Nachdem der EuGH 2020 das sogenannte „Privacy Shield“, womit eine sichere Datenübermittlung aus der EU in die USA gewährleistet werden sollte, gekippt hat, liegt nun ein neues Datenschutzabkommen auf dem Tisch. Nachdem der EuGH 2020 das sogenannte „Privacy Shield“ gekippt hat, fand die Datenübertragung in die USA quasi im rechtsfreien Raum statt. Nun hat US-Präsident Biden ein Dekret unterzeichnet, das den Umgang mit europäischen Daten in datenschutzkonformer Weise gewährleisten soll. Der Erlass ist der erste konkrete Schritt nach längeren Bemühungen der EU-Kommission und der US-Regierung, wieder einen rechtssicheren Rahmen für den transatlantischen Datentransfer zu schaffen. Ob die neuen Regelungen diesen Anforderungen gerecht werden, ist allerdings offen.
Am 07.10.2022 hat US-Präsident Joe Biden ein Dekret unterzeichnet, dass neue Regelungen für den Umgang mit Daten von EU-Bürgern vorsieht. Die US-Regierung strebt mit dem Regelwerk einen sogenannten Angemessenheitsbeschluss der EU-Kommission an, der die rechtssichere Übertragung europäischer personenbezogener Daten in die USA ermöglichen würde. Die beiden Vorgängerregelungen „Safe Harbour“ und „Privacy Shield“ wurden vom Europäischen Gerichtshof (EuGH) gekippt.
Erstes Datenschutzabkommen gescheitert
Der erste Versuch, einen sicheren Datentransfer zwischen EU-Staaten und den USA zu ermöglichen, scheiterte 2015, als der EuGH das damalige Datenschutzabkommen „Safe Harbour“ kippte (Urt. v. 06.10.2015, Az. C-362/14 – „Schrems I“). Der Grund hierfür war, dass die damalige Europäische Datenschutzrichtlinie (RL 95/46/EG) es grundsätzlich verbot, personenbezogene Daten von EU-Bürgern in ein Land zu übertragen, dass kein dem europäischen vergleichbares Datenschutzniveau aufwies.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Daraufhin trafen die EU-Kommission und die US-Regierung ein Übereinkommen, wonach sich US-amerikanische Unternehmen verpflichten konnten, bestimmte datenschutzrechtliche Regeln einzuhalten und dafür auf eine Liste des US-Handelsministeriums aufgenommen wurden. Die EU-Kommission erkannte daraufhin an, dass die auf dieser Liste stehenden Unternehmen einen ausreichenden Datenschutz gewährleisteten und daher personenbezogene Daten aus der EU in die USA übertragen durften. Der EuGH stellte jedoch fest, dass auch diejenigen Unternehmen, die sich den „Safe Harbour“-Regelungen unterworfen hatten, nach US-amerikanischen Gesetzen verpflichtet waren, Geheimdiensten Zugriff auf gespeicherte Daten zu gewähren. Die Regelungen des Abkommens liefen daher ins Leere. Die Richter erklärten den Angemessenheitsbeschluss der Kommission daher für nichtig.
Rechtsunsicherheit seit Schrems II-Entscheidung
Auch die Nachfolgeregelung, Datenschutzabkommen „Privacy Shield“ kippte der EuGH (Urt. v. 16.07.2020, Az. C 311/18 – „Schrems II“). Auch diese Regelung beruhte auf einem Angemessenheitsbeschluss der EU-Kommission. Allerdings hatte die US-Regierung an einigen Stellen versucht, die Anforderungen des EuGH mit neuen Regeln umzusetzen. So war in einem von US-Präsident Barack Obama vorgesehenen Dekret insbesondere eine Klagemöglichkeit für europäische Betroffene vorgesehen. Das reichte dem EuGH jedoch nicht, so dass er auch diesen Angemessenheitsbeschluss mit im Wesentlichen gleicher Begründung wie bei „Schrems I“ für nichtig erklärte.
