Trans-Atlantic Data Privacy Framework (TADPF) – Was Du wissen musst!

Min. Lesezeit

Facebook, Google und Apple – große Firmen in den Vereinigten Staaten von Amerika, die durch soziale Medien, Online-Präsenzen oder App-Anwendungen zwangsläufig persönliche Daten verarbeiten müssen. Das ist eine unsichere Angelegenheit, denn die USA gelten als ein Drittstaat ohne angemessenen Datenschutz.

Nun soll ein Angemessenheitsbeschluss für die USA erwirkt werden (Update vom 10.07.2023 findest du hier) – auf Grundlage des neuen Trans-Atlantic Data Privacy Frameworks. Durch dieses transatlantische Datenschutzabkommen werden die USA in Sachen Datenschutz stärker in die Pflicht genommen, wodurch ein ähnlicher starker Schutz entsteht, den wir bereits mit der DSGVO genießen. Das macht einen internationalen Datentransfer sicherer – sowohl rechtlich als auch für die User. 

Worum es sich beim Datenschutzabkommen genau handelt und warum bisherige Vereinbarungen gescheitert sind, liest du im Folgenden.

Internationaler Datentransfer EU & USA - Globus auf Tisch neben Laptop

Datenschutzabkommen EU & USA – Kurz und Kompakt

  1. Für Deutschland und die EU gelten verschiedene Datenschutzbestimmungen, die für Online-Händler bindend sind, zum Beispiel das BDSG und die DSGVO.
  2. Die DSGVO gilt in der EU und den EWR-Ländern. Für weitere Länder wurde ein Angemessenheitsbeschluss erlassen.
  3. Ein solcher Beschluss setzt beim Empfänger der personenbezogenen Daten einen ähnlich hohen Datenschutz wie bei der DSGVO voraus.
  4. Bisherige Anläufe für ein entsprechendes Schutzniveau in den USA, zum Beispiel Safe Harbor oder Privacy Shield, scheiterten.
  5. Das neue Trans-Atlantic Data Privacy Framework (TADPF) soll das Datenschutzniveau in den USA anheben und einen Angemessenheitsbeschluss ermöglichen.
  6. Die USA müssen verschiedene Datenschutzpflichten einhalten, um das Schutzniveau weiter zu verbessern.
  7. Die EU-Mitgliedstaaten müssen in einer Mehrheit dem Beschluss der EU-Kommission zustimmen, bevor er formell angenommen werden kann.


Update vom 10.07.2023: Angemessenheitsbeschluss für die USA

Die EU-Kommission gab bekannt, dass sie einen Angemessenheitsbeschluss für die USA gefasst hat. Für das Drittland wurde damit festgelegt, dass es ein angemessenes Schutzniveau für personenbezogene Daten aufweist, welches mit dem der Datenschutzgrundverordnung (DSGVO) vergleichbar ist. 

In der Pressemitteilung der EU-Kommission heißt es, dass mit dem Datenschutzabkommen EU-USA verbindliche Maßnahmen eingeführt werden, um die Bedenken des Europäischen Gerichtshofs auszuräumen und einen sicheren Datenverkehr zu gewährleisten. Binnen eines Jahres soll das Datenschutzabkommen und seine Funktionsweise durch die Europäische Kommission und Vertretern der europäischen Datenschutzbehörden und den zuständigen US-Behörden überprüft werden. 

Datenschutzbestimmungen in Europa und Deutschland

Durch die verschiedenen Datenschutzbestimmungen in Europa werden persönliche Daten gesichert und das Recht auf informationelle Selbstbestimmung gestärkt. Tatsächlich zählt die Datenschutzgrundverordnung sogar zu einem der strengsten Datenschutzgesetze der Welt. Allerdings betrifft die Verordnung nicht nur sämtlichen Datenverkehr innerhalb der EU, sondern auch sämtliche Unternehmen, die auf EU-Bürger abzielen.

