Fast zu schön scheint es, wenn Datenschutzbeauftragte derzeit den Transfer personenbezogener Daten über den Atlantik hinweg quasi durchwinken können. Sicherlich müssen Verträge geprüft werden; Dienstanbieter müssen es sich noch gefallen lassen, wenn man genau hinschaut. Aber unter dem Strich sorgt das TADPF (Trans-Atlantic Data Privacy Framework) dafür, dass personenbezogene Daten legal und obendrein verhältnismäßig simpel von A nach B transferiert werden können. Gut so.
Vor Inkrafttreten des TADPF-Abkommens war es müßig bis unmöglich, personenbezogene Daten rechtssicher über den Atlantik zu bekommen. Wenn Standardvertragsklauseln nicht reichten, mussten zusätzliche Garantien geschaffen und dokumentiert werden. In nicht wenigen Fällen halfen zusätzliche Datenschutz-Folgenabschätzungen oder auch mal lange Telefonate mit Datenschutz-Aufsichtsbehörden. In anderen Fällen musste empfohlen werden, die Datenübermittlung einzustellen. Unschön, wenn man bedenkt, wie einfach die Welt doch sein könnte.
Doch die nächste Hängepartie droht. Und zwar gleich mehrfach. Da wäre zum Beispiel der französische Abgeordnete Philippe Latombe (Demokratische Bewegung / Mouvement démocrate). Er kündigte vor der französischen Datenschutz-Aufsichtsbehörde, der CNIL an, dass er gleich zwei Gründe zu klagen hat. Zum einen, so schrieb Politico am 07. September 2023, geht es ihm um die Umstände der Datenverarbeitung in den USA selbst. Die Verarbeitungen verstoßen laut Latombe gegen die Charta der Grundrechte der Union. Die Massenerfassung personenbezogener Daten gewährleiste die Achtung des Privat- und Familienlebens betroffener Personen nicht ausreichend. Er klagt dagegen.
Eine weitere Klage ging beim Europäischen Gerichtshof ein, weil Philippe Latombe einen Verfahrensfehler entdeckt haben will: Die Veröffentlichung des TADPF erfolgte nicht Verfahrens-konform. Die Mitglieder der EU erhielten den Datenschutzrahmen nur auf englischer Sprache, nicht aber in den entsprechenden Landessprachen.
Auch die TAZ widmete sich in einem Artikel vom 10. September 2023 dem Transatlantischen Datenschutz-Abkommen. Die Chancen der Klagen von Philippe Latombe sehen laut TAZ nicht gut aus. Es fehlt hier wohl an einer individuellen Betroffenheit. Größere Erfolgsaussichten sieht man bei jemand anderem: Der Österreicher Max Schrems, einst erfolgreicher Kläger gegen das Safe-Harbour-Abkommen und das Privacy Shield, plant ebenfalls eine Klage, quasi seinen Hattrick. Ziel der Klage ist jedoch nicht das Abkommen selbst. Max Schrems wartet wohl auf die ersten US-Diensteanbieter, welche sich auf das TADPF beziehen wollen, um einen Datentransfer zu begründen. Gegen einen Anbieter wird Max Schrems, ggf. über die NOYB (Nichtregierungsorganisation; Verein „Europäisches Zentrum für digitale Rechte“), vor einem nationalen Gericht vorgehen, welches die Klage dann an den EuGH weiterleitet.
Letztlich wird bei einer genauen Lektüre der Grundlagen für den Angemessenheitsbeschluss TADPF klar, dass sich in Bezug auf die Rechte betroffener Personen nicht viel getan hat. Selbstredend absehbar wird eine Klage von Max Schrems sein.
Ohne einen Blick in die Glaskugel zu werfen, ist es sehr wahrscheinlich, dass internationale Datenübermittlungen in naher Zukunft wieder etwas komplexer werden. Sie brauchen Assistenz dabei? Lassen Sie es uns wissen.