Am 25. März 2022 wurde die mittlerweile dritte Einigung zur transatlantischen Datenübermittlung offiziell vorgestellt. Nachdem das Privacy Shield im Juli 2020 vom EuGH außer Kraft gesetzt wurde, ist es höchste Zeit wieder eine Grundlage für den Datenverkehr zwischen der EU und den USA zu haben. Wir haben für Sie einen genauen Blick auf das neue Trans-Atlantic Data Privacy Framework geworfen.
Wozu wird ein Framework bei Drittlandtransfers benötigt?
Bei Datentransfers in ein Land außerhalb der EU beziehungsweise des EWR ist neben der Rechtsgrundlage für die Datenverarbeitung zusätzlich eine ,,Garantie‘‘ für den Drittlandtransfer erforderlich. Für einige Drittstaaten hat die EU-Kommission eine solche Garantie mit einem sogenannten Angemessenheitsbeschluss geschaffen. Für die USA stellte lange Zeit das sogenannte Privacy Shield Abkommen diesen Angemessenheitsbeschluss dar. Dieses Abkommen ermöglichte eine unkomplizierte Datenübermittlung an Unternehmen, die Privacy-Shield-zertifiziert waren.
Im Juli 2020 wurde dieses Privacy Shield Abkommen gekippt. Im sogenannten Schrems-II-Urteil stellte der EuGH fest, dass das Privacy Shield Abkommen keinen dem Unionsrecht gleichwertigen Rechtsschutz gewährleistet. Insbesondere wurde die weitreichende Zugriffsmöglichkeit von US-Geheimdiensten auf europäische Daten bemängelt. Zudem wurde kritisiert, dass die Betroffenen keine Möglichkeit hätten, ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen. Infolgedessen wurde das Privacy Shield Abkommen verworfen. Seither besteht eine große Verunsicherung, unter welchen Bedingungen ein Datentransfer in die USA weiterhin möglich ist. Vor allem Unternehmen fürchteten hier Sanktionen und Beschwerden.
Das Trans-Atlantic Data Privacy Framework
Die Verunsicherung der letzten Jahre soll nun ein Ende haben. Die Europäische Kommission und die USA haben sich im Grundsatz auf einen Nachfolger des Privacy Shield Abkommens geeignet, dem Trans-Atlantic Data Privacy Framework.
Folgende Rahmenbedingungen des Trans-Atlantic Data Privacy Framework sollen einen freien und sicheren Datenfluss zwischen der EU und den USA gewährleisten:
- Neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
- Zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von EU-Bürgern über den Zugang zu Daten durch US-Nachrichtendienste.
- Strengere Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich einer Selbst-Zertifizierung.
- Spezifische Überwachungs- und Überprüfungsmechanismen.
Personenbezogene Datenübermittlung in die USA wieder problemlos möglich?
Nach langer Rechtsunsicherheit ist es jedenfalls erfreulich, dass die gemeinsame Datenschutzpolitik von EU und USA erneut Fahrt aufnimmt. Trotzdem können personenbezogene Daten derzeit noch nicht ohne Weiteres in die USA übermittelt werden. Aktuell wurde das Trans-Atlantic Data Privacy Framework lediglich in einer gemeinsamen Ankündigung der US-Regierung und der EU-Kommission in Aussicht gestellt. Vorerst gilt also weiterhin, dass die Voraussetzungen für einen sicheren Datentransfer in die USA in jedem Einzelfall genau geprüft und gegebenenfalls zusätzliche Maßnahmen getroffen werden müssen.
Wie geht es mit dem Privacy Shield Nachfolger weiter?
Auch wenn Unternehmen und Verbraucher sehnlichst auf ein neues Regelwerk gewartet haben, ist noch nicht alles startklar. Auf dem Weg zum Trans-Atlantic Data Privacy Framework sind noch einige wesentliche Schritte zu unternehmen:
- Die Vereinbarung muss im Detail noch ausgestaltet und verschriftlicht werden. Viele Details sind derzeit noch offen.
- Die erreichte, verschriftlichte Einigung muss dann von beiden Seiten akzeptiert werden.
- Die USA setzen daraufhin die Grundsätze der Vereinbarung durch eine neue Verwaltungsvorschrift (sogenannte Executive Order) um.
- Auf dieser Grundlage wird ein Angemessenheitsbeschluss der EU-Kommission entworfen.
- Hierzu erfolgt sodann eine Stellungnahme des Europäischen Datenschutzausschusses.
- Schließlich fasst im letzten Schritt die EU-Kommission den Angemessenheitsbeschluss.
Ob und wann ein neuer Angemessenheitsbeschluss der EU-Kommission ergehen wird, ist derzeit noch nicht abzusehen. Zudem wird aktuell Kritik laut, ob das geplante Trans-Atlantic Data Privacy Framework den strikten Anforderungen des Schrems-II-Urteils gerecht werden kann und damit als Privacy Shield Nachfolger dienen kann. Denn eine Änderung der Sicherheitsgesetze in den USA ist nicht vorgesehen, obwohl dies wohl erforderlich wäre, um die wesentlichen Kritikpunkte des Schrems II-Urteils zu adressieren. Wie es in der Praxis weitergeht, bleibt also abzuwarten.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 29.04.2022