In Europa bzw. in Deutschland gelten verschiedene Datenschutzbestimmungen, denn damit soll das Recht auf informationelle Selbstbestimmung und der Schutz personenbezogener Daten sichergestellt werden. Der Datenschutz wird in mehreren gesetzlichen Grundlagen verankert, dazu gehören zum Beispiel folgende Datenschutzgesetze:

  1. Bundesdatenschutzgesetz (BDSG)
  2. Datenschutzgrundverordnung (DSGVO)

Mit dem BDSG wird der Umgang mit persönlichen Daten auf Bundesebene geregelt, wobei hierbei die Erhebung und Verarbeitung einem Verbot mit Erlaubnisvorbehalt unterliegen. Die Nutzung darf also nur dann erfolgen, wenn eine gesetzliche Grundlage vorliegt oder der Betroffene zugestimmt hat. 

Die DSGVO ist eine EU-Norm, die Regeln zur Verarbeitung von personenbezogenen Angaben innerhalb der EU (Europäischen Union) vereinheitlicht. Nach der DSGVO unterliegt die Datenverarbeitung verschiedenen Grundprinzipien, zum Beispiel der Zweckbindung und auch der Rechenschaftspflicht. Die DSGVO gilt nicht nur in allen Mitgliedstaaten der EU, sondern auch im Europäischen Wirtschaftsraum (EWR). Die DSGVO gilt also auch in Norwegen, Liechtenstein und Island. 

Diese Gesetze und Verordnungen sind für dich als Online-Händler, der personenbezogene Daten verarbeitet, verpflichtend. Setze zur Einhaltung am besten auf einen Datenschutzbeauftragten und vermeide so rechtliche Fallstricke.

 

tip

Rechte für Betroffene

In der Datenschutzgrundverordnung werden Betroffenen zahlreiche Rechte zugesprochen, wie zum Beispiel das Recht auf Datenlöschung. Personenbezogene Daten dürfen nach DSGVO nur so lange aufbewahrt werden, wie für den Zweck erforderlich, aber der Betroffene kann unabhängig davon eine Löschung fordern, beispielsweise weil er der Einwilligung zur Datenverarbeitung widerspricht.

Mit unserer Mustervorlage kannst du auf ein solches Auskunfts- und Löschgesuch reagieren.

Zur Mustervorlage

 


Was ist ein Angemessenheitsbeschluss?

Eine Übermittlung von Daten in Drittländer kann für dich als Online-Händler unvermeidlich sein, wenn du international agierst bzw. agieren möchtest. Die Datenübertragung muss dabei aber einer Rechtmäßigkeit unterliegen bzw. muss ein gerechtfertigter Grund vorliegen, zum Beispiel zum Ausführen einer Bestellung. Voraussetzung für eine internationale Datenübermittlung ist aber auch ein angemessenes Niveau an Datenschutz beim Empfänger, was innerhalb der EU und den EWR-Ländern gegeben ist. 

Für weitere Drittstaaten gibt es darüber hinaus einen sogenannten Angemessenheitsbeschluss. Die Europäische Kommission fasst diesen Beschluss für Staaten, in denen personenbezogene Angaben einem ähnlich hohen Datenschutz wie der DSGVO unterliegen. Drittstaaten mit Angemessenheitsbeschluss sind zum Beispiel Israel, Neuseeland, Schweiz, Japan oder Argentinien. In diese Staaten dürfen personenbezogene Daten ohne weitere Genehmigung übermittelt werden.

 

Datenschutz-Paket Pro

  • Externer Datenschutzbeauftragter
  • Anwaltliches Beratungsgespräch
  • Rechtssichere Datenschutzdokumente
  • Persönliche Datenschutzschulung
Mit einem Experten sprechen Jetzt buchen
datenschutz-paket-pro

 

Datenschutzbestimmungen in den USA

In den USA gibt es, anders als in Deutschland oder Europa, kein umfassendes Datenschutzgesetz. Unternehmen der Vereinigten Staaten legen ihr Datenschutzniveau selbst fest. Es kann wettbewerbsrechtliche Konsequenzen haben, gegen die selbst gesetzten Vorgaben zu verstoßen, weil dies als unlauteres Vorgehen gewertet wird. 

