Datenschutz_ Kommt bald der Nachfolger für den Privacy Shield_
© Dorde / Adobe Stock

21. März 2023

Datenschutz: Kommt bald der Nachfolger für den Privacy Shield?

Kategorien: Allgemein

Das Datenschutzrecht genießt sowohl europa- als auch bundesrechtlich seit jeher eine besondere Aufmerksamkeit. Und das Thema Datenschutz ist seit längerer Zeit Zankapfel zwischen der EU und den USA, befeuert durch den EuGH. Die Kernfrage ist, ob beim transatlantischen Datenfluss in den USA ein vergleichbares Datenschutzniveau wie in der EU gewährleistet ist. Die Debatte ist noch nicht beendet und geht in die nächste Runde. 

Datenschutz für Datenströme aus Europa in die USA 

Die EU unter Federführung der EuGH-Rechtsprechung möchte ihre hohen Datenschutzstandards auch international durchsetzen. Nach Art. 45 DSGVO muss ein Angemessenheitsbeschluss ergehen, durch den festgestellt wird, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Erst nach Erlass eines solchen Beschlusses dürfen personenbezogene Daten aus der EU und den Mitgliedstaaten des Europäischen Wirtschaftsraums (EWR) ohne weitere Anforderungen an dieses Drittland übermittelt werden. 

Datenschutzabkommen zwischen Europa und den USA 

Der strenge europäische Datenschutz steht seit jeher im Spannungsverhältnis zum vergleichsweise laxen US-amerikanischen Datenschutzregime. Nachdem die USA zum Nährboden für zahlreiche Internetgiganten wie Meta (u. a. Facebook, Instagram, WhatsApp), Alphabet (Google) oder Microsoft wurden, entwickelte sich aufgrund deren Dominanz im Digitalbereich ein steter, umfangreicher transatlantischer Datenfluss aus der EU hinaus. Die USA versuchten mehrmals, den zur problemlosen Abwicklung des Datenverkehrs nötigen Angemessenheitsbeschluss der EU-Kommission herbeizuführen. 

Safe Harbor und Schrems I-Urteil

Ab 2000 bestand zunächst das Safe Harbor-Abkommen. US-Unternehmen konnten sich selbst zur Einhaltung der etablierten Safe Harbor Principles verpflichten und hiernach auf einer Liste des US-Handelsministeriums eintragen lassen. Zahlreiche namhafte Unternehmen nutzten diese Möglichkeit in den Folgejahren.

Im sogenannten Schrems-I-Urteil des EuGH v. 6. Oktober 2015 erklärte dieser den zugrunde liegenden Beschluss der Kommission für ungültig. Grund war, dass die US-Unternehmen dennoch gegenüber den US-amerikanischen Sicherheitsbehörden verpflichtet blieben, jederzeit und vollumfänglich personenbezogene Daten herauszugeben. Eine weitere Kontrollmöglichkeit bestand insofern nicht, sodass die Safe Harbor-Gewährleistung ins Leere lief. 

Privacy Shield und Schrems II-Urteil

Der nächste Versuch zur Schaffung eines angemessenen Datenschutzstandards war im Jahr 2016 der Judicial Redress Act der US-Regierung unter dem damaligen Präsidenten Barack Obama. Dieser eröffnete EU-Bürger:innen die Möglichkeit der Klage wegen Datenschutzverletzungen in den USA und richtete im US-Außenministerium den Posten eines Ombudsmannes ein, an den sich EU-Bürger:innen wegen Rechtsverletzungen wenden sollten.  

Die Kommission fasste noch im selben Jahr den nötigen Angemessenheitsbeschluss. Gegen den Angemessenheitsbeschluss wurde aber noch im selben Jahr Nichtigkeitsklage beim EuGH erhoben. Mit Schrems II Urteil v. 16. Juli 2020 erklärte der EuGH auch diesen Beschluss für ungültig. Auch weiterhin werde den Erfordernissen nationaler Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts ein Vorrang eingeräumt, der unverhältnismäßigen Einblick in die Daten Betroffener erlaube. Die installierten Überwachungsprogramme reichten nicht aus, um diese Eingriffe auf das zwingend erforderliche Maß zu beschränken. 

