Trans-Atlantic Data Privacy Framework
Trans-Atlantic Data Privacy Framework: Kommt das Privacy Shield 2.0?

Trans-Atlantic Data Privacy Framework: Kommt das Privacy Shield 2.0?

Ob Cloud oder Analyse-Tools für die Website: US-Unternehmen sind im heutigen Geschäftsalltag nahezu omnipräsent. Mit Nutzung dieser US-Dienstleister lassen sich Datentransfers von personenbezogenen Daten nur schwer vermeiden – doch dafür müssen strenge Regeln eingehalten werden. Mit dem Trans-Atlantic Data Privacy Framework versuchen die EU und die USA, nun entsprechende Regelungen auf den Weg zu bringen. Im heutigen Beitrag erfahren Sie mehr über die Hintergründe des Abkommens, außerdem erklären wir die wesentlichen Inhalte. Wir fangen Stimmen ein und orakeln ein wenig, wohin sich der transatlantische Datenverkehr entwickeln könnte.

Trans-Atlantic Data Privacy Framework: Wie kam es dazu?

Die EU-Datenschutz-Grundverordnung (DSGVO) stellt strenge Regeln an die Verarbeitung personenbezogener Daten und hat das Datenschutzniveau innerhalb der EU deutlich angehoben. Sollen personenbezogene Daten außerhalb der EU verarbeitet werden – etwa in den USA – so fordert die DSGVO ein Datenschutzniveau, welches dem europäischen entspricht. Um ein Regelungswerk für das Verarbeiten von personenbezogenen Daten in den USA zu schaffen, einigten sich die EU und die USA im Jahr 2000 auf das Safe Harbor-Abkommen. Unternehmen, die dem Safe Harbor-Abkommen beigetreten waren, verpflichteten sich durch die Einhaltung der Safe Harbor Privacy Principles zum Schutz personenbezogener Daten von EU-Bürgerinnen und –Bürgern.

Nachdem bereits rund 5.500 US-Unternehmen wie General Motors, IBM, Microsoft oder Google dem Abkommen beigetreten sind, verschärften die USA ihre Überwachungsgesetze nach den Anschlägen vom 11. September 2001. In Folge dieses massiven Verschärfens kippte der Europäische Gerichtshof (EuGH) Safe Harbor am 06. Oktober 2015. Wenig später startete mit dem EU-U.S. Privacy Shield ein Nachfolger, dessen Schicksal jedoch genauso verlief wie das seines Vorgängers: Der Angemessenheitsbeschluss der EU-Kommission über das Privacy Shield-Abkommen wurde am 16. Juli 2020 vom EuGH für ungültig erklärt. Diese Entscheidung ging als Schrems II-Urteil in die Geschichte ein.

Nun, rund zwei Jahre später, soll mit dem Trans-Atlantic Data Privacy Framework (TADPF) ein Nachfolger geschaffen werden. Am 25.03.2022 gaben US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen bekannt, dass die USA und die EU kurz vor einem Durchbruch für ein Nachfolgeabkommen stehen.

TADPF: Wesentliche Inhalte

Seit dem Schrems II-Urteil existiert keinerlei Rechtsgrundlage mehr für zahlreiche Verarbeitungsvorgänge personenbezogener Daten in den USA. Dennoch sind, wie eingangs festgestellt, US-Clouds und –Tools gängige Praxis in europäischen Unternehmen. Die meisten von ihnen dürften den hohen Anforderungen, die notwendig sind, um das EU-Datenschutzniveau einzuhalten, nicht gerecht werden.

Mit dem Trans-Atlantic Data Privacy Framework gibt es nun eine Basis, eine grundlegende Einigung, um den grenzüberschreitenden Datenverkehr zwischen EU und USA neu regeln zu können. In den bislang veröffentlichten Factsheets (Factsheet der Europäischen Kommission und Factsheet der US-Regierung) wurden folgende Maßnahmen bereits festgehalten:

Das neue Regelwerk soll den Datenzugriff der US-Geheimdienste auf das Nötigste beschränken – also auf jene Aktivitäten, die dem Schutz der nationalen Sicherheit dienen und verhältnismäßig sind. Mit einem neuen und zweistufigen Rechtsbehelfssystem möchte man Beschwerden von europäischen Betroffenen untersuchen und beilegen können.