Die Vereinigten Staaten arbeiten stattdessen mit branchenspezifischen Regelungen. Die Regelungen beziehen sich beispielsweise auf die Bereiche Wirtschaft und Handel, Gesundheitswesen oder den Finanzsektor. Durch diese branchenspezifischen Gesetze sind Unternehmen in den USA dazu verpflichtet, die Sicherheit personenbezogener Daten zu gewährleisten. Sie unterliegen außerdem einer Meldepflicht, sollte es zu einem Datenleck kommen. Eine Aufsichtsbehörde regelt die Durchsetzung der Datenschutzvorschriften und kann durch Überprüfungsmaßnahmen und Sanktionen das Verhalten von Unternehmen beeinflussen.

 

 

tip

US-Amerikanische Apps

Wir greifen bereits tagtäglich auf Anwendungen aus den USA zurück, siehe Facebook, Google, aber auch WhatsApp. Mit dem Messengerdienst bleibst du nicht nur mit deinen Freunden in Kontakt, sondern kannst dich auch mit Geschäftskunden austauschen oder sogar Newsletter versenden. Beim WhatsApp-Datenschutz ist besonders bei einer geschäftlichen Nutzung aufgrund der Verarbeitung persönlicher Daten einiges zu beachten.

 

 

Datenschutz in EU und USA – Bisherige Schwierigkeiten und Lösungsversuche

Es gab bisher bereits verschiedene Anläufe für ein Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Denn die USA gelten im Hinblick auf den Datenschutz als ein unsicheres Drittland ohne ausreichendes Schutzniveau

Damit eine Übermittlung von Daten trotzdem möglich ist, wurden verschiedene Sonderregelungen geschaffen, zum Beispiel Safe Harbor oder Privacy Shield, allerdings scheiterten beide. Der aktuelle Ansatz ist das Trans-Atlantic Data Privacy Framework (TADPF), also das transatlantische Datenschutzabkommen. 

Was unterscheidet Europa und die USA in Sachen Datenschutz?

Der Datenschutz wird in Europa und den USA ganz unterschiedlich betrachtet. Bei uns wird der Schutz personenbezogener Daten als Grundrecht angesehen, sodass die Datenschutzgesetze für alle Unternehmen gelten. 

In den USA ist der Datenschutz allerdings nur ein Teil des Verbraucherschutzrechts und ein Teilelement der Wirtschaft. In den USA gilt der Datenschutz mit verschiedenen Vorschriften für einzelne Sektoren also eher fragmentarisch. Beispielsweise werden sensible Gesundheitsdaten von Patienten mit dem “Health Insurance Portability and Accountability Act” geschützt, während sich der “Gramm-Leach-Bliley Act” um die Vertraulichkeit von Daten in Finanzinstituten dreht. 

Dass die datenschutzrechtliche Aufsicht der Federal Trade Commission (FTC) zukommt, bringt die wirtschaftliche Sicht auf den Datenschutz zum Ausdruck. Es handelt sich dabei um die Bundeshandelskommission, die für verbraucherschutz- und wettbewerbsrechtliche Kontrolle der Unternehmen zuständig ist. Bei uns allerdings gibt es unabhängige Datenschutzbeauftragte und -behörden, die für öffentliche und nicht-öffentliche Stellen zuständig sind. 

Weitere Unterschiede ergeben sich durch die Sicherheitsgesetze der USA. Durch den USA Patriot Act wurden die Befugnisse von Sicherheitsbehörden ausgeweitet, wodurch Behörden ohne etwaige gerichtliche Anordnungen auf Daten zugreifen können. Durch Whistleblower wurde bekannt, dass es sich nicht nur um punktuelle Zugriffe, sondern um eine permanente Auswertung von Daten handelt.

Wie ist es zum Trans-Atlantic Data Privacy Framework (TADPF) gekommen?

Mit den Sonderregelungen Safe Harbor und Privacy Shield sollte bei US-amerikanischen Unternehmen ein Schutzniveau erreicht werden, das eine Übermittlung von Daten mit dem europäischen Datenschutzrecht ermöglicht.

