USA-Datentransfers wackeln wieder: TADPF unter Druck
Das Trans-Atlantic Data Privacy Framework (TADPF) sollte als Angemessenheitsbeschluss nach Art. 45 DSGVO zwischen der Europäischen Union und den USA Rechtssicherheit bei Datentransfers in die USA schaffen. Nun sorgt das Urteil Trump v. Slaughter (Az. 25–332) des US Supreme Court (höchstes Gericht der Vereinigten Staaten) zur Unabhängigkeit der Federal Trade Commission für neue Unsicherheit. Unternehmen sollten deshalb prüfen, ob ihre US-Datentransfers weiterhin sauber dokumentiert sind und ob sie sich zu stark allein auf das TADPF verlassen.
Was ist das TADPF und wie kam es dazu?
Viele Unternehmen nutzen US-Dienste wie Cloud-, Kommunikations-, Analyse- oder KI-Anbieter. Für solche Datentransfers in die USA war das TADPF in den letzten Jahren eine zentrale Erleichterung, weil Daten an zertifizierte US-Unternehmen auf Grundlage dieses Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DSGVO übermittelt werden konnten.
Für die Praxis bedeutet das: Unternehmen müssen prüfen, ob der jeweilige US-Anbieter tatsächlich in der DPF-Liste steht und ob die konkrete Datenübermittlung von der Zertifizierung abgedeckt ist, zum Beispiel bezüglich HR-Daten oder Non-HR-Daten.
In der gemeinsamen Historie der EU und der USA ist das Abkommen aber nicht der erste Meilenstein. Das TADPF ist schon der dritte Versuch, um die Übermittlung von Daten in die USA im Einklang mit der DSGVO und dem angestrebten Datenschutzniveau in trockene Tücher zu bekommen.
Das TADPF hat 2 Vorgänger. Auf der einen Seite das sogenannte “Safe Harbour”-Abkommen aus dem Jahr 2000, bei dem US-Unternehmen sich selbst zertifizieren konnten, um Daten aus der EU empfangen zu können. Dennoch wurde es am 6. Oktober 2015 durch das Schrems-I-Urteil (Az. C-362/14) für ungültig erklärt. Darauf folgte 2016 das EU-US Privacy Shield, welches strengere Auflagen bieten sollte, aber am 16. Juli 2020 durch das Schrems-II-Urteil (Az. C-311/18) ebenfalls vom EuGH gekippt wurde. Grund waren vor allem die weitreichenden Zugriffsrechte der US-Geheimdienste und mangelhafte Rechtsschutzmöglichkeiten für EU-Bürger.
Der nächste Anlauf folgte mit dem TADPF. Es ist das aktuelle und rechtsgültige Rahmeninstrument für den transatlantischen Datentransfer. Die Europäische Kommission hat hierfür am 10. Juli 2023 einen neuen Angemessenheitsbeschluss erlassen. Es soll als praktische Grundlage für den US-Datentransfer den Prüfungsaufwand reduzieren, dass durch Schrems-II entstandene Rechtsunsicherheit abmildern und betroffenen Personen zusätzliche Beschwerde- und Rechtsschutzmöglichkeiten bieten.
Seit dem Safe-Harbor-Abkommen spielt die Federal Trade Commission (FTC) eine wichtige Rolle bei der Durchsetzung der jeweiligen EU-US-Datenschutzrahmen als zentrale US-Aufsichts- und Durchsetzungsstelle. Wichtiger Punkt: Im TADPF wird die Unabhängigkeit der FTC nach Angaben von noyb 259 Mal aufgegriffen.
Was ist jetzt passiert?
Der aktuelle Anlass ist eine Entscheidung des US Supreme Court im Verfahren Trump v. Slaughter. Dabei ging es um die Frage, ob Mitglieder der Federal Trade Commission (FTC) nur aus bestimmten gesetzlich geregelten Gründen entlassen werden dürfen oder ob der US-Präsident sie grundsätzlich frei abberufen kann. Der Supreme Court entschied, dass die bisherige Einschränkung der Entlassbarkeit gegen die Gewaltenteilung verstoße. Nach Ansicht des Gerichts übt die FTC exekutive Gewalt aus und muss deshalb der Kontrolle des Präsidenten unterliegen.
