Nachfolger für Privacy Shield beschlossen

von · Veröffentlicht · Aktualisiert

Nachdem der EuGH 2020 das sogenannte „Privacy Shield“, womit eine sichere Datenübermittlung aus der EU in die USA gewährleistet werden sollte, gekippt hat, liegt nun ein neues Datenschutzabkommen auf dem Tisch. Nachdem der EuGH 2020 das sogenannte „Privacy Shield“ gekippt hat, fand die Datenübertragung in die USA quasi im rechtsfreien Raum statt. Nun hat US-Präsident Biden ein Dekret unterzeichnet, das den Umgang mit europäischen Daten in datenschutzkonformer Weise gewährleisten soll. Der Erlass ist der erste konkrete Schritt nach längeren Bemühungen der EU-Kommission und der US-Regierung, wieder einen rechtssicheren Rahmen für den transatlantischen Datentransfer zu schaffen. Ob die neuen Regelungen diesen Anforderungen gerecht werden, ist allerdings offen.

Am 7.10.2022 hat US-Präsident Joe Biden ein Dekret unterzeichnet, dass neue Regelungen für den Umgang mit Daten von EU-Bürgern vorsieht. Die US-Regierung strebt mit dem Regelwerk einen sogenannten Angemessenheitsbeschluss der EU-Kommission an, der die rechtssichere Übertragung europäischer personenbezogener Daten in die USA ermöglichen würde. Die beiden Vorgängerregelungen „Safe Harbour“ und „Privacy Shield“ wurden vom Europäischen Gerichtshof (EuGH) gekippt.

Der erste Versuch, einen sicheren Datentransfer zwischen EU-Staaten und den USA zu ermöglichen, scheiterte 2015, als der EuGH das damalige Datenschutzabkommen „Safe Harbour“ kippte (Urt. v. 06.10.2015, Az. C-362/14 – „Schrems I“). Der Grund hierfür war, dass die damalige Europäische Datenschutzrichtlinie (RL 95/46/EG) es grundsätzlich verbot, personenbezogene Daten von EU-Bürgern in ein Land zu übertragen, dass kein dem europäischen vergleichbares Datenschutzniveau aufwies. (…)

Auch die Nachfolgeregelung, Datenschutzabkommen „Privacy Shield“ kippte der EuGH (Urt. v. 16.7.2020, Az. C 311/18 – „Schrems II“). Auch diese Regelung beruhte auf einem Angemessenheitsbeschluss der EU-Kommission. Allerdings hatte die US-Regierung an einigen Stellen versucht, die Anforderungen des EuGH mit neuen Regeln umzusetzen. So war in einem von US-Präsident Barack Obama vorgesehenen Dekret insbesondere eine Klagemöglichkeit für europäische Betroffene vorgesehen. Das reichte dem EuGH jedoch nicht, so dass er auch diesen Angemessenheitsbeschluss mit im Wesentlichen gleicher Begründung wie bei „Schrems I“ für nichtig erklärte.

Die Folge des EuGH-Urteils war, dass seither keine gesicherte rechtliche Grundlage für Datenübermittlungen in die USA besteht. Einzelne Unternehmen sind daher auf den Abschluss sogenannter „Standardvertragsklauseln“ angewiesen. Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die Datenexporteure beim Transfer von Daten in Drittstaaten abschließen sollen. Sie legen vertraglich fest, dass auch der Datenimporteur das europäische Datenschutzniveau halten muss. Da die Importeure in den USA dies aber nicht uneingeschränkt zusichern können, herrschte für sie in den letzten Jahren große Rechtsunsicherheit. Der Facebook-Konzern Meta befürchtete sogar, dass seine Online-Netzwerke wie Facebook und Instagram in Europa eingestellt werden müssen, sollte keine Nachfolgeregelung zu dem Privacy Shield verabschiedet werden.

Bereits im Frühjahr 2022, während eines Besuchs in Brüssel, hatte sich US-Präsident Joe Biden mit Kommissionschefin Ursula von der Leyen auf ein neues Datenschutzabkommen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework“) verständigt. Am 7.10.2021 unterzeichnete der US-Präsident nun ein Dekret, welches auf US-amerikanischer Seite die rechtliche Grundlage für einen neuen Rechtsrahmen zur Datenübermittlung schafft. Nach Einschätzung der US-Handelsministerin Gina Raimondo können durch den Erlass die Bedenken des EuGH ausgeräumt werden. So sind insbesondere striktere Vorgaben für den geheimdienstlichen Zugang zu Daten von Europäern vorgesehen. (…) Weiterhin sollen die Privatsphäre und die bürgerlichen Freiheitsrechte aller Menschen unabhängig von Nationalität und Wohnort in Betracht gezogen werden. Darüber hinaus soll es für EU-Bürger einen zweistufigen Mechanismus geben, um sich über aus ihrer Sicht rechtswidrige Zugriffe auf ihre Daten zu beschweren. (…)

Die Europäische Kommission war an der Ausarbeitung der US-Maßnahmen beteiligt und zeigt sich dementsprechend zuversichtlich, dass nun ein Rahmen für den transatlantischen Datenaustausch geschaffen werden kann, der den Anforderungen des EuGH genügt. Gleichwohl betont man in Brüssel, dass das Biden-Dekret ein wichtiger Schritt, aber nicht das Ende des Verfahrens sei. Auf Europäischer Seite muss nun als nächstes ein sogenannte Angemessenheitsbeschluss gem. Art. 45 DSGVO gefasst werden. Hierfür will Ministerin Raimondo dem zuständigen EU-Kommissar Didier Reynders mehrere Schreiben der zuständigen US-Behörden übermitteln, in welchen die vorgesehenen Maßnahmen beschrieben werden. Diese Regelungen werden dann ausführlich von EU-Beamten überprüft. In dieser, regelmäßig mehrere Monate andauernden Phase wird außerdem der Europäischen Datenschutzausschusses (EDSA) konsultiert. Der Beschluss wird anschließend von der Kommission gefasst.

Während einige Datenschützer durchaus positiv auf den Erlass reagieren und es für einen hoffnungsvollen Nachfolger des Privacy Shields halten, zeigen sich andere skeptisch. Allen voran der österreichische Datenschutzaktivist Max Schrems, der bereits die Abkommen „Safe Harbour“ und „Privacy Shield“ mit seinen Klagen vor dem EuGH zu Fall gebracht hatte: Er zweifelt an der Vereinbarkeit des Abkommens mit EU-Recht. (…) Ob das neue Regelwerk dem europäischen Datenschutzniveau standhalten oder vom EuGH in einem „Schrems III“-Urteil wieder kassiert werden wird, bleibt daher noch abzuwarten.

• www.it-recht-kanzlei.de

Tags: