Was ist der Stand der Dinge?
Nachdem der Europäische Gerichtshof den Privacy Shield in 2020 gekippt hat, brauchte es dringend eine neue Regelung für den Transfer von personenbezogenen Daten zwischen der EU und den USA. Bemängelt wurden vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern.
Seit dem Urteil des (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) konnten die (neuen) Standardvertragsklauseln der EU-Kommission für die Übermittlung in die USA lediglich dann verwendet werden, wenn zusätzliche Maßnahmen ergriffen wurden, um ein der EU entsprechendes Datenschutzniveau sicherzustellen. Dazu gehören bspw. geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen. In diesem Zusammenhang sind nicht nur die vertraglichen Beziehungen zwischen Datenexporteur und Datenimporteur relevant, sondern auch die Zugriffsmöglichkeit auf die Daten durch Behörden des Drittlandes und das Rechtssystem dieses Landes insgesamt (Gesetzgebung und Rechtsprechung, Verwaltungspraxis von Behörden), die im Rahmen eines Transfer Impact Assessments zu prüfen sind.
Wie geht es weiter? Trans-Atlantic Data Privacy Framework
Ende März wurde sich zwar im Grundsatz auf ein neues Abkommen (sog. Trans-Atlantic Data Privacy Framework) verständig, aber bis es soweit ist, sind noch große Hürden zu meistern. Die US Geheimdienste sollen sich künftig nur noch auf die Daten beschränken, welche “zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig” seien. Des Weiteren soll es einen unabhängigen Rechtsschutz für die Beschwerden von Europäern geben.
Ein Rechtstext der US-Seite, über den man beraten könne, wird erwartet. Es bleibt zu hoffen, dass US Präsident Joe Biden eine entsprechende Verfügung zeitnah unterzeichnen wird.
Sobald diese vorliegt, könnte auf EU-Ebene der Prozess für einen sogenannten Angemessenheitsbeschluss beginnen, der etwa 6 Monate dauert und die Einbeziehung des Europäischen Datenschutzausschusses, des Europaparlaments und der einzelnen EU-Staaten bedarf. Somit könnte Ende des Jahres mit einem konkreteren Rechtstext gerechnet werden.
Wie denken kritische Stimmen über das anstehende Abkommen?
Laut der von Max Schrems gegründeten Datenschutzorganisation Noyb sind “keine Änderungen ihrer Überwachungsgesetze, sondern lediglich Zusicherungen der Exekutive mittels “Executive Orders” seitens der USA geplant. Eingeordnet wird das bevorstehende Abkommen als ein rein politisches Symbol, das “keinen Rückhalt der Experten in Brüssel hat, da sich die USA nicht bewegt haben”.
Er bedauert, dass die “EU und die USA diese Situation nicht genutzt haben, um zu einem ‘No-Spy’-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen”.
Was heißt das nun für die EU und Deutschland?
Zum Ende des Jahres wird ein Papier erwartet, das endlich eine Rechtssicherheit beim Austausch von Daten zwischen der EU und den USA herstellen soll. Die Vorzeichen und Signale lassen aber vermuten, dass diese Sicherheit nur von kurzer Dauer sein wird, wenn nicht entsprechend nachgebessert wird.
Am Jahresende dürften wir mehr wissen.
Michael Schiwy
Daniel Weißbach