaltung des Datenschutzes zu verwickeln.

TWIPLA ist ein führender Akteur im Bereich der datenschutzfreundlichen Website-Analyse, der fortschrittliche kochfreie Tracking-Technologie zur Bewertung der Website-Leistung einsetzt.

Es ist die beliebteste Plattform auf Wix und wird von über 2,5 Millionen Website-Besitzern auf der ganzen Welt genutzt, um ihre Ziele zu erreichen.

TWIPLA ist eine All-in-One-Lösung von Website-Intelligence-Tools. Standardmäßige Website-Statistikberichte werden durch Analysen des Besucherverhaltens und Funktionen zur Besucherkommunikation ergänzt. Entscheidend ist, dass die Lösung von Anfang an genutzt werden kann, um verwertbare Erkenntnisse über Website-Besucher zu sammeln, ohne deren persönliche Datenschutzrechte zu beeinträchtigen.

Melden Sie sich kostenlos bei TWIPLA an und beginnen Sie mit Ihrer Migration, ohne von persönlichen Daten abhängig zu sein und ohne Bedenken hinsichtlich der TADPF-Datenübertragung.