Am 25.3.2022 verkündeten die EU und die USA nach einjähriger, intensiver Verhandlung die Verabschiedung einer neuen Datenschutzübereinkunft, dem sog. „Trans-Atlantic Data Privacy Framework“. Ziel dieses Abkommens ist es, den transatlantischen Datentransfer zu fördern und rechtskonform zu gestalten. Zudem soll der Privatsphäre von EU-Bürgern ausreichend Schutz gewährt werden.
Hintergrund
Am 12.7.2016 trat das sog. „Privacy Shield“-Abkommen in Kraft. Dieser Beschluss der Europäischen Kommission sollte ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Der EuGH (Urt. v. 16.7.2020 – C-311/18) erklärte das Abkommen jedoch für ungültig. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.
Rechtsunsicherheit seit EuGH-Urteil zu Privacy Shield
Infolge des EuGH-Urteils herrschte große Rechtsunsicherheit. Ein in der Praxis häufig verwendetes Instrument stellen dabei Garantien gem. Art. 46 DSGVO in Form der EU-Standardvertragsklauseln dar. Unternehmen suchten aus der Datentransferproblematik einen Ausweg und implementierten diese „Vertragsmuster“ innerhalb Ihrer Vertragswerke, um einen Drittstaatentransfers sicherstellen zu können. Allerdings konnten Datenschutzrisiken, bedingt durch die weiten Zugriffsbefugnisse der US-Sicherheitsbehörden, nicht wirksam verhindert werden. Laut EuGH ist im Einzelfall zu prüfen, ob die EU-Standardvertragsklauseln durch weitere Maßnahmen ergänzt werden müssen, damit ein der EU-gleichwertiges Sicherheitsniveau geschaffen wird. Bei einer Datenübermittlung in die USA kann z.B. die Rechtsdurchsetzung/Rechtsmittel durch einen Vertrag zwischen Datenexporteur- und importeur alleinig nicht gewährleistet werden.
Trans Atlantic Data Privacy Framework
Vor diesem Hintergrund haben sich nun die Europäische Kommission und die USA auf das sog. „Trans Atlantic Data Privacy Framework“ verständigt. Diesbezüglich veröffentlichte die EU-Kommission ein Factsheet, welches die wesentlichen Grundsätze des Übereinkommens stichpunktartig aufgreift. Diese Prinzipien verpflichten vor allem die USA und beinhalten nachfolgende Neuerungen:
- Verbindliche Garantien, um den Zugriff durch US-Sicherheitsbehörden auf Daten zu beschränken, die für die nationale Sicherheit erforderlich sind,
- Einführung verpflichtender Verfahren für US-Sicherheitsbehörden, um die wirksame Überwachung der neuen Standards zum Schutz der Privatsphäre und der Freiheitsrechte zu gewährleisten, und
- die Einrichtung eines zweistufigen Rechtsbehelfssystems zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Sicherheitsbehörden, das auch ein unabhängiges Datenschutzüberprüfungsgericht umfasst.
Wie geht es weiter?
Noch gibt es keinen Angemessenheitsbeschluss für die USA. Diese Grundsatzvereinbarung wird nun erst in einen entsprechenden gesetzlichen Rahmen durch die EU und die USA gefasst werden. Anschließend müssen die USA diese Grundsätze in ihrem Recht umsetzen und die EU-Kommission auf dieser Grundlage einen Entwurf für einen Angemessenheitsbeschluss fassen. Hierzu nimmt dann noch der Europäische Datenschutzausschuss Stellung, bevor die Kommission den Beschluss endgültig fasst. Zu welchem Stichtag das Datenschutzabkommen in Kraft treten wird, ist derzeit noch unklar.
Fazit
Das Factsheet gewährt einen ersten Einblick in die wesentlichen Prinzipien, die dem neuen Datenschutzabkommen zugrunde gelegt werden sollen. Eine schnelle Ratifizierung ist vor allem für Unternehmen durchaus wünschenswert. Die in dem Factsheet veröffentlichten Grundsätze geben Hoffnung auf einen rechtskonformen Nachfolger des Privacy Shields, der die Datenübermittlung zwischen EU und USA vereinheitlichen und vereinfachen wird. Trotz der in Aussicht stehenden rechtskonformen Datenübermittlung teilte die Datenschutzorganisation noyb bereits jetzt rechtliche Bedenken mit. Insbesondere Datenaktivist Max Schrems kündigte an, dass bei Unvereinbarkeit mit EU-Recht ein weiteres Verfahren vor dem EuGH durch ihn angestrebt und das Datenschutzabkommen angefochten werde. Inwieweit sich rechtliche Bedenken bestätigen lassen, wird erst zu beurteilen sein, wenn die entsprechenden Gesetzestexte verabschiedet und veröffentlicht werden.