Seit der Europäische Gerichtshof (EuGH) 2020 das sogenannte Privacy Shield „kippte“, sind Datenübermittlungen in die USA mehr als problematisch, ist doch mit dem Privacy Shield die Rechtsgrundlage für derartige Datentransfers entfallen. Ende März nun haben US-Präsident Joe Biden und EU-Kommissionschefin Ursula von der Leyen die Grundsätze einer neuen Regelung festgelegt. Aber der Reihe nach.
Privacy Shield – was es war und warum ich in der Vergangenheit spreche
Bis in den Sommer 2020 waren Datentransfers in die USA rechtlich unproblematisch, konnten sie doch als Rechtsgrundlage auf das sogenannten Privacy Shield gestützt werden – einem Abkommen zwischen der EU und den USA zur Datenübermittlung.
Der EuGH jedoch war der Ansicht, dass dieses Abkommen nicht den Anforderungen, die an eine sichere und datenschutzkonforme Datenübermittlung in die USA zu stellen seien, entspreche (EuGH v. 16.07.202, C 311/18, Schrems II). Begründet wurde dies von dem Gericht vor allem damit, dass in den USA Geheimdienste umfangreiche Zugriffsrechte auf die Daten hätten, ohne dass insoweit adäquate Rechtsbehelfe zur Verfügung stünden. Ein annähernd gleich hohes Datenschutzniveau wie in der EU sei somit in den USA nicht gewährleistet. Weitere Details zu dem seinerzeitigen Urteil finden sich in meinem Beitrag „Good bye Privacy Shield – und nun?“ sowie meinem YouTube-Video „ungeschminkt – bye, bye privacy shield“
Die Folgen dieses Urteils sind bis heute tiefgreifend und ungelöst. Denn seither besteht faktisch keine gesicherte Rechtsgrundlage für Datenübermittlungen von der EU in die USA. Solche finden aber vielfältig statt und sind unverzichtbar. Ein Ausweg sind zwar sogenannte Standardvertragsklauseln, die jedoch durchaus auch als angreifbar anzusehen sind. Denn in Standardvertragsklauseln soll sich der Datenimporteur – also der Empfänger der Daten in den USA – zusichern, dass er das europäische Datenschutzniveau gewährleistet. Doch dies könne die US-Unternehmen auf Grund der dortigen rechtlichen Lage nicht uneingeschränkt. Entsprechend besteht auch bei Abschluss von Standardvertragsklauseln eine erhebliche Rechtsunsicherheit, die eine große Relevanz für viele Unternehmen hat.
TADA(P)! Das Privacy Shield 2.0 – was kommen soll und was es bringt
Lange hat es gedauert bis sich die EU und die USA auf die Grundzüge einer Neuregelung geeinigt haben. Seit Ende März diesen Jahres ist es nun endlich soweit, wenn auch noch nicht in Stein gemeisselt: das Trans-Atlantic Data Privacy Framework kommt. Kurz: TADAP-Framework
Das TADAP-Framework soll Datenübermittlungen von der EU in die USA wieder auf eine sichere Rechtsgrundlage stellen. Wie dies im Detail aussehen wird, ist jedoch noch unklar. Denn bei dem TDAP handelt es sich bisher nur um eine gemeinsame Erklärung der EU und USA.
Aus einem Factsheet der EU-Kommission gehen jedoch einige Eckpunkte hervor:
- Das TADAP soll Basis für einen freien und sicherere Datenfluss zwischen der EU und den USA sein sorgen.
- Der vom EuGH monierte Zugriff von US-Geheimdiensten auf Datenflüsse soll durch neue Regelungen und verbindliche Schutzmechanismen beschränkt werden. Ein Zugriff soll damit nur möglich sein, wenn er notwendig und verhältnismäßig ist und nicht unverhältnismäßig in die Rechte und Freiheiten des Einzelnen eingreift.
- Über ein neues, zweistufiges Rechtsbehelfsystem soll sichergestellt werden, dass Beschwerden von EU-Bürgern im Zusammenhang mit dem Zugriff der US-Geheimdienste auf Daten untersucht und behandelt werden. Eine gerichtliche Prüfung soll durch einen neuen, unabhängigen „Data Protection Review Court“ möglich sein.
- US-Unternehmen, die aus der EU übermittelte Daten verarbeiten, sollen sich im Rahmen einer Selbstzertifizierung gegenüber dem US-Handelsmininsterium zur Einhaltung des Abkommens verpflichten
Die geplanten Regelungen, sollten sie denn kommen wie angedacht, werden für alle Unternehmen, die US-Dienste einsetzen und damit fast zwangsläufig personenbezogene Daten in die USA transferieren, auch wenn sie keine Kunden in den USA haben, wieder eine höhere Rechtssicherheit bringen und die Nutzung derartiger Dienst vereinfachen. Der Abschluss von Standardvertragsklauseln oder anderer Konstrukte würde hinfällig.
TADAP -Framework – der weitere Fahrplan
Bisher handelt es sich bei dem TADAP-Framework lediglich um eine gemeinsame Erklärung der EU und USA. Einen rechtssetzenden Charakter hat diese nicht. Vielmehr müssen die USA und die EU nun die grundsätzliche Einigung in eine rechtliche Form bringen. Hier wird auf Seiten der USA eine Executive Order zu verabschieden sein. Diese wird sodann auf EU-Seite Grundlage für den Erlass eines sogenannten Angemessenheitsbeschlusses nach Art. 45 DSGVO sein.
Ein zeitlicher Rahmen für diese Umsetzung ist bisher nicht bekannt. Für die im Alltag von der derzeitigen Rechtsunsicherheit betroffenen Unternehmen wäre eine schnelle Umsetzung sicherlich begrüssenswert. Schon jetzt äußern Datenschützer jedoch ihre Bedenken an den derzeit geplanten Regelungen und kündigen Klagen an. Es bleibt also spannend.