Vor nunmehr knapp zwei Monaten, am 10. Juli 2023, hat die Europäische Kommission den lang erwarteten Angemessenheitsbeschluss nach Art. 45 DSGVO für das EU-US Data Privacy Framework (TADPF) erlassen. Wir hatten dazu ausführlich berichtet.
Damit wurde durch die EU-Kommission offiziell bestätigt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen EU-US Data Privacy Framework aus der EU in die USA übermittelt werden.
US-Unternehmen können sich dem EU-US Data Privacy Framework anschließen und verpflichten sich damit zur Einhaltung gewisser Datenschutzstandards. Dazu durchlaufen die Unternehmen ein Zertifizierungsverfahren und anschließend können Datentransfers europäischer Unternehmen zu ihnen auf das Framework gestützt werden. Weitere Maßnahmen und Garantien können entfallen, womit auch Standardvertragsklauseln und Transfer Impact Assessments bald der Vergangenheit angehören sollten.
Das klingt zunächst einmal vielversprechend – jedoch sind die Meinungen der Deutschen Datenschutzaufsichtsbehörden gespalten. Und auch Max Schrems von der Initiative NOYB hat bereits Bedenken angemeldet und angekündigt, auch dieses Abkommen vor dem EuGH zu Fall zu bringen.
Also Ernüchterung statt Euphorie?
Zunächst schien in jedem Fall der initiale Erfolg davon abzuhängen, wie zügig und effizient eine Zertifizierung der US-Unternehmen möglich ist. Viele erwarteten einen erheblichen organisatorischen Aufwand. Dann aber wurde die Liste der sich beteiligenden Unternehmen auf der offiziellen Website des US-Handelsministeriumsschnell länger.
Hintergrund: Eine alte Zertifizierung nach dem eigentlich von Europäischen Gerichtshof als ungültig erklärten EU-US PrivacyShield-Abkommen wird jetzt auch nach dem TADPF anerkannt.
Das zeigt, wie wenig sich zumindest auf Seiten der beteiligten US-Unternehmen geändert hat. Die US-Regierung hat sich jedoch bemüht, zumindest vordergründig ihrer Verwaltung und insbesondere ihren Sicherheitsbehörden die Zügel anzulegen. Die Zukunft wird zeigen, ob das EU-US Data Privacy Framework einer erneuten Prüfung durch den Europäischen Gerichtshof standhalten kann. Max Schrems bereitet sich jedenfalls schon auf das nächste Verfahren vor, es wird also ein „Schrems III“-Urteil geben.