21. März 2023
Datenschutz: Kommt bald der Nachfolger für den Privacy Shield?
Inhaltsverzeichnis
- Datenschutz für Datenströme aus Europa in die USA
- Datenschutzabkommen zwischen Europa und den USA
- Safe Harbor und Schrems I-Urteil
- Privacy Shield und Schrems II-Urteil
- Datenschutz Europa und USA: Executive Order
- Neuer Anlauf für ausreichendes Schutzniveau
- Unsere Einschätzung: Der Weg zum Privacy Shield 2.0 ist noch weit
Das Datenschutzrecht genießt sowohl europa- als auch bundesrechtlich seit jeher eine besondere Aufmerksamkeit. Und das Thema Datenschutz ist seit längerer Zeit Zankapfel zwischen der EU und den USA, befeuert durch den EuGH. Die Kernfrage ist, ob beim transatlantischen Datenfluss in den USA ein vergleichbares Datenschutzniveau wie in der EU gewährleistet ist. Die Debatte ist noch nicht beendet und geht in die nächste Runde.
Datenschutz für Datenströme aus Europa in die USA
Die EU unter Federführung der EuGH-Rechtsprechung möchte ihre hohen Datenschutzstandards auch international durchsetzen. Nach Art. 45 DSGVO muss ein Angemessenheitsbeschluss ergehen, durch den festgestellt wird, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Erst nach Erlass eines solchen Beschlusses dürfen personenbezogene Daten aus der EU und den Mitgliedstaaten des Europäischen Wirtschaftsraums (EWR) ohne weitere Anforderungen an dieses Drittland übermittelt werden.
Datenschutzabkommen zwischen Europa und den USA
Der strenge europäische Datenschutz steht seit jeher im Spannungsverhältnis zum vergleichsweise laxen US-amerikanischen Datenschutzregime. Nachdem die USA zum Nährboden für zahlreiche Internetgiganten wie Meta (u. a. Facebook, Instagram, WhatsApp), Alphabet (Google) oder Microsoft wurden, entwickelte sich aufgrund deren Dominanz im Digitalbereich ein steter, umfangreicher transatlantischer Datenfluss aus der EU hinaus. Die USA versuchten mehrmals, den zur problemlosen Abwicklung des Datenverkehrs nötigen Angemessenheitsbeschluss der EU-Kommission herbeizuführen.
Safe Harbor und Schrems I-Urteil
Ab 2000 bestand zunächst das Safe Harbor-Abkommen. US-Unternehmen konnten sich selbst zur Einhaltung der etablierten Safe Harbor Principles verpflichten und hiernach auf einer Liste des US-Handelsministeriums eintragen lassen. Zahlreiche namhafte Unternehmen nutzten diese Möglichkeit in den Folgejahren.
Im sogenannten Schrems-I-Urteil des EuGH v. 6. Oktober 2015 erklärte dieser den zugrunde liegenden Beschluss der Kommission für ungültig. Grund war, dass die US-Unternehmen dennoch gegenüber den US-amerikanischen Sicherheitsbehörden verpflichtet blieben, jederzeit und vollumfänglich personenbezogene Daten herauszugeben. Eine weitere Kontrollmöglichkeit bestand insofern nicht, sodass die Safe Harbor-Gewährleistung ins Leere lief.
Privacy Shield und Schrems II-Urteil
Der nächste Versuch zur Schaffung eines angemessenen Datenschutzstandards war im Jahr 2016 der Judicial Redress Act der US-Regierung unter dem damaligen Präsidenten Barack Obama. Dieser eröffnete EU-Bürger:innen die Möglichkeit der Klage wegen Datenschutzverletzungen in den USA und richtete im US-Außenministerium den Posten eines Ombudsmannes ein, an den sich EU-Bürger:innen wegen Rechtsverletzungen wenden sollten.
Die Kommission fasste noch im selben Jahr den nötigen Angemessenheitsbeschluss. Gegen den Angemessenheitsbeschluss wurde aber noch im selben Jahr Nichtigkeitsklage beim EuGH erhoben. Mit Schrems II Urteil v. 16. Juli 2020 erklärte der EuGH auch diesen Beschluss für ungültig. Auch weiterhin werde den Erfordernissen nationaler Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts ein Vorrang eingeräumt, der unverhältnismäßigen Einblick in die Daten Betroffener erlaube. Die installierten Überwachungsprogramme reichten nicht aus, um diese Eingriffe auf das zwingend erforderliche Maß zu beschränken.
Datenschutz Europa und USA: Executive Order
Am 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, die durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde. US-Geheimdienste dürfen hiernach nur dann noch auf Daten zugreifen, wenn dies zur Verfolgung einer bestätigten geheimdienstlichen Priorität nötig sei und nur in einem Umfang, der zu dieser Priorität in angemessenem Verhältnis steht. Dabei sind die Interessen der Geheimdienste gegen die Interessen des bzw. der Betroffenen abzuwägen.
Zudem wird ein unabhängiges und unparteiisches Rechtsbehelfsverfahren eingerichtet, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll Beschwerden von EU-Bürgern unabhängig untersuchen und beilegen sowie verbindliche Abhilfemaßnahmen anordnen können.
Die Executive Order ergeht ohne Beteiligung des Parlaments allein durch den US-Präsidenten. Dieser oder ein:e etwaige:r Nachfolger:in kann sie jederzeit ändern, aufheben oder ergänzen. Die Form des Erlasses war nötig, da die Verabschiedung eines Bundesgesetzes zunächst verhindert wurde.
Neuer Anlauf für ausreichendes Schutzniveau
Am 13. Dezember 2022 leitete die EU-Kommission erneut das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA ein. Wieder ist die Kommission der Auffassung, dass im Verhältnis zu den USA ein angemessenes Datenschutzniveau erreicht sei. US-Unternehmen sollen sich dem neuen Datenschutzrahmen EU-USA anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. EU-Bürger:innen sollen künftig auf die durch die Executive Order statuierten Rechtsbehelfe zurückgreifen können und von stärkeren Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten profitieren.
Unsere Einschätzung: Der Weg zum Privacy Shield 2.0 ist noch weit
Nachdem die Kommission in einem ersten Schritt ihren Beschlussentwurf dem Europäischen Datenschutzausschuss vorgelegt hat, müssen wir die Entscheidung abwarten. Auch dem EU-Parlament steht ein Kontrollrecht zu. Nach Verfahrensabschluss kann die Kommission dann den endgültigen Angemessenheitsbeschluss annehmen. Ab diesem Zeitpunkt können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten ohne zusätzliche Datenschutzgarantien übermitteln. Wir halten Sie hier über alle Entwicklungen auf dem Laufenden. Haben Sie Fragen zum Datenschutzrecht, dann melden Sie sich gerne bei uns.