Datenschutz_ Kommt bald der Nachfolger für den Privacy Shield_
© Dorde / Adobe Stock

21. März 2023

Datenschutz: Kommt bald der Nachfolger für den Privacy Shield?

Kategorien: Allgemein

Inhaltsverzeichnis

Das Datenschutzrecht genießt sowohl europa- als auch bundesrechtlich seit jeher eine besondere Aufmerksamkeit. Und das Thema Datenschutz ist seit längerer Zeit Zankapfel zwischen der EU und den USA, befeuert durch den EuGH. Die Kernfrage ist, ob beim transatlantischen Datenfluss in den USA ein vergleichbares Datenschutzniveau wie in der EU gewährleistet ist. Die Debatte ist noch nicht beendet und geht in die nächste Runde. 

Datenschutz für Datenströme aus Europa in die USA 

Die EU unter Federführung der EuGH-Rechtsprechung möchte ihre hohen Datenschutzstandards auch international durchsetzen. Nach Art. 45 DSGVO muss ein Angemessenheitsbeschluss ergehen, durch den festgestellt wird, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Erst nach Erlass eines solchen Beschlusses dürfen personenbezogene Daten aus der EU und den Mitgliedstaaten des Europäischen Wirtschaftsraums (EWR) ohne weitere Anforderungen an dieses Drittland übermittelt werden. 

Datenschutzabkommen zwischen Europa und den USA 

Der strenge europäische Datenschutz steht seit jeher im Spannungsverhältnis zum vergleichsweise laxen US-amerikanischen Datenschutzregime. Nachdem die USA zum Nährboden für zahlreiche Internetgiganten wie Meta (u. a. Facebook, Instagram, WhatsApp), Alphabet (Google) oder Microsoft wurden, entwickelte sich aufgrund deren Dominanz im Digitalbereich ein steter, umfangreicher transatlantischer Datenfluss aus der EU hinaus. Die USA versuchten mehrmals, den zur problemlosen Abwicklung des Datenverkehrs nötigen Angemessenheitsbeschluss der EU-Kommission herbeizuführen. 

Safe Harbor und Schrems I-Urteil

Ab 2000 bestand zunächst das Safe Harbor-Abkommen. US-Unternehmen konnten sich selbst zur Einhaltung der etablierten Safe Harbor Principles verpflichten und hiernach auf einer Liste des US-Handelsministeriums eintragen lassen. Zahlreiche namhafte Unternehmen nutzten diese Möglichkeit in den Folgejahren.

Im sogenannten Schrems-I-Urteil des EuGH v. 6. Oktober 2015 erklärte dieser den zugrunde liegenden Beschluss der Kommission für ungültig. Grund war, dass die US-Unternehmen dennoch gegenüber den US-amerikanischen Sicherheitsbehörden verpflichtet blieben, jederzeit und vollumfänglich personenbezogene Daten herauszugeben. Eine weitere Kontrollmöglichkeit bestand insofern nicht, sodass die Safe Harbor-Gewährleistung ins Leere lief. 

Privacy Shield und Schrems II-Urteil

Der nächste Versuch zur Schaffung eines angemessenen Datenschutzstandards war im Jahr 2016 der Judicial Redress Act der US-Regierung unter dem damaligen Präsidenten Barack Obama. Dieser eröffnete EU-Bürger:innen die Möglichkeit der Klage wegen Datenschutzverletzungen in den USA und richtete im US-Außenministerium den Posten eines Ombudsmannes ein, an den sich EU-Bürger:innen wegen Rechtsverletzungen wenden sollten.  

Die Kommission fasste noch im selben Jahr den nötigen Angemessenheitsbeschluss. Gegen den Angemessenheitsbeschluss wurde aber noch im selben Jahr Nichtigkeitsklage beim EuGH erhoben. Mit Schrems II Urteil v. 16. Juli 2020 erklärte der EuGH auch diesen Beschluss für ungültig. Auch weiterhin werde den Erfordernissen nationaler Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts ein Vorrang eingeräumt, der unverhältnismäßigen Einblick in die Daten Betroffener erlaube. Die installierten Überwachungsprogramme reichten nicht aus, um diese Eingriffe auf das zwingend erforderliche Maß zu beschränken. 

