Mehr Infos

Neues EU-US-Datenschutzabkommen in Sicht?

 
 
 

 

 

 

In einer globalisierten Welt, wie wir sie heute haben, verlassen sich viele Menschen zunehmend auf internationale und kontinentale Datenströme, denn die Fähigkeit, Informationen auszutauschen – ob im Rahmen des Online-Shoppings, für Reisen, den Versand, Bürozusammenarbeit, Kundenmanagement oder Sicherheitsmaßnahmen – bildet die Grundlage der globalen Wirtschaft. Seit der Schrems II-Entscheidung im Juli 2020 (EuGH-Urteil, Rechtssache C-311/18) sind solche Datentransfers jedoch zunehmend in Gefahr, da der Europäische Gerichtshof die Rechtsgrundlage solcher Datentransfers – den EU-US Privacy Shield Beschluss – für ungültig erklärt hat. Nun sollen Verhandlungen um eine Nachfolge bereits kurz vor dem Abschluss stehen.

 

Das Wichtigste in Kürze

  • Seither ist eine Drittlanddatenübermittlung in die USA grundsätzlich nur auf Basis der Standardvertragsklauseln (SCC) der EU-Kommission, einem Transfer Impact Assessment und ergänzenden Schutzmaßnahmen gestattet.
  • Das geplante Abkommen soll die Bürger der EU deutlich besser vor Datenzugriffen seitens der US-Sicherheitsbehörden schützen als bisher.

 

Safe Harbor Abkommen

Ursprünglich war der Datentransfer zwischen der EU und den USA gemäß dem Beschluss der Europäischen Kommission zunächst auf Grundlage des Safe Harbor Abkommens möglich. Der Europäische Gerichtshof hat den Beschluss mit Urteil (EuGH-Urteil vom 06.10.2015, Rechtssache C-362/14) aufgehoben und folglich das Safe Harbor-Abkommen außer Kraft gesetzt.

 

Privacy Shield Abkommen

Daraufhin wurde auf Grundlage des Beschlusses der EU-Kommission vom 12. Juli 2016 als Nachfolgevereinbarung das EU-US Privacy Shield Abkommen ins Leben gerufen. Das Privacy Shield war ein Angemessenheitsbeschluss nach Art. 45 DSGVO, der die Grundlage der Datenübermittlung in die USA bilden sollte. In dem Beschluss wurde festgelegt, dass die USA unter bestimmten Voraussetzungen ein angemessenes Schutzniveau für personenbezogene Daten bietet. US-Unternehmen hatten die Möglichkeit, dem Abkommen beizutreten und sich dadurch zur Einhaltung des DSGVO-Datenschutzniveaus zu verpflichten. Dadurch sollte eine einfache Möglichkeit des transkontinentalen Datenflusses zwischen der EU und den USA geschaffen werden.

 

Schrems II-Urteil

2020 hat der Europäische Gerichtshof das EU-US Privacy Shield und damit eine der wichtigsten Grundlagen des Datentransfers in die USA für ungültig erklärt. Im Rahmen eines Rechtsstreits zwischen dem Datenschützer Maximilian Schrems und der irischen Aufsichtsbehörde, der die Übermittlung Schrems‘ personenbezogener Daten durch Facebook Ireland zum Mutterkonzern in die USA zum Gegenstand hatte, hat das Gericht festgestellt, dass ein angemessenes staatliches Datenschutzniveau, wie es Art. 45 DSGVO fordert, aufgrund der weitgehenden Befugnisse der US-Geheimdienste sowie der Rechtslage in den Vereinigten Staaten nicht sichergestellt werden kann. In der Folge hat das Gericht das Privacy Shield in seiner Schrems II-Entscheidung für unwirksam erklärt.

 

Rechtslage seit dem Urteil

Die Entscheidung hatte einschneidende Folgen für den transkontinentalen Datenaustausch, der seither zumeist auf Basis der Standardvertragsklauseln (SCC) der EU-Kommission, einem Transfer Impact Assessment und ergänzenden Schutzmaßnahmen stattfindet. Dieses Vorgehen ist jedoch meist aufwendig und birgt häufig Restrisiken.

 

Anforderungen an einen Datenaustausch aus Sicht der Behörden

Zwar können Standardvertragsklauseln für eine Datenübertragung genutzt werden, allerdings reicht der bloße Vertragsschluss hierfür nicht aus. Dasselbe gilt für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Der Datenexporteur muss vielmehr im Rahmen einer Übermittlung personenbezogener Daten mittels SCC bewerten, ob für die transferierten Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Entscheidend ist dabei nicht das allgemeine Datenschutzniveau des Empfängerlandes, sondern das Schutzniveau für die übertragenen Daten im konkreten Fall.

Der Bewertung sollte zum einen der konkrete Weg der Datenübertragung zugrunde liegen, da sich Risiken für das Datenschutzniveau beispielsweise auch aus der staatlichen Überwachung von Leitungsnetzen ergeben können, die durch die Wahl eines anderen Übertragungswegs möglicherweise verringert oder gänzlich eliminiert werden können. Weiterhin sollten die Risiken der Datenspeicherung bei einem spezifischen Empfänger bewertet werden. Insoweit können sich beispielsweise durch branchenspezifische Gesetzgebung Unterschiede ergeben, die bestimmte Empfänger (wie z. B. Telekommunikationsanbieter) zur Kooperation mit Geheimdiensten verpflichten. Zudem sollte stets vorrangig geprüft werden, ob nicht zumutbare Alternativen existieren, die ohne einen transatlantischen Transfer personenbezogener Daten auskommen, wie beispielsweise die Zusammenarbeit mit Dienstleistern, die in der EU ihren Sitz haben.

