Privacy Shield 2.0

Die Rechtsunsicherheit zwischen den USA und der EU im Bereich Datenschutz könnte bald ein Ende haben: 

Der Datenaustausch zwischen den USA und der EU ist seit Mitte 2020 von einer gewissen Rechtsunsicherheit begleitet. Denn der Europäische Gerichtshof (EuGH) hat im Juli vergangenen Jahres, aufgrund der Klage des österreichischen Datenschutzaktivisten Max Schrems, entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelte die Übermittlung personenbezogener Daten von europäischen Unternehmen in die Vereinigten Staaten und ist ein Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. 

Regelungen zur Drittlandübermittlung  

Eine Drittlandübermittlung im Sinne der DSGVO liegt vor, wenn eine Datenübermittlung in ein Land erfolgt, das kein EU-Mitgliedsstaat ist oder nicht zum Europäischen Wirtschaftsraum gehört und somit nicht dem räumlichen Anwendungsbereich der DSGVO unterliegt. Der Verordnungsgeber geht in diesem Fall davon aus, dass eine Datenübermittlung in ein Drittland mit besonders hohen Risiken für die Rechte und Freiheiten der von dieser Verarbeitung betroffenen Personen verbunden ist. Ausgenommen hiervon sind aber Länder, bei denen die EU-Kommission entschieden hat, dass durch andere Gesetze oder Verordnungen ein mit der DSGVO vergleichbares Datenschutzniveau erreicht wird. Hierzu zählen etwa Neuseeland, Israel oder Kanada. Bei Datenübermittlungen an Drittländer, die über keinen Angemessenheitsbeschluss der EU-Kommission verfügen (z.B. Russland, China, USA) müssen daher bereits vor dem Beginn einer Übermittlung Schutzmaßnahmen getroffen werden, damit die Übermittlung zulässig ist.  

Kann ein Staat keinen angemessenen Datenschutz gewährleisten, muss der Datenexport in solche ungesicherten Drittstaaten auf andere Weise garantiert werden, etwa durch die Verwendung von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO. Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. Also letztendlich eine eine Maßnahme, um das Datenschutzniveau im vorliegenden Einzelfall an das Niveau der EU-Datenschutz-Grundverordnung anzupassen. 

Das Privacy-Shield Abkommen 

Der EU-US Privacy Shield umfasst informelle Absprachen auf dem Gebiet des Datenschutzrechts seit dem Jahr 2015 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Er betrifft Zusicherungen der US-amerikanischen Bundesregierung und einen Angemessenheitsbeschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des EU-US Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen und eine Datenübermittlung an Unternehmen mit Sitz in den USA zulässig ist, sofern diese nach diesem Abkommen zertifiziert sind. Am 16. Juli 2020 erklärte der EuGH aber auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems-II-Urteil für ungültig. 

Als Reaktion auf dieses Urteil und die dadurch entstandenen Unsicherheiten im Kontext der Datenübermittlung in die USA haben sich die EU und die USA nunmehr auf das ,,Trans-Atlantic Data Privacy Framework‘‘ (TADPF) als ,,Privacy Shield‘‘-Nachfolger geeinigt.  

Das Trans-Atlantic Data Privacy Framework (TADPF) 

Für das neue Abkommen wurde zunächst vereinbart, dass die EU und die USA auf das „Schrems II“-Urteil reagieren und den dauerhaft freien und sicheren Datenfluss zwischen dem Europäischen Wirtschaftsraum und den USA sicherstellen würden. 

Bei dem ,,Schrems II’’- Urteil handelte es sich um einen Rechtsstreit zwischen dem österreichischen Juristen Maximilian Schrems und der irischen Aufsichtsbehörde.   

Schrems, der Nutzer der Dienste von Facebook war, lehnte die Datenübermittlung, zwischen Facebook Irland und dem Hauptsitz des Unternehmens Facebook Inc., in die USA ab, da die übertragenen personenbezogenen Daten vor dem Zugriff US-amerikanischen Sicherheitsbehörden nicht ausreichend geschützt seien. Zudem sei kein ausreichender Rechtsschutzfür Betroffene gewährleistet, um sich gegen die Überwachungsmaßnahmen zu wehren. 

