EU Kommission und Vereinigte Staaten von Amerika haben sich grundsätzlich auf neue Regelungen für die Übermittlung von personenbezogenen Daten in die USA geeinigt
Datenübermittlungen in so genannte Drittländern (wie beispielsweise die USA) müssen rechtlich durch einen besonderen Mechanismus legitimiert werden. Bis zur Entscheidung des Europäischen Gerichtshofs (EuGH) am 16. Juli 2020 konnten sich europäische Unternehmen bei der Datenübermittlung in die USA auf die Regelungen des „EU-US Privacy Shield“ berufen. Nachdem der EuGH das „EU-US Privacy Shield“ für ungültig erklärte, entstand auf Seiten der europäischen Unternehmen erhebliche Rechtsunsicherheit bei der Übermittlung von personenbezogenen Daten in die USA. Jetzt haben sich die EU Kommission und die Vereinigten Staaten auf Eckpunkte für einen Nachfolger des „EU-US Privacy Shield“ verständigt. Dies gaben die Präsidentin der EU Kommission Ursula von der Leyen und der Präsident der Vereinigten Staaten Joe Biden in einer gemeinsamen Erklärung am 25.03.2022 bekannt.
Trans-Atlantic Data Privacy Framework
Das neue Abkommen zwischen der EU und den USA soll auf den Namen „Trans-Atlantic Data Privacy Framework“ (Transatlantischer Datenschutz-Rahmen) getauft werden und (wieder) für einen freien sowie sicheren Austausch von personenbezogenen Daten zwischen EU- und teilnehmenden US-Unternehmen sorgen. Kommissionspräsidentin von der Leyen verkündete auf Twitter, dass das Abkommen für „zuverlässigen und vertrauenswürdigen Datenverkehr“ zwischen der EU und der USA ermöglichen wird und dabei ein „Gleichgewicht zwischen Sicherheit, dem Recht auf Privatsphäre und Datenschutz“ hergestellt werde. Laut dem „Faktenblatt“ der Europäischen Kommission soll das neue Abkommen „eine dauerhafte und verlässliche Rechtsgrundlage“ für einen „sicheren und geschützten Datenfluss“ darstellen.
Weniger Zugriffsmöglichkeiten für Geheimdienste
Der wichtigster Eckpunkt der Einigung scheinen Regelungen zu sein, die den Zugriff von US-Sicherheitsbehörden und Geheimdiensten auf ein „notwendiges und verhältnismäßiges Maß“ beschränken. Ausufernde Zugriffsmöglichkeiten hatten zuvor wesentlich dazu beigetragen, dass der EuGH die Regelungen des „EU-US Privacy Shield“ für ungültig erklärte. Nun sollen verbindliche Sicherheitsmechanismen den Zugriff der US-Behörden stark beschränken. Wie genau diese Beschränkungen ausgestaltet werden und ob, bzw. wie die USA ihre Gesetze entsprechend anpassen, ist derzeit noch unklar.
Gestärkte Rechte für Betroffene
Zudem soll ein zwei-stufiges System zur Stärkung der Betroffenenrechte eingeführt werden. Ein neu zu schaffendes US-Gericht (Data Protection Review Court) soll sich mit Beschwerden von europäischen Betroffenen befassen, die einen unrechtmäßigen Zugriff von US-Behörden ausgesetzt waren. Damit soll Betroffenen ein wirkungsvoller Rechtsbehelf zur Verfügung gestellt werden.
Next step: Executive Order des US-Präsidenten
Bisher sind über den Inhalt des „Trans-Atlantic Data Privacy Framework“ nur wenige Eckpunkte in Form von Stichpunkten bekannt. In einem nächsten Schritt sollen diese Eckpunkte in Rechtsdokumenten weiter ausgeführt werden. Auf Seiten der USA sollen die Einigungen in einer so genannten „Executive Order“ festgehalten werden. Diese Executive Order soll dann die Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission bilden. Bis dieser Angemessenheitsbeschluss dann gefasst wird, werden also noch einige Monate vergehen.
Erste Einschätzung zum neuen Abkommen
Die ersten bekannten Eckpunkte des „Trans-Atlantic Data Privacy Framework“ klingen auf den ersten Blick sehr vielversprechend. Die beteiligten Verhandlungspartner scheinen alle wesentlichen Kritikpunkte des EuGH aufzugreifen und entsprechend zu adressieren. Aus meiner Sicht wird der Erfolg des neuerlichen Anlaufs für einen rechtssicheren Datenaustausch mit US-Unternehmen wesentlich davon abhängen, ob die USA die eigenen Überwachungsgesetzte reformieren oder nicht. Nur wenn der Zugriff von US-Behörden dauerhaft und wirksam auf das absolute Mindestmaß beschränkt wird, wird ein Abkommen zum Datenschutz zwischen der EU und den USA Bestand haben können. Die geplante Umsetzung des Eckpunktepapiers soll gerade nicht durch Gesetz, sondern mittels Executive Order erfolgen. Eine solche Executive Order bedarf keiner Zustimmung des Kongresses. Gleichwohl kann der Kongress Gesetze verabschieden (oder Reformen „blockieren“), die die Durchführung von Executive Orders erschweren oder gar unmöglich machen. Zudem kann eine Executive Order durch den jeweils amtierenden Präsidenten auch wieder aufgehoben werden.
Insofern erscheint es zumindest ein wenig zweifelhaft, ob der neuerliche Versuch mittels des „Trans-Atlantic Data Privacy Framework“ geeignet ist, eine dauerhafte Rechtssicherheit für den transatlantischen Datenverkehr herzustellen. Der endgültige Text der Vereinbarung darf daher mit Spannung erwartet werden.
Blick in die Glaskugel: Schrems III?
Max Schrems, der Hauptkläger in den Verfahren die zum „Sturz“ des damaligen „Safe-Harbor-Abkommens“ und des „EU-US Privacy Shield“ führten, kündigte in einer ersten Stellungnahme bereits an, dass „Trans-Atlantic Data Privacy Framework“ genau prüfen und bewerten zu wollen. Auf der Webseite der NGO „NOYB – Europäisches Zentrum für digitale Rechte“ verkündet Max Schrems:
„Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird. Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem ‚No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit.„
Wir halten Sie über die weiteren Entwicklungen auf unserem Blog und in unserem Newsletter auf dem Laufenden.
Autor: Fabian Dechent