Datentransfer mit EU: Neues Abkommen rückt näher!?

Gehören Standarddatenschutzklauseln und lästige Transfer Impact Assessments bald der Vergangenheit an? Kommt nun endlich der Privacy Shield 2.0? Zumindest die US-Regierung hält alle Voraussetzungen für den neuen Datenschutz-Schild zwischen den USA und der EU für erfüllt. Die Geheimdienste sollen ihre Richtlinien für die Fernmeldeaufklärung angepasst haben. Auch aus Europa gibt es positive Signale.

Privacy Shield und andere Garantien

Die Übermittlung von personenbezogenen Daten in die USA – das ist seit mindestens drei Jahren DAS Thema in der Datenschutzwelt. Wir erinnern uns: Am 16.07.2020 brachte der EuGH den Privacy Shield zu Fall. Von jetzt auf gleich konnten Unternehmen aus der EU ihren Datenaustausch über den großen Teich nicht mehr auf das bestehende Abkommen stützen. Der Privacy Shield war eine Vereinbarung zwischen der EU und den USA, welche diverse Zugeständnisse der USA in den Bereichen Datenschutz und Privatsphäre enthalten hat. Im Gegenzug gab es einen eingeschränkten Angemessenheitsbeschluss zu Gunsten der USA im Sinne des Art. 45 Abs. 3 DSGVO.

Der EuGH sah hier im Kern das Problem, dass die US-amerikanischen Unternehmen die datenschutzrechtlichen Garantien, die der Privacy Shield geben sollte, in der Praxis gar nicht gewährleisten konnten. Zu unterschiedlich waren die Voraussetzungen: Auf der einen Seite gab es massive Überwachungsmechanismen mit Zugriffen auf Daten von EU-Bürgern und auf der anderen Seite die restriktiven Vorgaben aus der DSGVO. Der österreichische Datenschutzaktivist Maximilian Schrems hatte zum zweiten Mal sein Ziel erreicht. Schon der Vorgänger des Privacy Shields, das Safe-Harbor-Abkommen, war aus ähnlichen Gründen gescheitert.

Standarddatenschutzklauseln als Rettung

Dass der Privacy Shield gekippt wurde, kam zwar eigentlich nicht überraschend, dennoch war der Aufschrei groß an jenem 16.07.2020. Mitten in der Corona-Krise kam vor allem für Unternehmen nun auch ein veritables Datenschutzproblem hinzu. Als Ausweg aus dem Dilemma sollten nun die Standarddatenschutzklauseln (SCC) dienen, zumindest so halbwegs. Wie zuvor der Privacy Shield, fungieren auch die Standarddatenschutzklauseln als Sicherungsinstrument für den Datentransfer außerhalb des EU-/EWR-Gebietes. Eine absolute Rechtssicherheit gab und gibt es aber auch mit den SCC nicht, da es mit dem bloßen Vertragsabschluss nicht getan ist. In aller Regel muss der Verantwortliche zuvor ein mehr oder weniger umfangreiches Transfer Impact Assessment, also eine Risikoanalyse in Bezug auf die außereuropäische Datenverarbeitung, durchführen.

Das eigentliche Problem hat sich dadurch faktisch aber nur verlagert. Zwar war nach dem Fall des Privacy Shield eine höhere Sensibilität in Sachen Datenschutz auch in den USA zu spüren, allerdings gelten die vom EuGH kritisierten Massenüberwachungsgesetze – wie der Foreign Intelligence Surveillance Act (FISA) oder der CLOUD Act – in den USA nach wie vor. Und da ohne Dienstleister aus den USA in Europa quasi nichts geht, ist das Interesse an einer rechtswirksamen und sicheren Datenübermittlung in die USA weiterhin immens – zumindest aus Sicht der EU.