Der EuGH teilte die Ansichten des Juristen und untermauerte die Bedenken zum Datenschutz in den USA dahingehend, dass die Ombudspersonen, die als unparteiische ,,Schiedsrichter’’ bei Konflikten agieren sollten, nicht hinreichend in ihren Entscheidungen unabhängig seien und keine verbindlichen Entscheidungen gegen die US-Sicherheitsbehörden erlassen können. Aus dem Grund sei ein angemessener Rechtsschutz für Betroffene nicht gewährleistet. 

Um auf die Kritikpunkte aus dem ,,Schrems II’’- Urteil Bezug zu nehmen, wurde in dem TADPF die Regelung festgehalten, dass eine Überwachung durch US-amerikanische Sicherheitsbehörden dann durchgeführt werden darf, wenn dies erforderlich ist und der Verfolgung besonderer nationaler Sicherheitsinteressen entspricht. Dabei darf jedoch die Überwachung den Schutz der Privatsphäre und der bürgerlichen Freiheiten des Einzelnen nicht unverhältnismäßig beeinträchtigen. Zudem werden die bestehenden strengen, mehrstufigen Kontrollen weiter ausgebaut. Des Weiteren sollen die USA eine vielschichtige und verbindliche Möglichkeit für Europäer schaffen, Beschwerden über die Überwachung durch US-Sicherheitsbehörden einzureichen. Dabei soll es sich um ein zweistufiges Rechtsbehelfssystem handeln, bei dem ein unabhängiges „Data Protection Review Court“ (Datenschutzprüfgericht) die gerichtliche Überprüfung gewährleistet. Dieses unabhängige ,,Datenschutzprüfgericht’’ setzt sich aus Personen zusammen, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Ansprüche zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen. 

Rechtsnatur des TADPF 

Obwohl die ersten Absichten diskutiert wurden, existiert noch kein neuer rechtlicher Rahmenvertrag. Die Voraussetzungen für ein ,,Datenschutzschild 2.0″ sind sehr hoch angelegt. 

Maximiliam Schrems steht der Ankündigung daher skeptisch gegenüber und weist darauf hin, dass frühere Vereinbarungen rein politischer Natur waren und daher keine rechtliche Grundlage hatten.  

Ohne grundlegende US-Reformen dürfte ein dritter Versuch kaum ausreichen, um einen angemessenen Datenschutz für EU-Bürger zu gewährleisten. 

Nach Angaben der von Schrems gegründeten Datenschutzorganisation ,,Noyb’’ (None of your buisiness) planen die Vereinigten Staaten keine Änderungen ihrer Gesetze zur Überwachung, sondern nur Zusicherungen auf entsprechende Anordnungen. Diese hätten ,,keine externe Wirkung und können nicht eingeklagt werden”. Eine wirkliche Lösung wie ein „Nicht-Spionage-Abkommen“ mit grundlegenden Schutzmaßnahmen zwischen der EU und den USA sei noch nicht erkennbar. Somit würden Kunden und Unternehmen auch unter einem neuen Vertrag zwischen EU und USA viele weitere Jahre der Rechtsunsicherheit drohen. 

Schließlich hatte eine Entscheidung des Obersten Gerichtshofs der USA die Schwierigkeiten für ein Datenschutzschild 2.0 noch vergrößert. Die Richter des Obersten Gerichtshofs geben mit dem neuen Urteil der Regierung mehr Spielraum, um sich in Spionagefällen auf „Staatsgeheimnisse “ zu berufen. Somit werden es US-Bürger und Europäer schwieriger haben, die verdeckte Überwachung durch US-Sicherheitsbehörden vor lokalen Gerichten anzufechten. 

Fazit 

Ohne Zweifel zeigt sich, dass das ,,TADPF’’ als ,,Datenschutzschild 2.0‘‘ großen Anforderungen ausgesetzt ist. Es ist zwar der erste richtige Schritt, um eine Rechtssicherheit zu erreichen, jedoch handelt es sich hier um eine politische Verständigung, denn es existieren immer noch viele rechtliche Probleme, um ein ,,Datenschutzschild 2.0‘‘ durchzusetzen. Eine genauere Untersuchung und Abwägung der Interessen und damit eine rechtliche Bewertung des Abkommens, kann erst erfolgen, wenn ein gesetzlicher Entwurf vorliegt.