Das Trans-Atlantic Data Privacy Framework (TADPF) ist das neue Datenschutzabkommen zwischen der EU und den USA. Dieser Blogpost erklärt, was das TADPF für dein Unternehmen bedeutet und wie du dich darauf vorbereiten kannst.
Ein neuer Stern am Horizont: Das Trans-Atlantic-Data-Privacy-Framework (TADPF)
Es gibt eine wichtige Neuigkeit, die du kennen solltest: das neue Trans-Atlantic Data-Privacy-Framework (TADPF). Dieses frische Datenschutzabkommen zwischen der EU und den USA tritt an die Stelle des alten Privacy Shield. Es mag kompliziert klingen, aber keine Sorge, ich bin hier, um es dir zu erklären, dir bei der Vorbereitung zu helfen und dir die wichtigsten Punkte einfach zu erklären.
Was ist das TADPF?
Das TADPF ist ein neues Datenschutzabkommen, das den freien und sicheren Datenfluss zwischen der EU und den USA gewährleisten soll. Es wurde eingeführt, um die Unsicherheit zu beenden, die entstand, als das Privacy Shield im Juli 2020 vom Europäischen Gerichtshof außer Kraft gesetzt wurde. Dieses neue Abkommen ist das Ergebnis jahrelanger Verhandlungen und Bemühungen, einen sicheren und rechtskonformen Weg für den Datentransfer zwischen diesen beiden wichtigen Wirtschaftsräumen zu schaffen.
Warum ist das TADPF wichtig?
Wenn du Daten in ein Land außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) (also auch ein Datentransfer in die USA) überträgst, benötigst du eine „Garantie“ für den Drittlandtransfer. Das TADPF dient als solche Garantie für Datenübermittlungen in die USA. Es stellt sicher, dass die Daten von EU-Bürgern, die in die USA übertragen werden, einen angemessenen Schutz genießen und ihre Rechte gewahrt bleiben. Ohne solche Garantien könnten Unternehmen, die Daten in die USA übertragen, gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und sich hohen Strafen aussetzen.
Was bedeutet das TADPF für dein Unternehmen?
Das TADPF bringt einige neue Regeln und Garantien mit sich:
- Neues Regelwerk und verbindliche Garantien: Diese sollen den Datenzugriff und die Überwachung der US-Geheimdienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist. Das bedeutet, dass die US-Geheimdienste nicht einfach auf die Daten von EU-Bürgern zugreifen können, sondern dass sie bestimmte Voraussetzungen erfüllen müssen.
- Zweistufiges Rechtsbehelfssystem: Dieses System soll Beschwerden von EU-Bürgern über den Zugang zu Daten durch US-Nachrichtendienste untersuchen und beilegen. Das bedeutet, dass EU-Bürger, die glauben, dass ihre Daten unrechtmäßig von US-Nachrichtendiensten abgerufen wurden, einen Weg haben, ihre Beschwerden vorzubringen und eine Lösung zu suchen.
- Strengere Verpflichtungen für Unternehmen: Wenn ein Unternehmen Daten verarbeitet, die aus der EU übermittelt wurden, muss es sich selbst zertifizieren. Das bedeutet, dass es nachweisen muss, dass die Regeln des TADPF eingehalten, die Daten aus der EU und somit die Privatsphäre sowie der Datenverkehr von und in die EU angemessen geschützt werden.
- Spezifische Überwachungs- und Überprüfungsmechanismen: Diese Mechanismen sollen sicherstellen, dass die Regeln eingehalten werden. Das bedeutet, dass es regelmäßige Kontrollen geben wird, um zu überprüfen, ob Unternehmen die Regeln des TADPF einhalten.
Wie kannst du dich auf das TADPF vorbereiten?
Damit du zum Start des Trans-Atlantic Data-Privacy-Frameworks gut gerüstet bist, gibt es einige Vorkehrungen zu treffen. Hier findest du meine konkreten Handlungsempfehlungen für dein Unternehmen
- Zertifizierung von Auftragsverarbeitern überprüfen: Untersuche, ob die von dir genutzten Auftragsverarbeiter mit Sitz in den USA eine Zertifizierung gemäß TADPF vorweisen können. Sollte dies nicht der Fall sein, müssen die bisherigen Bestimmungen zum Datentransfer weiterhin eingehalten werden. Du kannst auf der → offiziellen Seite des Data Privacy Frameworks direkt nachschauen, ob dein Dienstleister bzw. Auftragsverarbeiter bereits zertifiziert ist.
- Anpassung von Standardvertragsklauseln prüfen: Sieh dir deine bestehenden Standardvertragsklauseln mit US-Auftragsverarbeitern an und prüfe, ob Anpassungen in Bezug auf das TADPF notwendig sind.
- Sicherung von nicht-zertifizierten Auftragsverarbeitern: US-Auftragsverarbeiter, die nicht dem TADPF beigetreten sind, müssen weiterhin durch Standardvertragsklauseln (SCC) und Transfer Impact Assessments (TIA = Datenschutz-Folgeabschätzung für Drittländer) abgesichert werden.
- Aktualisierung der Datenschutzerklärungen: Überarbeite deine Datenschutzerklärungen bis spätestens Ende 2023. Dabei solltest du die rechtliche Grundlage für den Drittlandtransfer darlegen, den Empfänger nennen und den Übergang von SCC auf TADPF dokumentieren.
- Regelmäßige Überprüfung von Auftragsverarbeitern: Stelle sicher, dass du regelmäßig überprüfst, ob deine bestehenden Auftragsverarbeiter aus den USA dem TADPF beigetreten sind.
- Dokumentation im Verarbeitungsverzeichnis: Die geänderten Grundlagen des Datentransfers müssen in deinem Verarbeitungsverzeichnis dokumentiert werden.
- Aktualisierung von Drittlands-Folgeabschätzungen: Bestehende Drittlands-Folgeabschätzungen (TIA), die Risiken der Datenübertragung in die USA enthalten, müssen aktualisiert werden.
Mit diesen Handlungsempfehlungen bist du gut aufgestellt, um die Änderungen, die das TADPF mit sich bringt, effektiv zu managen. Bleibe proaktiv und halte dich auf dem Laufenden, um sicherzustellen, dass dein Unternehmen den Datenschutzbestimmungen entspricht.
Was kommt als Nächstes?
Es gibt noch einige Unklarheiten rund um das TADPF, und es gibt bereits Kritikpunkte von Datenschützern, wie Max Schrems. Es bleibt abzuwarten, wie sich die Situation in der Praxis entwickelt und ob das neue Framework Unternehmen für die nächsten Monate oder sogar Jahre Sicherheit bietet. Es ist auch möglich, dass es Änderungen oder Ergänzungen zum TADPF durch die Europäische Kommission (EU-Kommission) und zwischen den USA und der EU geben wird, also ist es wichtig, auf dem Laufenden zu bleiben.
Fazit
Das TADPF ist ein wichtiger Schritt in Richtung einer sicheren und freien Datenübermittlung zwischen der EU und den USA. Es ist wichtig, dass du als Unternehmen verstehst, was das TADPF bedeutet und wie du dich darauf vorbereiten kannst. Bleibe informiert und überprüfe deine Datenflüsse, um sicherzustellen, dass du bereit bist für das TADPF. Bei Fragen dazu komme gerne jederzeit auf mich zu.