Datenschutz Europa und USA: Executive Order 

Am 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, die durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde. US-Geheimdienste dürfen hiernach nur dann noch auf Daten zugreifen, wenn dies zur Verfolgung einer bestätigten geheimdienstlichen Priorität nötig sei und nur in einem Umfang, der zu dieser Priorität in angemessenem Verhältnis steht. Dabei sind die Interessen der Geheimdienste gegen die Interessen des bzw. der Betroffenen abzuwägen. 

Zudem wird ein unabhängiges und unparteiisches Rechtsbehelfsverfahren eingerichtet, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll Beschwerden von EU-Bürgern unabhängig untersuchen und beilegen sowie verbindliche Abhilfemaßnahmen anordnen können. 

Die Executive Order ergeht ohne Beteiligung des Parlaments allein durch den US-Präsidenten. Dieser oder ein:e etwaige:r Nachfolger:in kann sie jederzeit ändern, aufheben oder ergänzen. Die Form des Erlasses war nötig, da die Verabschiedung eines Bundesgesetzes zunächst verhindert wurde.  

Neuer Anlauf für ausreichendes Schutzniveau 

Am 13. Dezember 2022 leitete die EU-Kommission erneut das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA ein. Wieder ist die Kommission der Auffassung, dass im Verhältnis zu den USA ein angemessenes Datenschutzniveau erreicht sei. US-Unternehmen sollen sich dem neuen Datenschutzrahmen EU-USA anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. EU-Bürger:innen sollen künftig auf die durch die Executive Order statuierten Rechtsbehelfe zurückgreifen können und von stärkeren Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten profitieren. 

Unsere Einschätzung: Der Weg zum Privacy Shield 2.0 ist noch weit

Nachdem die Kommission in einem ersten Schritt ihren Beschlussentwurf dem Europäischen Datenschutzausschuss vorgelegt hat, müssen wir die Entscheidung abwarten. Auch dem EU-Parlament steht ein Kontrollrecht zu. Nach Verfahrensabschluss kann die Kommission dann den endgültigen Angemessenheitsbeschluss annehmen. Ab diesem Zeitpunkt können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten ohne zusätzliche Datenschutzgarantien übermitteln. Wir halten Sie hier über alle Entwicklungen auf dem Laufenden. Haben Sie Fragen zum Datenschutzrecht, dann melden Sie sich gerne bei uns.  

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Verrechnungspreisdokumentation 2025: Strengere Pflichten und kürzere Fristen – wie das 4. Bürokratieentlastungsgesetz Erleichterungen bringt, Handlungsbedarf prüfen!

    Die Erstellung einer Verrechnungspreisdokumentation ist zeitintensiv und aufwändig. Ausweislich der (aktuell noch) ab dem 1. Januar 2025 anzuwendenden Gesetzesfassung verschärfen sich die Dokumentationspflichten für Verrechnungspreise. Neben den verschärften Dokumentationspflichten wurden Sanktionsmechanismen eingeführt, die auf diesen aufbauen. Zurückzuführen sind die [...]

    Georg Wenz

    04. Okt 2024

  • Unternehmensfusion: Erfahren Sie, wie Sie IT-Systeme erfolgreich integrieren und alle Compliance-Anforderungen erfüllen.

    Bei Unternehmensfusionen und Unternehmensumwandlungen stellen sich Unternehmen nicht nur rechtlichen und steuerlichen Herausforderungen, sondern oftmals auch einer komplexen technischen Umsetzung bzw. Integration. Zum einen existieren rechtlich und steuerlich verschiedene Möglichkeiten, Unternehmensstrukturen neu aufzustellen oder Unternehmen zu erwerben, die in [...]

    Julian Heesemann

    02. Okt 2024

  • Das deutsche Startup-Ökosystem 2024: Profitabel, nachhaltig und international ausgerichtet

    Das deutsche Startup-Ökosystem 2024 steht vor grundlegenden Veränderungen. Der Deutsche Startup Monitor (DSM) 2024 gibt detaillierte Einblicke in die Herausforderungen und Chancen, denen Startups in Deutschland gegenüberstehen. Trotz der gegenwärtigen wirtschaftlichen Unsicherheiten blicken viele Gründer:innen optimistisch in die Zukunft. Doch [...]

    Thomas Budzynski

    01. Okt 2024