Für die EU ist das deshalb relevant, weil das EU-Recht verlangt, dass Aufsichts- und Kontrollstellen unabhängig agieren können. Das TADPF stützt sich, wie bereits erwähnt, aber unter anderem darauf, dass bestimmte US-Stellen eine wirksame Kontrolle und Durchsetzung gewährleisten.
Wenn nun gerade die Unabhängigkeit der FTC infrage steht, kann das die Begründung schwächen, mit der die EU-Kommission den USA ein angemessenes Datenschutzniveau zugesprochen hat. Gleichzeitig gilt: Das TADPF ist dadurch nicht automatisch unwirksam. Der Angemessenheitsbeschluss bleibt formal bestehen, bis ihn die EU-Kommission aufhebt oder der EuGH für nichtig erklärt.
Drei auf einen Streich?
Der österreichische Datenschutzaktivist Max Schrems hatte bereits die ersten beiden EU-US-Datenschutzabkommen erfolgreich angegriffen. Die von ihm gegründete Datenschutzorganisation noyb bewertet nun auch die aktuelle Entscheidung kritisch. Sie argumentiert, dass sich die EU-Kommission im TADPF vielfach auf die Unabhängigkeit der FTC gestützt habe und diese Grundlage nun infrage stehe. Es wird argumetiert, dass sich die EU-Kommission im TADPF vielfach auf die unabhängige FTC gestützt habe und diese Grundlage nun weggefallen sei. noyb hat die EU-Kommission mit einem Schreiben aufgefordert, die Angemessenheitsentscheidung für die USA zu prüfen und aufzuheben. Aus Sicht von noyb betrifft die Entscheidung nicht nur Unternehmen, die sich direkt auf das TADPF stützen, sondern auch solche, die mit Standardvertragsklauseln oder Binding Corporate Rules arbeiten, weil deren Transfer Impact Assessments häufig ebenfalls auf US-Kontroll- und Rechtsschutzmechanismen verweisen.
Was bedeutet das für Unternehmen in der EU?
Für europäische Unternehmen bedeutet das: US-Datentransfers müssen nicht sofort gestoppt werden, solange das TADPF formal gilt. Wer US-Anbieter nutzt, sollte aber prüfen, ob der jeweilige Anbieter tatsächlich TADPF-zertifiziert ist, ob die konkrete Datenverarbeitung vom Zertifizierungsumfang umfasst ist und ob zusätzlich SCCs, TIAs oder andere Transferdokumentationen aktualisiert werden müssen oder vorsorglich überprüft werden sollten. Gerade bei kritischen Diensten sollte das TADPF nicht als „einmal geprüft und erledigt“ behandelt werden, sondern als Transfergrundlage, die weiter beobachtet und ergänzt werden muss.
Fazit
Welche konkreten Auswirkungen die Entscheidung des US Supreme Court auf das TADPF haben wird, bleibt abzuwarten. Klar ist aber: Das TADPF bleibt aktuell nutzbar, bietet jedoch keine endgültige Entwarnung für US-Datentransfers. Unternehmen sollten ihre US-Anbieter, Zertifizierungen, Transferdokumentationen und eingesetzten Transferinstrumente regelmäßig prüfen. Gleichzeitig könnte es für europäische Unternehmen sinnvoll sein, sich frühzeitig Gedanken zu machen, wie US-Datentransfers abgesichert oder neu organisiert werden könnten, falls das TADPF künftig wegfällt oder eingeschränkt wird.
Quellen
- Supreme Court Entscheidung, Trump v. Slaughter (Az. 25–332)
- noyb Beitrag zu Trump v. Slaughter (Az. 25–332)
- noyb formelles Schreiben an die EU-Kommission
- Datenschutz Notiz Beitrag Trump v. Slaughter (Az. 25–332)
- Art. 16 AEUV
- Art. 8 GRCh
- heise online Beitrag zu Trump v. Slaughter (Az. 25–332)
- BFDI zum Schrems II Urteil
- Gesellschaft für Datenschutz zum TADPF
- Schrems II Urteil
- Schrems I Urteil
Autor
Markus Vatter, Head of Compliance, 03.07.2026
Sprechen Sie mit unseren Experten.
Wir beraten Sie gerne und freuen uns auf Ihre Fragen.