Datenschutz Europa und USA: Executive Order 

Am 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, die durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde. US-Geheimdienste dürfen hiernach nur dann noch auf Daten zugreifen, wenn dies zur Verfolgung einer bestätigten geheimdienstlichen Priorität nötig sei und nur in einem Umfang, der zu dieser Priorität in angemessenem Verhältnis steht. Dabei sind die Interessen der Geheimdienste gegen die Interessen des bzw. der Betroffenen abzuwägen. 

Zudem wird ein unabhängiges und unparteiisches Rechtsbehelfsverfahren eingerichtet, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll Beschwerden von EU-Bürgern unabhängig untersuchen und beilegen sowie verbindliche Abhilfemaßnahmen anordnen können. 

Die Executive Order ergeht ohne Beteiligung des Parlaments allein durch den US-Präsidenten. Dieser oder ein:e etwaige:r Nachfolger:in kann sie jederzeit ändern, aufheben oder ergänzen. Die Form des Erlasses war nötig, da die Verabschiedung eines Bundesgesetzes zunächst verhindert wurde.  

Neuer Anlauf für ausreichendes Schutzniveau 

Am 13. Dezember 2022 leitete die EU-Kommission erneut das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA ein. Wieder ist die Kommission der Auffassung, dass im Verhältnis zu den USA ein angemessenes Datenschutzniveau erreicht sei. US-Unternehmen sollen sich dem neuen Datenschutzrahmen EU-USA anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. EU-Bürger:innen sollen künftig auf die durch die Executive Order statuierten Rechtsbehelfe zurückgreifen können und von stärkeren Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten profitieren. 

Unsere Einschätzung: Der Weg zum Privacy Shield 2.0 ist noch weit

Nachdem die Kommission in einem ersten Schritt ihren Beschlussentwurf dem Europäischen Datenschutzausschuss vorgelegt hat, müssen wir die Entscheidung abwarten. Auch dem EU-Parlament steht ein Kontrollrecht zu. Nach Verfahrensabschluss kann die Kommission dann den endgültigen Angemessenheitsbeschluss annehmen. Ab diesem Zeitpunkt können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten ohne zusätzliche Datenschutzgarantien übermitteln. Wir halten Sie hier über alle Entwicklungen auf dem Laufenden. Haben Sie Fragen zum Datenschutzrecht, dann melden Sie sich gerne bei uns.  

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Effiziente Arbeitszeiterfassung: Umsetzung und Kontrolle für Arbeitgeber:innen

    Erfahren Sie, wie Sie die Vorgaben zur Arbeitszeiterfassung rechtssicher umsetzen und von den Möglichkeiten der Gestaltung profitieren. Pflicht zur Arbeitszeiterfassung: Was das BAG entschieden hat Die Entscheidung des Bundesarbeitsgerichts (BAG) zur verpflichtenden Arbeitszeiterfassung sorgte im Herbst 2022 für Aufsehen. Nun [...]

    Jens Bühner

    01. Feb 2023

  • Kompromiss zum Whistleblower-Gesetz: Was Sie als Unternehmer jetzt wissen müssen

    Das geplante Whistleblower-Gesetz soll Hinweisgeber:innen, die auf Missstände in ihrem Unternehmen oder in Behörden aufmerksam machen, besser vor negativen Folgen schützen. Deutschland setzt damit eine EU-Richtlinie um, die bereits seit Dezember 2021 gilt. Nach langem Streit zwischen Bund und Ländern [...]

    Jens Bühner

    09. Mai 2023

  • BGH-Entscheidung zum Recht auf Vergessenwerden

    Der Bundesgerichtshof (BGH) hat am 23. Mai 2023 ein wegweisendes Urteil (VI ZR 476/18) zum Recht auf Vergessenwerden gegen Betreiber von Suchmaschinen wie Google oder Bing gefällt. Dabei hat er klargestellt, dass es einen Unterschied macht, ob die Berichterstattung nachweislich [...]

    Jens Bühner

    25. Mai 2023