 

 

Safe Harbour 
Durch das Safe-Harbor-Abkommen sollten sich Unternehmen in den USA öffentlich zu bestimmten Grundsätzen des Datenschutzes bekennen, die zuvor vom US-Handelsministerium aufgestellt wurden. Durch das Bekenntnis wurden die Unternehmen anschließend in eine Liste aufgenommen, die vom Ministerium geführt wurde.

US-amerikanische Unternehmen mussten sich damit an verschiedene Grundsätze halten, zum Beispiel eine Informationspflicht, Datenintegrität und ein Auskunftsrecht. Der Europäische Gerichtshof (EuGH) hat das Safe-Harbor-Abkommen 2015 für ungültig erklärt. Nach Meinung des Gerichts gewährleistet Safe Harbor keinen ausreichenden Datenschutz. 

Privacy Shield 
Mit dem Nachfolgeabkommen zu Safe Harbor sollte dennoch rechtliche Sicherheit bei der internationalen Übertragung von persönlichen Daten sichergestellt werden. Es enthielt verschiedene Verschärfungen, wurde allerdings 2020 ebenso durch den Europäischen Gerichtshof für ungültig erklärt. Grund dafür ist, dass dieses Abkommen Europäer nicht vor Überwachung durch die USA schützt. 
Auch im Privacy-Shield-Abkommen sollten Unternehmen bestimmte Datenschutzregeln befolgen und Betroffenenrechte gewährleisten, allerdings waren das keine verbindlichen Vorgaben.

datenschutzbestimmungen-usa

Das wesentliche Problem wird zumeist in den umfassenden Befugnissen der US-Sicherheitsbehörden gesehen und der Gesetzeslage, nach denen Behörden unabhängig von Betroffenen Zugriff auf gespeicherte Daten erhalten. 

Der neueste Ansatz für eine Übermittlung, die mit unseren Datenschutzgesetzen vereinbar ist, ist TADPF. Es wird mitunter auch als Privacy Shield 2.0 bezeichnet. Damit sollen außerdem die im Schrems-II-Urteil (das Urteil, durch welches das Privacy Shield für ungültig erklärt wurde) genannten Bedenken des EuGH aus dem Weg geräumt werden, teilte die EU-Kommission mit.

Transatlantisches Datenschutzabkommen

Mit dem TADPF wurde im März 2022 eine neue Einigung für den transatlantischen Datentransfer erzielt, die auch schon durch das Weiße Haus kommuniziert wurde

Bei diesem Datenschutzabkommen handelt es sich um die Grundlage für die EU-Kommission, das Datenschutzniveau in den USA für vergleichsweise zur DSGVO angemessen zu erklären und somit internationale Datenübermittlung zu ermöglichen bzw. vereinfachen. Auf diese Weise erhält die USA durch die Kommission einen Angemessenheitsbeschluss.

Was besagt das neue transatlantische Datenschutzabkommen?

Bei dem Trans-Atlantic Data Privacy Framework handelt es sich um das neue Abkommen zwischen den USA und der Europäischen Union, um einen rechtssicheren Datentransfer zwischen ihnen zu ermöglichen. Außerdem soll es die Einhaltung der Vorgaben aus der DSGVO sicherstellen. Zur Implementierung des Privacy Shield 2.0 unterzeichnete US-Präsident Biden bereits im Oktober 2022 eine Executive Order (EO), also eine Durchführungsverordnung.

Mit der EO und dem transatlantischen Datenschutzabkommen sollen zudem weitere Schutzmaßnahmen eingeführt werden. Ziel des Trans-Atlantic Data Privacy Framework ist ein freier, aber sicherer grenzüberschreitender Datenverkehr mit mehr Rechtssicherheit für betroffene Unternehmen.

