Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles
Hinweis: Dieser Beitrag wird sukzessiv durch unsere Autor:innen weitergeschrieben, daher schauen Sie gern in regelmäßigen Abständen, ob neue Updates veröffentlicht wurden.
Update 03.05.2022
In einer Pressemitteilung vom 25.03.2022 gaben die Europäische Kommission gemeinsam mit den Vereinigten Staaten bekannt, dass sie sich nach über einem Jahr intensiver Verhandlungen „grundsätzlich“ auf einen neuen transatlantischen Datenschutzrahmen geeinigt haben. Das neue Abkommen solle den transatlantischen Datenverkehr fördern und die vom EuGH im Schrems-II-Urteil geäußerten Bedenken ausräumen. Das ehemals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Privacy Shield wurde am 16.07.2020 vom EuGH auf Klage des österreichischen Aktivisten Max Schrems hin in diesem Urteil für unwirksam erklärt.
Laut Pressemeldung haben sich die USA dazu bereit erklärt, Maßnahmen zu ergreifen, um die Notwendigkeit und Verhältnismäßigkeit von Nachrichtendienstaktivitäten zu Zielen der nationalen Sicherheit sicherzustellen. Dies soll konkret folgende Maßnahmen umfassen:
- Die Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
- Die Einrichtung eines zweistufigen, unabhängigen Rechtsmittelmechanismus hinsichtlich aus Betroffenensicht unrechtmäßigen Aktivitäten der Nachrichtendienste, durch den Abhilfemaßnahmen verbindlich angeordnet werden können
- Die signalerfassende Aufklärung soll einer strengen, mehrstufigen Aufsicht unterstellt werden, um die Einhaltung der Beschränkungen der Überwachungsmaßnahmen sicherzustellen
Das könnte Sie auch interessieren:
- Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil
- SCC-Generator von caralegal
- Internationaler Datentransfer: Anforderungen und Entwicklungen
Bislang handelt es sich bei der gemeinsamen Erklärung der Europäischen Kommission und der US-Regierung lediglich um eine politische. In der Pressemitteilung selbst wird deutlich, dass zunächst in fortzusetzender Zusammenarbeit die Ankündigungen in Rechtstexte umgesetzt werden und anschließend von beiden Seiten angenommen werden müssen, damit der transatlantische Datenschutzrahmen auch wirksam wird. In diesem Zuge sollen die Selbstverpflichtungen der USA in sog. Executive Orders überführt werden, welche wiederum als Grundlage für die Bewertung der Kommission bei Entscheidung über einen Angemessenheitsbeschluss dienen werden. Laut noyb planen die USA allerdings wohl grundsätzlich keine Änderungen ihrer Überwachungsgesetze, vielmehr sollen alle Zusicherungen lediglich mittels Executive Orders der Regierung umgesetzt werden. Problematisch sei dies, da die Orders mitunter keine externe Wirkung hätten und damit nicht eingeklagt werden könnten.
Aber auch bei tatsächlichem Zustandekommen des neuen transatlantischen Datenschutzrahmens bleibt abzuwarten, ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch das Gericht standhalten würde. So kündigte Max Schrems in einer ersten Reaktion auf die Ankündigung des Abkommens bereits an, dass bei fehlender EU-Rechtskonformität etwa seine NGO noyb den Rechtsakt vorgehen wird.
Hintergrund des transatlantischen Datenschutzabkommens
Das transatlantische Datenschutzabkommen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des „Kippens“ des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass die USA kein angemessenes Datenschutzniveau für Datentransfers (Art. 44 ff. DSGVO) bietet (Az. C-311/18, „Schrems II“-Urteil). Das bis dahin bestehende EU-US Privacy Shield, welches als Angemessenheitsbeschluss gem. Art. 45 DSGVO die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und der USA ermöglichte, wurde mit diesem Urteil für nichtig erklärt. Weitere detaillierte Hintergrundinformationen zum Schrems II-Urteil finden Sie hier auf unserem Blog.
Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen, die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.
Inzwischen hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Hintergrund dafür, war die Adressierung einiger neuer Pflichten an Datenexporteur:innen des EuGH aus dem Schrems II-Urteil. Damit stellte der EuGH neue Anforderungen an den Drittlandtransfer auf, welche auch in den SCC berücksichtigt werden mussten. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten. Weitere Ausführungen zum TIA finden Sie hier auf unserem Blog.