Ein Silberstreif am Horizont

Nachdem sich die Datenschutzwelt wieder einigermaßen sortiert hatte, gab im März 2022 einen ersten Hoffnungsschimmer: Die Präsidentin der Europäische Kommission, Ursula von der Leyen, ließ über Twitter verlauten, dass ein neuer Rechtsrahmen für den transatlantischen Datentransfer auf dem Weg sei. Mit der von US-Präsident Joe Biden unterzeichneten Executive Order im Oktober 2022 (EO 14086) nahm die Sache weiter Fahrt auf. Die US-Geheimdienste müssen bei der Datenverarbeitung nun darauf achten, dass diese notwendig und verhältnismäßig sind. Was aus europäischer Sicht selbstverständlich ist, wurde also erst vor knapp einem Jahr ausdrücklich genannt. Dies verdeutlicht sehr gut, wie weit die Positionen und „Datenschutzkulturen“ teilweise voneinander entfernt sind. Allerdings ist eine Massenüberwachung weiterhin möglich. Sie muss nun allerdings deutlich stärker anlassbezogen erfolgen.

Es ist aber nicht alles Gold, was glänzt. Noch im Februar dieses Jahr hatte der Europäische Datenschutzausschuss (EDSA) zum Entwurf des Frameworks Stellung bezogen und bezüglich möglicher Massenüberwachungen moniert, dass im Entwurf zum Framework weder eine unabhängige Vorab-Kontrolle noch eine systematische unabhängige nachträgliche Überprüfung durch ein Gericht oder eine unabhängige Stelle vorgesehen ist. Der EDSA hatte aber immerhin die Abkehr der zunächst geplanten Ombudsmann-Lösung hin zu einem „echten“ Rechtsbehelfsmechanismus als positiv bewertet. Zukünftig soll der Data Protection Review Court (DPRC) für effektiven Rechtsschutz sorgen. Wichtig sei hierbei vor allem, dass sich eine wirksame richterliche Kontrolle an den Maßstäben des Art. 47 GRCh messen lassen muss. Danach hat jede Person das Recht auf wirksame Rechtsbehelfe und Zugang zu einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht.

USA: Wir haben die Vorgaben erfüllt!

Die US-Regierung ist daher der Ansicht, die europäischen Wünsche und Forderungen erfüllt zu haben. Die Handelsministerin der USA, Gina Raimondo, zeigte sich in der vergangenen Woche geradezu euphorisch:

„Today, the United States has fulfilled its commitments for implementing the EU-U.S. Data Privacy Framework (EU-U.S. DPF) announced by President Joe Biden and European Commission President Ursula von der Leyen in March 2022. This represents the culmination of months of significant collaboration between the United States and the EU and reflects our shared commitment to facilitating data flows between our respective jurisdictions while protecting individual rights and personal data.“

Auch der EDSA begrüßt die Verbesserungen im aktuellen Entwurf, die das Data Privacy Framework für den Datenschutz mit sich bringt. Insbesondere wird die Begrenzung der Datenverarbeitung durch U.S.-Nachrichtendienste auf ein notwendiges und verhältnismäßiges Maß positiv bewertet. Auch der neue Rechtsbehelfsmechanismus wird von den Behörden grundsätzlich als geeignet angesehen, um die Rechte der betroffenen Personen in der EU zu stärken.

Praktische Umsetzung fraglich

Dennoch gibt es weiterhin Kritik am Framework. Aus Sicht des EDSA bestehen Zweifel an der tatsächlichen, praktischen Umsetzung des Datenschutzrahmens sowie bezüglich möglicher Ausnahmen zu Gunsten einer – wenn auch vorübergehenden – Massenerhebung von Daten in den USA. Es verwundert daher nicht, dass der EDSA von der EU-Kommission verlangt hat, zu den geäußerten Zweifeln Stellung zu beziehen, bevor tatsächlich der Angemessenheitsbeschluss erlassen werden kann.

Wenig überraschend hatte auch Maximilian Schrems immer wieder Bedenken angemeldet. Die von ihm gegründete Nichtregierungsorganisation nyob ist der Ansicht, dass sich der geplante Rechtsrahmen strukturell nicht von denjenigen unterscheide, die Schrems bereits zu Fall gebracht hat. Es sei daher nicht unwahrscheinlich, dass der EuGH auch dieses Abkommen wieder einkassiere.

Kommt der Angemessenheitsbeschluss?