Durch das Datenschutzabkommen und die damit einhergehenden Schutzgarantien können personenbezogene Daten zwischen EU und USA verarbeitet werden. Die USA verpflichtet sich dafür aber zur Einhaltung verschiedener Datenschutzpflichten, zum Beispiel: safe-harbour-abkommen

  1. Löschung von personenbezogenen Daten, wenn sie für den Zweck nicht mehr erforderlich sind
  2. Gewährleistung des Datenschutzes bei Weitergabe der Daten an Dritte
  3. Bei Verstößen Rechtsbehelfe für EU-Bürger (z. B. Streitbeilegungsverfahren)

Die EO definiert den zweistufigen Rechtsschutzmechanismus für Einzelpersonen. Beschwerden können beim Civil Liberties Protection Officer (CLPO) eingereicht werden, der die Meldung unabhängig untersucht und beilegt, beispielsweise durch verbindliche Abhilfemaßnahmen. Ist die betroffene Einzelperson mit dieser Entscheidung nicht einverstanden, kann beim Data Protection Review Court Einspruch erhoben werden, allerdings handelt es sich dabei nicht um ein echtes Gericht. . 

US-Behörden wird mit dem transatlantischen Datenschutzabkommen außerdem der Zugang zu Daten beschränkt, und zwar auf ein zum Schutz der nationalen Sicherheit notwendiges Maß. Das heißt, Behörden der USA dürfen nur dann auf persönliche Daten zugreifen, wenn es zur Verfolgung einer bestätigten geheimdienstlichen Priorität erforderlich ist. Das lässt sich mit dem Datenminimierungsprinzip der DSGVO vergleichen.

Ablauf des Angemessenheitsbeschlusses

Die EU-Kommission hält sich für einen Angemessenheitsbeschluss an ein bestimmtes Verfahren. Im Dezember 2022 hat sie den Beschluss dem Europäischen Datenschutzausschuss (EDSA) vorgelegt, wodurch ein Annahmeverfahren eingeleitet wurde. 

Der EDSA prüft den Beschluss und gibt eine Stellungnahme ab. Es ist also weiterhin abzuwarten, ob sich die EU-Kommission nach den Kritikpunkten richten wird, denn sie ist nicht an die Stellungnahme des EDSA gebunden. Anschließend muss die Kommission die Zustimmung der Vertreter aller Mitgliedstaaten der EU einholen, wobei er mindestens durch eine Mehrheit angenommen werden muss. 

Sobald die EU-Mitgliedstaaten dem Angemessenheitsbeschluss zugestimmt haben, wird er formell angenommen und tritt nach einer zusätzlichen Veröffentlichung im Amtsblatt der EU in Kraft. Dieser Vorgang nimmt circa sechs Monate in Anspruch. Voraussetzung bleibt aber, dass die Vereinigten Staaten den in der EO festgelegten Rechtsschutz aufrechterhalten können. Das Datenschutzabkommen zwischen EU und USA soll zudem von der EU-Kommission, den europäischen Datenschutzbehörden und zuständigen US-Behörden regelmäßig überprüft werden. 

Im Februar 2023 hat sich der EU-Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments kritisch geäußert und meinte, dass der Entwurf kein tatsächlich gleiches Datenschutzniveau herstelle. Im Vergleich dazu äußert sich der EDSA überwiegend positiv und begrüßt die Verbesserungen. Allerdings wird auch kritisiert, dass einige Kritikpunkte im Schrems-II-Urteil weiterhin unberücksichtigt blieben, wie zum Beispiel das Widerspruchsrecht von Verbrauchern. Außerdem zu bedenken gibt der Ausschuss, dass bei Massenerhebungen keine unabhängige Behörde vorhanden sei. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) stimmt den Kritikpunkten zu. 

Im Mai 2023 äußerte sich das EU-Parlament kritisch und gibt zu Bedenken, dass das Abkommen kein gleichwertiges Datenschutzniveau schaffe und forderte die Kommission zu weiteren Verhandlungen auf und dazu den Angemessenheitsbeschluss erst dann anzunehmen, wenn alle Empfehlungen des EDSA umgesetzt wurden. Die EU-Kommission kann diese Entscheidung aber vollständig eigenhändig treffen.