Unternehmen, die aus der EU übermittelte personenbezogene Daten verarbeiten, müssen sich an strenge Verpflichtungen halten. Mit spezifischen Überwachungs- sowie Überprüfungsmechanismen möchte man die sich aus dem TADPF ergebenden Pflichten kontrollieren. In der Summe soll all dies dazu führen, dass der Datenverkehr in die Vereinigten Staaten nicht nur rechtssicher ist, sondern auch vereinfacht werden kann. Daran dürfte die Mehrzahl europäischer Unternehmen ein großes Interesse haben, und auch US-Unternehmen können profitieren.

Wie geht es weiter mit dem Trans-Atlantic Data Privacy Framework?

Die US-Regierung möchte Eckdaten des neuen Abkommens in eine sogenannte Executive Order fassen, nicht in ein Gesetz. Diese Executive Order bildet dann die Basis für einen Angemessenheitsbeschluss der Europäischen Kommission. Die Executive Orders sichern die Exekutive zu, haben jedoch nicht unbedingt eine externe Wirkung und können auch nicht eingeklagt werden. EU-Justizkommissar Didier Reynders nannte als mögliches Zieldatum zum Start des TADPF das Ende dieses Jahres, da noch einige Hürden zu nehmen seien. Nun sind die USA am Zug: Man warte auf einen Rechtstext, über den dann beraten werden kann.

Danach folgen Prozesse auf EU-Ebene: Für den Angemessenheitsbeschluss muss geprüft werden, ob die Datenschutzstandards in der EU und der USA gleichwertig sind. Dieses Verfahren könnte sechs Monate in Anspruch nehmen, jedoch gibt es keinen präzisen Zeitrahmen. In dieser Phase werden dann auch der Europäische Datenschutzausschuss, die einzelnen EU-Staaten sowie das Europaparlament miteinbezogen.

Mögliche Hürden und erste Kritik

Eine der wohl größten Hürden auf dem Weg in die rechtssichere Datenübermittlung ist die überwachungswillige USA selbst: Werden die strengen Überwachungsgesetze in den Vereinigten Staaten nicht geändert, darf bezweifelt werden, dass ein EU-Datenschutzniveau gewahrt werden kann. Schließlich waren eben diese Überwachungsgesetze Anlass, die vorigen Abkommen zu kippen. Bisherige Äußerungen, Planungen und Veröffentlichungen lassen nicht vermuten, dass Biden eine Lockerung der bestehenden Gesetze in den USA plant.

Das ruft Kritiker auf den Plan – und zwar auch denjenigen, dessen Einsatz als Hauptkläger zu verdanken ist, dass die bisherigen Abkommen am zu geringen Datenschutz gescheitert sind: Max Schrems; Datenschutzaktivist, Jurist und Mitgründer der NGO noyb mit Sitz in Wien. Am 25. März, also am Tag der Bekanntgabe einer Einigung, kündigte Schrems bereits Schritte an: „Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird“, resümiert Schrems.

Der Aktivist und Jurist hätte sich anderes gewünscht: „Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem ‚No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit“, gibt Schrems zu bedenken.

Bestenfalls bringt das TADPF endlich Rechtssicherheit

Im Wesentlichen kann sich das Trans-Atlantic Data Privacy Framework in zwei Richtungen entwickeln: In die von Schrems angekündigte, sodass sich auch dieses Abkommen nach einem Schrems III-Urteil in Luft auflöst. Bestenfalls aber könnte das TADPF auch endlich Rechtssicherheit bringen: Eine erfolgreiche Umsetzung würde die aktuellen Probleme mit Drittlandtransfers von personenbezogenen Daten beheben, Transfers könnten deutlich vereinfacht werden. Bisher bleibt für den Drittlandtransfer u. a. der Abschluss von Standarddatenschutzklauseln, sog. Standard Contractual Clauses (SCC) in Verbindung mit zusätzlichen Maßnahmen, wie z. B. Anonymisierung und Verschlüsselung.

Auch wenn eine Einigung eilt, weil US-Tools zahlreich verwendet werden, müssen sich europäische Unternehmen noch etwas in Geduld üben: Eine endgültige Fassung des TADPF wird gegen Jahresende erwartet, kurzfristige Lösungen sind also noch nicht in Sicht. Es bleibt abzuwarten, wie man mit Hürden wie den US-Überwachungsgesetzen umgehen und wie das Trans-Atlantic Data Privacy Framework ausgestaltet wird. Bis es also zu einem wirklich rechtssicheren Privacy Shield 2.0 kommen wird, ist es noch ein weiter Weg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*