Außerdem haben Datenimporteur:innen Benachrichtigungspflichten im Falle des Zugriffes auf Daten von Behörden im Drittland gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person. Umfassende Informationen zu den neuen SCC finden Sie hier auf unserem Blog.
Der EuGH betonte im Schrems II-Urteil die Verantwortung der Datenexporteur:innen, für jede Datenübermittlung das Schutzniveau im Drittland prüfen zu müssen und geeignete Garantien für den Schutz der in ein Drittland übermittelten Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere Vereinbarungen oder Elemente ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.
Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.
Mit den Bestrebungen des transatlantischen Datenschutzabkommens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.
Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht die Ausnahmeregelung des Art. 49 DSGVO eingreift.
Zweck und Inhalt des Abkommens
Der Zweck der bisher rein politischen Erklärung zwischen der Europäischen Kommission und der US-Regierung liegt in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Dieser ist lediglich die Grundlage dafür, die grundsätzliche Einigung in Rechtsdokumente umsetzen zu wollen. Die USA wollen sich durch Executive Orders verpflichten, die die Grundlage für einen Entwurf eines Angemessenheitsbeschlusses bilden sollen.
Mit dem neuen Regelwerk, das Folge des transatlantischen Datenschutzrahmens sein soll, sollen verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Nichtigerklärung des Privacy Shields. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestand. Dafür sollen gemeinsame Verfahren etabliert werden, welche eine effektive Überwachung der Maßnahmen gewährleisten sollen.
Der vorgesehene zweistufige Rechtsmittelmechanismus ist eine direkte Reaktion auf einer der wesentlichen Gründe des „Kippens“ des EU-US Privacy Shields des EuGH. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsmittelmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Nachrichtendienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens Unionsbürger von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsmittel zur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der die gerichtliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.
Eine Überwachung seitens der US-Behörden sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es im Trans-Atlantic Data Privacy Framework.
Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung des künftigen Abkommens bestätigt werden.
Die weiteren Schritte
Bisher haben sich die Europäische Kommission und die US-Regierung nur darauf verständigt, ein neues Abkommen schließen zu wollen. Die gemeinsame Erklärung ist daher bisher nur dem politischen Bereich zuzuordnen.
Daher wird es im Weiteren auf eine fortgesetzte Zusammenarbeit ankommen, mit welcher die politische Einigung in eine rechtliche Verpflichtung umgewandelt wird. Zumindest ist die Verständigung auf eine weitere gemeinsame Arbeit im Bereich des Datenschutzes jedoch ein sehr wichtiger Schritt.
Zu erwarten ist nun, dass in der EU ein neuer Angemessenheitsbeschluss von der Europäischen Kommission vor dem Hintergrund der politischen Übereinkunft und der Durchführungsverordnungen (Executive Orders) seitens der USA beschlossen wird. Wann zeitlich damit zu rechnen ist, ist nicht bekannt. Gerade dieser Spagat zwischen politischem Einvernehmen und juristischer Ausarbeitung erscheint nicht einfach, wie durch das Kippen des Safe Harbour Abkommens (2015) und des EU-US Privacy Shields zu sehen ist.
Weiterhin stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten wird.
Praxistipp: Was ist jetzt zu tun?
Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, die Ergebnisse des geplanten Übereinkommens abzuwarten oder ob sie der Abschluss der SCC noch eine Weile begleiten wird. Aktuell sollte unbedingt auf den Abschluss der SCC zurückgegriffen werden, soweit der Datentransfer in die USA geplant ist. Das Instrument der SCC als mögliche Rechtsgrundlage für den Datentransfer personenbezogener Daten in Drittländer wie die USA hat auch mit dem Kippen des Privacy Shields noch Bestand. Eine Datenübermittlung in die USA kann nur dann über die SCC begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der EU gewährleisten. Dafür ist je nach Umständen des Datentransfers eine Einzelfallbetrachtung anzustellen. Die bloße politische Übereinkunft dient jedenfalls nicht als Grundlage, Daten rechtssicher in die USA zu transferieren.