Konsequenzen des Abkommens für Online-Händler

Das Trans-Atlantic Data Privacy Framework richtet sich hauptsächlich an Unternehmen in den Vereinigten Staaten. Für diese gelten nun strengere Verpflichtungen bezüglich personenbezogener Daten, die aus der EU übermittelt werden. 

Für dich als Online-Händler vereinfacht das den internationalen Handel mit den USA, da diese durch den Angemessenheitsbeschluss als sicher eingestuft werden. Unternehmen müssen jetzt keine speziellen Schutzmaßnahmen mehr nach der DSGVO treffen, um europäische Daten an das jeweilige Drittland zu übermitteln. 

Allerdings haben die Änderungen für Online-Händler Auswirkungen auf die Datenschutzerklärungen von Online-Shops, Präsentationsseiten und Blogs und Foren, sofern darüber Daten der Websitebesucher in die USA übermittelt oder dort verarbeitet werden. Auch die Inhalte der Datenschutzerklärung der Unternehmensseiten auf Social Media Kanälen sind betroffen. Datenschutzerklärungen der Händlershops auf Plattformen wie zum Beispiel Ebay und Amazon sind davon jedoch nicht betroffen. 

Das Wirksamwerden des TADPF hat Änderungen an den Datenschutzklauseln mit US-Bezug zur Folge, sodass Online-Händler die Datenschutzerklärung auf allen betroffenen Internetpräsenzen austauschen müssen. Die aktualisierte Datenschutzerklärung steht den Mitgliedern des Händlerbunds ab sofort über den Login-Bereich zum Download zur Verfügung.

 

 

 

Fazit zum transatlantischen Datenschutzabkommen

Die Datenschutzgrundverordnung gewährt allen Bürgern der EU und der EWR-Länder einen grundlegenden Schutz ihrer personenbezogenen Daten und ein Recht auf informationelle Selbstbestimmung. Deswegen können wir selbst entscheiden, welche Daten wir wem preisgeben und was mit ihnen passieren soll. 

Einen solch weitreichenden Datenschutz haben aber nicht alle Länder dieser Welt, sodass einige Drittländer als zu unsicher eingestuft wurden, um mit ihnen persönliche Daten zu teilen. Für die USA ändert sich dies mit dem Trans-Atlantic Data Privacy Framework und einem Angemessenheitsbeschluss nachhaltig.

Der als gleichwertig betrachtete Datenschutz vereinfacht es dir als Online-Händler, personenbezogene Daten in die USA zu übermitteln. Aber eine erneute gerichtliche Überprüfung durch den EuGH ist wahrscheinlich. Deshalb ist bislang noch nichts in Stein gemeißelt, sodass du die Entwicklung am besten mit unserem Newsletter im Auge behältst.

datenschutzabkommen-fazit

Noch kein Händlerbund-Mitglied?

Mit dem Händlerbund bist du nicht nur beim Thema Datenschutz auf der sicheren Seite. Informiere dich hier über passende Mitgliedschaftspakete oder starte unseren Paketberater!

Unsere Mitgliedschaftspakete

  • Abmahnsichere Rechtstexte in 8 Sprachen schon ab 9,90 Euro*
  • Sichere Cookie-Banner-Lösung
  • Rechtsberatung (ab Premium)
  • Shop-Tiefenprüfung (Unlimited und Professional)
  • Soforthilfe bei Abmahnung** (Unlimited und Professional)
Paketberater starten Pakete im Überblick
mitgliedschaftspakete-4er

 

Das könnte dich auch interessieren

  1. Angemessenheitsbeschluss: Achte auf die Zertifizierung deiner Partner
  2. Kostenlose Mustervorlage zur Datenschutz-Richtlinie für HomeOffice/Telearbeit (HB Marketplace)
  3. Das sind die häufigsten Datenschutz-Fehler im Online-Shop
  4. Rechtssichere Datenschutzerklärung erstellen lassen
  5. Datenschutzbestimmungen im E-Commerce
  6. Hilfe bei Abmahnung zum Datenschutz (DSGVO)
Kommentare
Lass uns gern einen Kommentar da
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken