TADPF – endlich die Lösung für die Digitalindustrie?

Mit Spannung wurde die Ankündigung der EU-Kommission und den USA zu einem transatlantischen Datenschutzrahmen aufgenommen. Der Trans-Atlantic Data Privacy Framework (TADPF) soll die Übermittlung von personenbezogenen Daten datenschutzkonform aufstellen und transparent machen. Warum die transnationale Zusammenarbeit dringend einen rechtssicheren Rahmen braucht, erläuterte Heiko Staab in seinem Meinungsartikel für die Adzine. Seine wichtigsten Positionen werden hier zusammengefasst.


Das Trans-Atlantic Data Privacy Framework (TADPF) – Problemlöser für alle Fälle?

Das TADPF ist das Ergebnis von intensiven Verhandlungen zwischen der EU und den USA. Das bis dato gültige Abkommen „Privacy Shield” zur Übermittlung personenbezogener Daten wurde mit dem Urteil „Schrems II” des Europäischen Gerichtshofes (EuGH) im Juli 2020 für unwirksam erklärt, weil es dem Rechtsrahmen nicht entspräche und die Daten nicht genug schütze. Problematisch seien vor allem die staatlichen Zugriffe der USA auf die Daten der EU-Bürger:innen.

Aktuell: transatlantische Zusammenarbeit kaum möglich

Diese Entscheidung erschwert die digitale Zusammenarbeit von europäischen und eingetragenen US-amerikanischen Unternehmen, eigentlich ist sie sogar fast unmöglich. Selbst wenn US-Firmen die gesammelten Daten gar nicht in den USA speichern, diese verschlüsseln und vertragliche Garantien zum Datenschutz gewährleisten, können staatliche Zugriffe auf diese Daten nicht gänzlich ausgeschlossen werden. Alle US-Unternehmen unterliegen dem US-Gesetz 50 U.S. Code § 1881a (FISA 702), welches sie dazu verpflichtet, den US-Behörden jederzeit einen Zugriff auf die Daten zu gewähren oder diese sogar herauszugeben – ungeachtet dessen, wo sie gespeichert sind. Diese Verpflichtung kann sich außerdem auf kryptografische Schlüssel erstrecken. So war es etwa für die österreichischen und französischen Datenschutzbehörden schnell klar, dass die Verwendung von Google Analytics so nicht mehr möglich ist, weil kein egalitäres Schutzniveau bei der Drittlands-Datenübermittlung sichergestellt werden kann.

Für den Übergang: Ausnahme in der DSGVO

Für Publisher bleibt aktuell fast nur die Möglichkeit, sich auf die in der DSGVO ausgelegte Ausnahmegenehmigung zu beziehen. So weisen sie ihre User:innen mittels Consent-Banner-Dialog darauf hin, dass ein Datentransfer mit Drittländern stattfindet. User:innen können sich dann frei entscheiden, der Datenübermittlung vollumfänglich zuzustimmen, nur auf einzelne Dienste zu beschränken oder gänzlich abzulehnen. Kritik daran kommt bereits von manchen Datenschützer:innen, denn eine Datenübermittlung, die nicht auf Garantie-Instrumente nach Art. 46 DSGVO basiert, sondern durch die direkten Einwilligungen der Nutzer:innen erfolgt, kann kein ausreichendes Schutzniveau herstellen.

Am Ende bedeutet der aktuelle Status quo das Aus für erfolgreiche digitale Zusammenarbeit mit US-Firmen. Für die Ausführung digitaler Services ist in aller Regel eine Übermittlung von personenbezogenen Daten nötig – auch wenn es sich lediglich auf den Aufruf einer IP-Adresse beschränkt.

TADPF braucht schnelle Umsetzung

Das neue Trans-Atlantic Data Privacy Framework (TADPF) ist also elementar für transatlantische Wirtschaftsbeziehungen, als rechtssicherer Rahmen für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten unter Berücksichtigung aller Kritikpunkte des EuGH.

Jetzt muss dieser politische Wille noch schnell umgesetzt werden. Es bedarf einer konkreten Ausformulierung, damit das Abkommen final vor dem EuGH besteht und für die Digitalindustrie die Zukunft ebnet.