Datenschutz ist allem voran Arbeit, die nach Sitzfleisch verlangt. Es gibt vor allem in Behörden zahlreiche Dokumente zu prüfen und zu erstellen. Dazu gehören beispielsweise auch Auftragsverarbeitungsverträge mit Dienstleistern.
Häufig bedienen sich vor allem die regional ansässigen IT-Dienstleister weiteren Subunternehmern aus aller Welt. Beliebt, weil die Funktionalität stimmt, sind US-Dienstleister. Ob nun AWS, Microsoft oder sonstige Dienstleister: Sehr häufig werden personenbezogene Daten in die USA übermittelt. Die Marktposition weniger großer US-IT-Dienstleister zwingt lokale Anbieter Services von Großanbietern mit anzubieten. Nischenprodukte aus der EU existieren für manche Anwendungsbeispiele zwar, jedoch sind diese mitunter nicht sehr gut zu vermarkten, weil die Anschaffungs-Preise deutlich über den Angeboten der großen Anbieter liegen oder weil die Anwendungen nur Insel-Lösungen abbilden können und weitere Software oder Hardware teuer zu beschaffen ist.
Ab Juli 2020 bestand für alle verantwortlichen Stellen in Europa, welche personenbezogene Daten beispielsweise in die USA übermittelten, eine unangenehme Hängepartie: Der Angemessenheitsbeschluss zwischen den USA und der EU, das sogenannte Privacy Shield, wurde im Schrems-II-Urteil gekippt. Eine Übermittlung personenbezogener Daten war fortan nur unter großem Aufwand möglich. Garantien mussten her; selbst mit den neuen und verwaltungsaufwändigen Standardvertragsklauseln waren Übermittlungen nur bedingt auf legalem Boden möglich.
Das ändert sich nun wieder. Die EU und die USA konnten sich auf das TADPF einigen; der neue Rechtsrahmen ist der aktuelle Angemessenheitsbeschluss, den wir brauchen, um personenbezogene Daten über den Atlantik zu senden. Für Behörden und Dienstleister ist das ein Aufatmen.
Es steht zu vermuten, dass es sich bei dem Aufatmen jedoch vielmehr nur um ein kurzes Luftholen handelt. Denn das Abkommen hat zwar einen neuen Namen, kommt jedoch in einem alten Gewand. Mit dem neuen Abkommen hat sich nicht viel geändert: Die Ansprüche an die Sicherheit personenbezogener Daten, welche das Privacy Shield haben kippen lassen, werden auch mit dem neuen Abkommen nicht erfüllt. Zwar gibt es mit TADPF ein neues Gericht (Data Protection Review Court), welches extra für die Rechte und Freiheiten betroffener Europäer eingerichtet wurde, jedoch wird unter anderem bemängelt, dass das Gericht nicht unabhängig agieren kann.
Schaut man genauer hin, fällt auf, dass das TADPF auf dem Privacy Shield aufbaut. Umfassende Reformen in Bezug auf die ebenfalls bemängelte Einsichtnahme in personenbezogene Daten durch US-Behörden, gab es nicht. Alte US-Normen, wie FISA 702 und die EO 12.333 haben noch immer Bestand. Ebendiese Rechtsgrundlagen, welche US- Behörden eine umfassende Überwachung und Einsichtnahme in personenbezogene Daten ermöglich, wurden nicht angepasst. Die Anpassungen, welche mit dem TADPF einhergingen, sind also vielmehr nur kosmetischen Verschönerungen, jedoch keine notwendigen Systemkorrekturen. Es ist, so wird vermutet, nur eine Frage der Zeit, bis auch der neue transatlantische Vertrag vor dem EuGH scheitern wird.
Wer dennoch stets und ständig Sitzfleisch beweisen muss, hat es die kommenden Monate zunächst einmal leichter. Die Rechtsgrundlage für eine Übermittlung personenbezogener Daten in die USA steht; die Prüfungen und die Erstellungen von Auftragsverarbeitungsverträgen sind nun simpler. Achten sollte man bei dem jeweiligen US-Dienstleister darauf, ob dieser im Data Privacy Framework Program des US-
Handelsministeriums gelistet sind. Eingetragen werden dort alle privaten Stellen (Unternehmen), welche ein Selbstzertifizierungsprogramm durchlaufen haben. Darüber hinaus bleibt es aus Sicherheitsgründen bei der alten Devise: Die Standardvertragsklauseln sollten dennoch mindestens griffbereit in der Schublade liegen.