Trans-Atlantic Data Privacy Framework: "Viele Fragen noch offen"

Die EU-Kommission und das Handelsministerium der USA haben das Trans-Atlantic Data Privacy Framework (TADPF) beschlossen. Damit gibt es, drei Jahre nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage   für die Übertragung personenbezogener Daten aus der EU in die USA. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau - vergleichbar mit dem der Europäischen Union - für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.

Zwar beenden die Entscheidung der Europäischen Kommission und die Einführung des Trans-Atlantic Data Privacy Framework die jahrelange Unsicherheit für die digitale Wirtschaft zwischen der EU und den USA, die in hohem Maße auf Datenübertragungen angewiesen ist, räumt Piotr Korzeniowski , CEO des Webanalysetool-Anbieters Piwik PRO   . Allerdings stelle sich "angesichts der Vielzahl an Probleme und Bedenken bezüglich dieses neuen Abkommens die Frage nach der Nachhaltigkeit der Lösung".

Während die Verantwortlichen sowohl in der EU als auch in den USA die Qualität des Abkommens loben, hat der Aktivist Max Schrems (vgl. Jetzt wird's teuer: Was künftig bei DSGVO-Verstößen droht  ) bereits angekündigt, dass die Bürgerrechtsorganisation Noyb   das neue Abkommen vor Gericht anfechten wird, da viele kritische Fragen noch völlig offen seien. Das "angeblich neue" transatlantische Datenschutzabkommen sei weitgehend eine Kopie des gescheiterten 'Privacy Shield'-Abkommens, heißt es bei Noyb. Schrems: "Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet." Auch wenn im Moment alles geklärt scheint, sollten Unternehmen, die auf transatlantische Datenübertragungen angewiesen sind, bedenken, dass ein Schrems III-Urteil durchaus wahrscheinlich ist, schlussfolgert Korzeniowski.

"Die Tatsache, dass der dritte Versuch, diesen wichtigen Teil der digitalen Wirtschaft zu regulieren, uns nicht vorwärtsbringt und so viele Probleme der Vorgänger wiederholt, ist ziemlich schockierend. Die digitale Wirtschaft braucht klare Spielregeln, um zu wachsen. Was jetzt geschieht, zeugt von mangelndem Verantwortungsbewusstsein der Regierungsgremien und bedroht den Erfolg der EU-Unternehmen", kritisiert Korzeniowski.

Die Einführung eines nachhaltigen Datenübertragungsmechanismus sei entscheidend, damit sich das Chaos der Vergangenheit nicht wiederhole. "Aus der Ungültigkeitserklärung von Privacy Shield, dem vorherigen Datentransferabkommen, haben wir gelernt, dass verschiedene beliebte Technologien, die von US-amerikanischen BigTech-Unternehmen angeboten werden - insbesondere aus dem Marketing und der digitalen Analytik - ein Compliance-Risiko darstellen und zu hohen Geldstrafen führen können", mahnt Korzeniowski. Erst am 3. Juli 2023 veröffentlichte die schwedische Datenschutzbehörde ein Statement   , das anordnete, dass vier Unternehmen Google Analytics nicht mehr verwenden dürfen. Gegen zwei von ihnen verhängte die Behörde Geldbußen in Höhe von umgerechnet 25 000 Euro (CDON) und 1 Millionen Euro (Tele2).

Aus diesem Grund sei es für Unternehmen mehr als sinnvoll, die verwendete Technologie und die Vorgehensweisen zu aktualisieren, um sie so "Schrems-III-sicher" wie möglich zu machen. Piwik PRO empfiehlt daher:

• schnellstmöglich ein Technologie-Audit durchzuführen, um alle Datenströme zu erfassen und die Systeme zu identifizieren, die auf Datenübertragungen in die USA angewiesen sind.
  
• wenn möglich zu einem EU-Anbieter mit EU-Hosting zu wechseln. Auf diese Weise können Probleme der Datenübermittlung vollständig ausgeschaltet und die Systeme Schrems-III-sicher gemacht werden.
  
• Sollte ein Wechsel nicht möglich sein, sollten sich Unternehmen mit Ihren juristischen und technischen Teams beraten, um zusätzliche Sicherheitsvorkehrungen zu treffen, die es ermöglichen, potenzielle Risiken in Zukunft zu mindern.