Die Entscheidung ist also noch nicht gefallen. Da der EDSA den neuen Datenschutzrahmen allerdings grundsätzlich begrüßt hat, erscheint es aktuell tatsächlich möglich, dass das Transatlantic Data Privacy Framework noch in diesem Jahr in Kraft tritt. Viele Unternehmen würden wohl spürbar aufatmen. Zum einen wäre eine Datenübermittlung in die USA grundsätzlich wieder formell DSGVO-konform möglich, zum anderen würde das lästige Erfordernis der Transfer Impact Assessments, der Standarddatenschutzklauseln oder anderen Garantien endlich (wieder) wegfallen. Aber noch wichtiger wäre es, den rechtlichen Rahmen dieses Mal wirklich sauber zu gestalten und die objektiven Voraussetzungen auch tatsächlich zu schaffen. Herr Schrems scharrt sicherlich schon mit den Hufen und noch eine Blamage vor dem EuGH kann die EU definitiv nicht gebrauchen.

Update vom 11.07.2023:

Und da ist es auch schon passiert! Unmittelbar nach Redaktionsschluss hat die EU-Kommission den Angemessenheitsbeschluss nach Art. 45 DSGVO für das EU-US Data Privacy Framework erlassen. Siehe dazu auch die Presseerklärung der EU-Kommission.

Die EU-Kommission hat damit festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens (EU-US Data Privacy Framework) aus der EU an US-Unternehmen übermittelt werden. US-Unternehmen können sich, wie zuvor dem Privacy Shield, dem EU-US Data Privacy Framework anschließen, indem sie sich verpflichten, detaillierte Datenschutzpflichten zu erfüllen. Es gibt bereits eine Website, auf der die teilnehmenden Unternehmen nach Abschluss des Teilnahmeverfahrens veröffentlicht werden sollen (https://www.dataprivacyframework.gov/s/).

Ob der Angemessenheitsbeschluss Bestand haben wird, hat im Zweifel der Europäische Gerichtshof zu entscheiden. Der Datenschutzaktivist Maximilian Schrems hat heute bereits angekündigt, in Kürze Klage einreichen zu wollen.

Und was bedeutet das jetzt?

Das neue Framework wirkt rechtlich im Grunde wie sein Vorgänger, der Privacy Shield. Das bedeutet, dass US-Unternehmen ein Zertifizierungsverfahren nach dem TADPF durchlaufen müssen. Erst dann kann der Datentransfer in die USA direkt auf das Framework gestützt werden. Weitere Maßnahmen oder Garantien sind dann nicht mehr notwendig. Derzeit abgeschlossene SCC oder Binding Corporate Rules verlieren allerdings nicht ihre Gültigkeit. Jetzt hängt es also vor allem davon ab, ob und wie schnell US-Unternehmen sich zertifizieren lassen. Dies muss jeder Verantwortliche also bei jedem Dienstleister einzeln prüfen. Wichtig ist zudem, dass im Falle der Zertifizierung auch keine Transfer Impact Assessments mehr erforderlich sind. Es ist nach aktuellem Stand allerdings trotzdem zu empfehlen, soweit wie möglich Schutzmaßnahmen zu ergreifen, also z. B. Verschlüsselung oder Pseudonymisierung. Diese Vorgaben ergeben sich ja zumindest mittelbar ohnehin aus den allgemeinen Datenschutzgrundsätzen, z. B. aus Art. 5 Abs. 1 DSGVO (u. a Datenminimierung) oder Art. 32 DSGVO (angemessene technische und organisatorische Maßnahmen).

Die „alten“ Zertifizierungen nach dem Privacy Shield gelten grundsätzlich wohl erst einmal weiter. In Annex I, Ziffer III 6 lit. e des Beschlusses heißt es, dass nach dem Privacy Shield zertifizierte Unternehmen lediglich ihre privacy policies dahingehend ändern müssen, dass sie auf das neue Framework verweisen. Dies muss spätestens drei Monate nach Inkrafttreten des neuen Angemessenheitsbeschlusses geschehen. Wir empfehlen, die Entwicklung hierzu in den kommenden Tagen und Wochen genau zu verfolgen.