Die Folge des EuGH-Urteils war, dass seither keine gesicherte rechtliche Grundlage für Datenübermittlungen in die USA besteht. Einzelne Unternehmen sind daher auf den Abschluss sogenannter „Standardvertragsklauseln“ angewiesen. Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die Datenexporteure beim Transfer von Daten in Drittstaaten abschließen sollen. Sie legen vertraglich fest, dass auch der Datenimporteur das europäische Datenschutzniveau halten muss. Da die Importeure in den USA dies aber nicht uneingeschränkt zusichern können, herrschte für sie in den letzten Jahren große Rechtsunsicherheit. Der Facebook-Konzern Meta befürchtete sogar, dass seine Online-Netzwerke wie Facebook und Instagram in Europa eingestellt werden müssen, sollte keine Nachfolgeregelung zu dem Privacy Shield verabschiedet werden.
Biden unterzeichnet Dekret
Bereits im Frühjahr 2022, während eines Besuchs in Brüssel, hatte sich US-Präsident Joe Biden mit Kommissionschefin Ursula von der Leyen auf ein neues Datenschutzabkommen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework) verständigt. Am 07.10.2021 unterzeichnete der US-Präsident nun ein Dekret, welches auf US-amerikanischer Seite die rechtliche Grundlage für einen neuen Rechtsrahmen zur Datenübermittlung schafft. Nach Einschätzung der US-Handelsministerin Gina Raimondo können durch den Erlass die Bedenken des EuGH ausgeräumt werden. So sind insbesondere striktere Vorgaben für den geheimdienstlichen Zugang zu Daten von Europäern vorgesehen. Der Zugriff soll demnach nur noch möglich sein, wenn dies zur Verfolgung definierter nationaler Sicherheitsziele erforderlich ist. Weiterhin sollen die Privatsphäre und die bürgerlichen Freiheitsrechte aller Menschen unabhängig von Nationalität und Wohnort in Betracht gezogen werden. Darüber hinaus soll es für EU-Bürger einen zweistufigen Mechanismus geben, um sich über aus ihrer Sicht rechtswidrige Zugriffe auf ihre Daten zu beschweren. Beschwerden sollen danach zunächst vom Verantwortlichen für den Schutz von Bürgerrechten im Büro des US-Geheimdienstdirektors geprüft werden. Dessen Entscheidung soll anschließend vor einem spezialisierten Gericht überprüfbar sein.
Wie geht es weiter?
Die Europäische Kommission war an der Ausarbeitung der US-Maßnahmen beteiligt und zeigt sich dementsprechend zuversichtlich, dass nun ein Rahmen für den transatlantischen Datenaustausch geschaffen werden kann, der den Anforderungen des EuGH genügt. Gleichwohl betont man in Brüssel, dass das Biden-Dekret ein wichtiger Schritt, aber nicht das Ende des Verfahrens sei. Auf Europäischer Seite muss nun als nächstes ein sogenannte Angemessenheitsbeschluss gem. Art. 45 DSGVO gefasst werden. Hierfür will Ministerin Raimondo dem zuständigen EU-Kommissar Didier Reynders mehrere Schreiben der zuständigen US-Behörden übermitteln, in welchen die vorgesehenen Maßnahmen beschrieben werden. Diese Regelungen werden dann ausführlich von EU-Beamten überprüft. In dieser, regelmäßig mehrere Monate andauernden Phase wird außerdem der Europäischen Datenschutzausschusses (EDSA) konsultiert. Der Beschluss wird anschließend von der Kommission gefasst.
Datenschützer sind skeptisch
Während einige Datenschützer durchaus positiv auf den Erlass reagieren und es für einen hoffnungsvollen Nachfolger des Privacy Shields halten, zeigen sich andere skeptisch. Allen voran der österreichische Datenschutzaktivist Max Schrems, der bereits die Abkommen „Safe Harbour“ und „Privacy Shield“ mit seinen Klagen vor dem EuGH zu Fall gebracht hatte: Er zweifelt an der Vereinbarkeit des Abkommens mit EU-Recht. Er kündigte bereits an, die Regelungen umfassend zu überprüfen und erforderlichenfalls erneut vor den EuGH zu ziehen. Besondere Bedenken hat der Aktivist gegen die fehlende Unabhängigkeit des im Beschwerdeverfahren vorgesehenen Gerichts. Ob das neue Regelwerk dem europäischen Datenschutzniveau standhalten oder vom EuGH in einem „Schrems III“-Urteil wieder kassiert werden wird, bleibt daher noch abzuwarten.
lpo/jko