Kommt man infolge einer Bewertung unter den soeben genannten Gesichtspunkten zum Ergebnis, dass kein Datenschutzniveau gewährleistet ist, das dem der EU vergleichbar ist, ist der Datenexporteur verpflichtet, im Vorfeld des Transfers zusätzliche Maßnahmen zu ergreifen, um einen hinreichenden Schutz der Daten garantieren zu können. Als zusätzliche Schutzmaßnahmen kommen insbesondere Verschlüsselung und Pseudonymisierung in Betracht. Sollten auch diese nicht ausreichen, darf keine Übertragung personenbezogener Daten in das Drittland erfolgen.

 

Neues Datenschutzabkommen in Sicht (?)

Medienberichten (https://www.politico.eu/newsletter/digital-bridge/privacy-shield-update-3-0-semiconductor-subsidies-eu-us-policy-spat/) zufolge, sollen endlich Verhandlungen um eine Nachfolge des EU-US Privacy Shields fast abgeschlossen sein. Das geplante Abkommen soll die Bürger der EU deutlich besser vor Datenzugriffen seitens der US-Sicherheitsbehörden schützen als bisher. 

Die US-Regierung versuchte bereits im vergangenen Jahr mit Ursula von der Leyen, der Präsidentin der Europäischen Kommission, eine politische Einigung hinsichtlich der Aufrechterhaltung der EU-US-Datenübermittlung zu erzielen. Im Vorfeld des ersten TTC-Treffens im vergangenen September wurde von US-Beamten angeboten, die nationalen Sicherheitsbehörden quasi-richterlich zu beaufsichtigen, um den Abschluss eines neuen Abkommens schnellstmöglich zu erreichen.

Sämtliche Versuche der Erzielung einer Einigung blieben bisher jedoch ohne Erfolg, sodass die Verhandlungspartner immer noch dabei sind, ein neues Abkommen auszuhandeln. Die US-Regierung betont in diesem Zusammenhang stets, dass der Abschluss eines verbesserten Privacy Shields oberste Priorität hat.

 

Ziel des US-EU Adequancy Agreements

Ziel des neuen Abkommens sei es, die Rechte der EU-Bürger im Datenschutz zu stärken, sodass weitestgehend Rechtssicherheit im Hinblick auf den transkontinentalen Datenschutz geschaffen wird und gleichzeitig den US-Geheimdiensten weiterhin einen Zugriff auf die Daten der Bürger (in rechtmäßiger Weise) zu ermöglichen. Wie in diesem Fall eine Einigung aussehen soll, bleibt abzuwarten.

 

Aktueller Stand der Verhandlungen

Folgt man den Behauptungen von US-Beamten, sei die Erarbeitung eines neuen Abkommens beendet. Das Abkommen, soll im Übrigen als „Angemessenheitsabkommen zwischen den USA und der EU“ bezeichnet werden, um zu zeigen, dass sowohl in der EU als auch in den USA das gleiche Maß an Datenschutz besteht. Demgegenüber ist die EU der Ansicht, dass es allein der EU obliegt, festzulegen, ob Drittländer dem europäischen Datenschutzstandard gerecht werden.

 

Vorschlag der USA

Bisher gibt es noch kaum inhaltliche Details zum neuen Datenschutzabkommen. Allerdings schlagen einige Beteiligte vor, dem EU-Bürger die Möglichkeit zur eröffnen, direkt (oder als Ausweichmöglichkeit über eigene nationale Behörden) eine Beschwerde bei einer unabhängigen Justizbehörde einreichen zu können, wenn sie der Ansicht sind, dass ihre personenbezogenen Daten unrechtmäßig durch die nationalen Behörden der USA verarbeitet werden. Ein solcher Rechtsbehelfsmechanismus würde allerdings weiter gehen als das, was US-Bürgern zur Verfügung steht, wenn diese sich über Datenzugriffe der US-Regierung beschweren wollen.

Hingegen soll wohl bereits feststehen, dass solche Änderungen nicht in neuen oder geänderten Gesetzen verankert werden sollen.

Die Verhandlungsführer der EU und der USA sind sich darüber bewusst, dass der US-Kongress weiterhin wenig interessiert ist am Datenschutz ausländischer Bürger. Es ist daher zu erwarten, dass die Vorschläge der USA ausschließlich auf die Änderung bestehender aufsichtsrechtlicher Vorschriften der Sicherheitsbehörden gerichtet sein werden. Doch auch dies könnte bereits dem von der EU geforderten datenschutzrechtlichen Standard gerecht werden.

 

Ausblick

Nach nun fast zweijährigen Verhandlungen liegt immer noch keine Einigung über grundlegende Fragen im Hinblick auf die Wahrung der Datenschutzrechte der EU-Bürger vor. Ob die aktuellen Verhandlungen am Ende tatsächlich die lang ersehnte Rechtssicherheit bringen werden, bleibt abzuwarten. Fest steht, dass Unternehmen bestehende Verträge mit Dienstleistern daraufhin prüfen müssen, ob und wie personenbezogene Daten in Drittländern transferiert werden.

 

Call Now ButtonKontakt aufnehmen