Aller guten Dinge sind bekanntermaßen drei. Ob dies jedoch auch für die geplante Nachfolge-Vereinbarung zum EU-U.S. Privacy Shield bzw. Safe Harbor zutrifft, ist jedoch mehr als fraglich. Die EU-Kommission und die US-Regierung haben erste Details zum geplanten neuen Transatlantischen Datenschutzrahmen EU-U.S. Data Privacy Framework (EU-U.S. DPF) bekannt gegeben. Beide Seiten geben sich zuversichtlich, dass es nun im dritten Anlauf mit einer Übereinkunft zum grundrechtskonformen Austausch personenbezogener Daten zwischen der EU und der USA kommt.
Update: Am Freitag, 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden die erste der versprochenen Executive Orders (E.O.): die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities. Die E.O. legt die Schritte fest, die die USA unternehmen werden, um die Verpflichtungen der USA aus dem am 25. März 2022 verkündeten EU-U.S. Data Privacy Framework (EU-U.S. DPF) umzusetzen.
Die darin aufgelisteten Schritte umfassen: Hinzufügung weiterer Sicherheitsvorkehrungen, wie z. B. die Verpflichtung der US-Nachrichtendienste, die Privatsphäre aller Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland zu berücksichtigen, Festlegung von Anforderungen an den Umgang mit personenbezogenen Daten und Schaffung eines Überprüfungs- und Rechtsbehelfsmechanismus für Verstöße gegen die Anforderungen an den Umgang mit personenbezogenen Daten im Sinne des US-Rechts.
Die E.O. soll als Grundlage für die EU-Kommission dienen, einen neuen Angemessenheitsbeschluss zu fassen. Dies ist jedoch alles andere als sicher und es ist höchst zweifelhaft, ob ein solcher Beschluss einem Urteil des EuGH standhalten würde.
In einer Pressemitteilung vom 25. März 2022 versichern US-Präsident Joe Biden und Kommissionspräsidentin Ursula von der Leyen, dass mit dem geplanten Ansatz eine „noch nie dagewesene Verpflichtung“ der USA käme, die bereit seien, Reformen durchzuführen, die den Schutz der Privatsphäre und der Bürgerrechte bei der Telekommunikationsüberwachung und Funkaufklärung verstärken. Laut von der Leyen soll das neue Abkommen „einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA ermöglichen und den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.“
Derzeit handelt es sich jedoch nur um eine politische Einigung, genaue Details zu dem neuen Abkommen wurden nicht genannt. Zudem gibt es bisher keine Anzeichen, dass die USA Änderungen ihrer Überwachungsgesetze vornehmen. Scheinbar soll es nur Zusicherungen mittels sogenannter Executive Orders geben. Demnach sollen US-Sicherheitsbehörden „Verfahren einführen, die eine wirksame Kontrolle der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten.“
Hinzu kommt ein „neues zweistufiges Rechtsbehelfssystem Untersuchung und Beilegung von Beschwerden von Europäern über den Zugriff auf Daten durch US-Geheimdienste.“ Ein spezielles Gericht zur Prüfung solcher Eingaben soll hierfür zuständig werden. Zudem spricht die EU-Kommission von „strengen Auflagen für Unternehmen, die aus der EU übermittelte Daten bearbeiten“. Die Pflicht zur Selbstzertifizierung (wie unter dem EU-U.S. Privacy Shield und dem davor gültigen Safe Harbor) bleibt demnach bestehen, wonach diese Unternehmen die einschlägigen Grundsätze des US-Handelsministeriums befolgen müssen. Außerdem wurden „spezifische Überwachungs- und Überprüfungsmechanismen“ vereinbart. Mit diesen Maßnahmen sollen die „in die USA übermittelten Daten der Europäer unter Berücksichtigung“ des Schrems-II-Urteils geschützt werden.
Datenschutzrechtliche Einschätzung
Zu berücksichtigen ist, dass dies nur Zusicherungen sind. Executive Orders haben keine externe Wirkung und können auch nicht eingeklagt werden. Sowohl im Urteil zu Schrems I (Safe Harbor) als auch im Urteil zu Schrems II (EU-U.S. Privacy Shield) hat der Europäische Gerichtshof (EuGH) jeweils festgestellt, dass US-Gesetzte wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen und somit der Datenschutzstandard in den Vereinigten Staaten nicht dem in der EU entspricht.
Die politische Einigung ist zwar ein notwendiger erster Schritt, aber noch lange nicht das Licht am Ende des Tunnels. Unternehmen brauchen Rechtssicherheit und es gilt den politischen Willen in eine belastbare rechtliche Regelung zu gießen. Viele Unternehmen in Europa speichern ihre Daten in der Cloud, nutzen Software oder Videokonferenzsysteme von US-Anbietern und sind somit von amerikanischen Dienstleistern abhängig.
Im Moment führt diese politische Ankündigung zu noch mehr Rechtsunsicherheit, da ein endgültiger Text noch nicht vorliegt. Bis ein neues Abkommen zu Papier gebracht und verabschiedet ist, wird es zudem noch dauern. Dann muss dieses vom Europäischen Datenschutzausschuss geprüft werden, bevor ein tatsächlicher Angemessenheitsbeschluss vorliegt. Das alles kann noch ein paar Monate dauern.
Sollte das neue Abkommen den Anforderungen des EU-Rechts nicht gerecht werden, wird die Lebensdauer auf die Zeit begrenzt sein, die derzeit Verfahren vor dem EuGH bis zur Entscheidung brauchen. Denn wir können davon ausgehen, dass Datenschutzaktivist Max Schrems mit seinem Verein noyb (none of you business) die neuen Vereinbarungen zum transatlantischen Datentransfer äußerst genau prüfen wird.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!