Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder für mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europäischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer Prüfung durch den EuGH standhalten wird, bleibt bisher noch offen.
Rückblick:
Im Jahr 2000 wurde das erste Datenschutzabkommen zwischen den USA und der EU geschlossen. In dem sogenannten Safe-Harbour-Abkommen wurde die Pflicht zur Einhaltung von europäischen Datenschutzgrundsätzen geregelt. US-Unternehmen konnten sich zur Einhaltung öffentlich bekennen, wodurch ein einheitliches Datenschutzniveau sichergestellt werden sollte. Das ermöglichte die Übermittlung von personenbezogenen Daten aus der EU in die USA.
2015 wurde in dem sogenannten Schrems-I-Urteil (Urt. v. 06.10.2015, Az. C-362/14) des EuGH das Abkommen für ungültig erklärt. Auf der Seite der USA fehlte es an entsprechenden Rechtsvorschriften, die ein der EU gleichwertiges Schutzniveau sichergestellt hätten. Insbesondere waren die Unternehmen nach US-Recht verpflichtet, Geheimdiensten Zugriff auf die gespeicherten Daten zu erlauben. Außerdem gab es keine ausreichenden Rechtsschutzmöglichkeiten für EU-Bürger, für den Fall, dass sie eine Korrektur oder Löschung ihrer Daten beantragen wollten.
2016 wurde als Nachfolger des Safe-Harbour-Abkommens das Privacy-Shield-Abkommen geschlossen. Darin wurden die in dem Schrems-I-Urteil kritisierten Fehler grundsätzlich nachgebessert, wodurch nach dem Willen der EU-Kommission und der europäischen Wirtschaft die Rechtssicherheit bei der Übermittlung der personenbezogenen Daten in die USA wiederhergestellt werden sollte.
2020 erging dann jedoch das als Schrems-II bekannte Urteil des EuGH (Urt. v. 16.07.2020, Az. C 311/18). Darin kippte der EuGH abermals die Vereinbarung zwischen den USA und der EU, weil das US-Recht trotz der neuen Regelungen keinen angemessenen Schutz für personenbezogene Daten aus der EU gewährleisten konnte.
Seit dem Schrems-II-Urteil wurde die Übertragung personenbezogener Daten in die USA und damit der Einsatz von US-Diensten erheblich erschwert. Aufgrund einer fehlenden Rechtsgrundlage schließen Unternehmen derzeit häufig sogenannte Standardvertragsklauseln ab. In diesem Vertragsmuster der EU-Kommission verpflichtet sich der Datenimporteur (also das US-Unternehmen) vertraglich gegenüber dem Datenexporteur (dem EU-Unternehmen), sich an das europäische Datenschutzniveau halten zu wollen. Da eine solche vertragliche Zusicherung in der Theorie erfreulich ist, in der Praxis jedoch beispielsweise gegen den Zugriff durch US-Geheimdienste wenig hilft, müssen die US-Unternehmen jedoch nach den Vorgaben des EuGH im Schrems-II-Urteil zusätzliche technische und organisatorische Maßnahmen nachweisen, welche die Daten angemessen schützen (z.B. Verschlüsselung etc.). Diese zusätzlichen Maßnahmen sind nach Auffassung der Datenschutz-Aufsichtsbehörden in der Praxis jedoch häufig unzureichend (passend hier unsere Beiträge zu Google Fonts und Google Analytics).
Folge: Europäische Unternehmen, die US-amerikanische Dienste oder Auftragsverarbeiter einsetzen möchten, müssen sich derzeit mit einer erheblichen Rechtsunsicherheit abfinden. Der vollkommen rechtskonforme, risikofreie Einsatz solcher Dienste ist kaum möglich.
Licht am Ende des Tunnels?
Nun scheint jedoch ein neues Datenschutzabkommen zwischen den USA und der EU in Aussicht zu stehen. US-Präsident Joe Biden unterzeichnete am 07.10.2022 ein Dekret, welches die Rechtsgrundlage für das Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“, kurz TADAP-Framework, schaffen soll. Darin enthalten sind neue Regelungen zum Umgang mit personenbezogenen Daten von EU-Bürgern, wodurch wieder eine rechtssichere Datenübertragung in die USA ermöglicht werden soll. Insbesondere soll darin der Zugang zu Daten von EU-Bürgern durch Geheimdienste strenger geregelt werden, indem der Zugriff nur zur Verfolgung bestimmter nationaler Sicherheitsziele erlaubt sein soll. Seitens der EU muss diesbezüglich noch ein Angemessenheitsbeschluss gem. Art. 45 DSGVO ergehen, der die USA wieder zu einem „sicheren Drittland“ erklärt.
Ob das neue Datenschutzabkommen wirklich die erhoffte Rechtssicherheit mit sich bringen wird, bleibt noch abzuwarten. Es ist zu befürchten, dass auch dieses Abkommen auf dem Papier gut gemeint ist, praktisch jedoch weiterhin keinen effektiven Rechtsschutz für EU-Bürger bieten könnte. Der österreichische Datenschutzaktivist Max Schrems, der bereits die letzten beiden Datenschutzabkommen vor dem EuGH zu Fall gebracht hat, dürfte schon in den Startlöchern für ein “Schrems-III-Urteil” stehen. Die weitere Entwicklung bleibt abzuwarten.