Am vergangenen Freitag haben EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden angemessen staatstragend verkündet, dass es eine zumindest grundlegende Übereinkunft für ein neues Abkommen über den sicheren Datentransfer zwischen der EU und den USA gibt. Welch ein Durchbruch, welch ein Segen. Dann wird jetzt endlich wieder alles gut, oder?
Der Inhalt im Überblick
Was wurde verkündet?
Alles und nichts. Bevor Sie die Sektflaschen rausholen und Ihre mühsam erarbeiteten Transfer Impact Assessments in den Schredder werfen, setzen Sie sich besser nochmal hin und lesen weiter.
Verkündet wurde nämlich zunächst nur eine „grundsätzliche Einigung“ darüber, dass man sich einig ist. Und zwar darüber, den grenzüberschreitenden Datenverkehr zwischen den beiden Rechtssphären neu zu regeln, indem man EU-Bürgern mehr Rechte einräumt und es US-Geheimdiensten nicht mehr ganz so einfach machen will, mit den Daten von EU-Bürgern zu jonglieren. Das Ganze soll dann natürlich wieder in Form eines Abkommens gegossen werden. Einen Namen für ein Abkommen hat man bei dieser Gelegenheit auch gleich präsentiert:
„Trans-Atlantic Data Privacy Framework.“
Konkrete Inhalte des künftigen Abkommens sucht man bisher vergeblich. Aber immerhin haben beide Seiten Factsheets veröffentlicht, die die gemeinsamen Absichten zur Sicherung der transatlantischen Datenflüsse stichpunktartig beschreiben.
Warum der ganze Zirkus?
Falls Sie sich nicht mehr erinnern: Notwendig geworden ist die erfolgte Einigung auf ein zukünftiges Abkommen aufgrund des „Schrems II-Urteils“ des Europäischen Gerichtshofs. Dieses Urteil erklärte das bis dahin gültige Privacy-Shield-Abkommen zwischen den USA und der EU für ungültig. Das Privacy-Shield-Abkommen stellte einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO dar und ermöglichte so eine recht unkomplizierte Übermittlung von personenbezogenen Daten aus der EU in die USA. Das war mit dem Wegfall des Privacy Shield passé und das Thema internationaler Datentransfer wurde zum Datenschutz-Albtraum.
In der Folge wurden neue EU-Standardvertragsklauseln erlassen, welche u.a. auch die Durchführung eines sogenannten Transfer Impact Assessments vorsehen. Die Vorgaben waren unklar und die Verwirrung perfekt.
Damit soll der EuGH zufriedengestellt werden
Doch nach Ansicht der verantwortlichen Personen in den Regierungen ist all das bald vorbei und ein Datentransfer in die USA so sicher wie Fort Knox.
Laut Factsheet sollen folgende Maßnahmen dafür sorgen, dass es eine rosige Datentransfer-Zukunft gibt:
- Es soll ein neues Regelwerk und verbindliche Garantien geben, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist. Die US-Nachrichtendienste sollen dazu Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.
- Zudem soll ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Nachrichtendienste eingeführt werden, zu dem auch ein „Datenschutzprüfungsgericht“ gehört.
- Es soll strenge Verpflichtungen für Unternehmen geben, die aus der EU übermittelte Daten verarbeiten, einschließlich der Verpflichtung, ihre Einhaltung der Grundsätze durch das US-Handelsministerium selbst zu zertifizieren.
- Zu guter Letzt sollen spezifische Überwachungs- und Überprüfungsmechanismen eingeführt werden.
Dann ist ja alles geklärt
Könnte man meinen. Und in der Tat hören sich die Vorhaben der transatlantischen Partner auch gut an. Doch die Details eines Abkommens sind momentan noch unklar. Wo soll zum Beispiel das angesprochene spezielle „Datenschutzprüfungsgericht“ sitzen und was wird es entscheiden können?
Was genau heißt „zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig“? Können das die US-Geheimdienste selbst entscheiden?
Mr. President, please verordnen Sie etwas Datenschutz
Klar ist bisher eines: Die Einigung der politischen Akteure ist ein erster wichtiger Schritt zu einem neuen denkbaren Abkommen für einen rechtsicheren transatlantischen Datenverkehr. Es ist vor allem aber erstmal eine politische Entscheidung und keine Änderung an den bestehenden Sicherheitsgesetzen in den USA, welche der Hauptgrund für die Schrems-Urteile des EuGH waren.
Denn es ist laut bisheriger Veröffentlichungen nicht geplant etwas an den bestehenden Gesetzen in den USA zu ändern. Die oben genannten Maßnahmen sollen alle durch eine sogenannte „Executive Order“ des US-Präsidenten umgesetzt werden. Eine solche Executive Order (deutsch: Durchführungsverordnung) ist eine direkte Anweisung des Präsidenten und damit ein Akt der Exekutive. Es bleibt zumindest fraglich, ob betroffene Personen in der EU auf dieser Grundlage auch Rechte geltend machen bzw. einklagen könnten. Zumindest Datenschutzaktivist und Kläger aus Leidenschaft Max Schrems deutet bereits tiefgehende Zweifel an und droht schon mit Schrems III.
Bleibt alles anders
Zurücklehnen und auf das neue Framework warten?
Das ist eher nicht zu empfehlen. Ob und wann auf Grundlage der Executive Order des US-Präsidenten ein neuer Angemessenheitsbeschluss der EU-Kommission ergehen wird, ist noch nicht abzusehen. Im besten Fall geht es dabei um einige Monate, wahrscheinlicher sollte man von 2023 ausgehen.
Betrachtet man diesen Zeitraum und die weiterhin mit den bisherigen Aussagen zum Trans-Atlantic Data Privacy Framework nicht ausgeräumte Rechtsunsicherheit im Rahmen des EU-US-Datentransfers, bleibt es ratsam weiter auf die neben dem Angemessenheitsbeschluss denkbaren „geeigneten Garantien“ der DSGVO für den internationalen Datentransfer zu setzen.
Auch wenn die Hoffnung zuletzt stirbt. Die EU-Standardvertragsklauseln samt leidigem Thema Transfer Impact Assessment bleiben zunächst das Mittel der Wahl.
Verzweiflung macht sich bereit?
Sie verzweifeln am korrekten Einsatz der Standardvertragsklauseln und der Durchführung eines Transfer Impact Assessments? Dann besuchen Sie doch unser Webinar zum Thema Standardvertragsklauseln. Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung.