Trans-Atlantic Data Privacy Framework (TADPF)

Im Jahr 2020 hat der EuGH das Datenschutzniveau in den USA als unzureichend eingestuft und damit das bestehende Privacy Shield-Abkommen als Nachfolger des Safe Harbour-Abkommens gekippt. Dies führte zu Verunsicherungen im Hinblick auf den Einsatz von US-Anbietern. Nutzer von Google, Meta, Microsoft, Amazon und Co. drohten Untersagungsverfügungen und Bußgelder von Aufsichtsbehörden.

Mit dem neuen Abkommen soll nun wieder Rechtssicherheit hergestellt werden. Dabei handelt es sich bei dem TADPF nicht um ein Gesetz, sondern um ein wichtiges Abkommen zwischen der EU-Kommission und dem US-Handelsministerium. In diesem Rahmen haben die USA bessere Schutzmaßnahmen zugunsten von EU-Bürgern eingeführt. Im Gegenzug hat die EU-Kommission ein angemessenes Datenschutzniveau in den USA festgestellt (sog. Angemessenheitsbeschluss). 

Im Unterschied zum alten Privacy Shield müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen, um sich auf den Angemessenheitsbeschluss berufen zu können und in einer Datenbank gelistet zu werden. Hier kann gezielt nach diesen Unternehmen gesucht werden.

Wer US-Dienstleister einsetzt, sollte in seiner Datenschutzerklärung sowie dem Verzeichnis der Verarbeitungstätigkeiten bei den Hinweisen auf die eingesetzten US-Anbieter auf das TADPF als Grundlage hinweisen. 

Kritik an diesem Abkommen wurde bereits geäußert. Es besteht also das Risiko, dass das TADPF wie seine Vorgänger vom EuGH in etwa drei bis fünf Jahren für unwirksam erklärt wird. Aus diesem Grund wird Unternehmen und Behörden angeraten, eine sog. Datentransfer-Folgeabschätzung (sog. „Transfer Impact Assessment“, TIA) zu erstellen.