Nach den EuGH Urteilen „Schrems I“ und „Schrems II“ haben sich die EU und USA nun im Grundsatz auf ein neues Datenschutzabkommen geeinigt: Das neue Trans-Atlantic Data Privacy Framework (TADPF). Über den genauen Inhalt des Nachfolgers des gekippten „Privacy-Shield“ und „Safe Harbour“ -Abkommens ist nicht viel bekannt und wird nach Angaben der Behörden noch ausgearbeitet. Sicher ist aber, dass das neue transatlantische Abkommen durch strenge Auflagen, mehrstufigen Rechtsbehelfen und der Einrichtung eines unabhängigen Datenschutzgerichts einen einheitlichen Mechanismus zur Übermittlung personenbezogener Daten zwischen der EU und den USA wiederherstellen soll.
Hintergrund
Im Jahr 2020 kippte der Europäische Gerichtshof (EuGH) mit seinem Urteil „Schrems II“ (Az.: C-311/18) der EU-US Privacy Shield, den bisherigen Mechanismus für die Übermittlung von personenbezogenen Daten aus Europa über den Atlantik. Der EuGH stellte dabei fest, dass der Privacy Shield keinen dem Unionsrecht gleichwertigen Schutz gewährleistet. Insbesondere bemängelte er die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern. Kritisiert wurde zudem, dass Betroffene keine Möglichkeit hätten, ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen. Der Austausch von Daten zwischen EU und USA war seitdem mit grosser Rechtsunsicherheit verbunden. Aus einem Jahresbericht des Konzerns META ging die Erwägung hervor, Dienste wie Facebook oder Instagram in Europa einstellen zu müssen, wenn keine Nachfolgeregelungen getroffen würde.
Der neue Datenschutzrahmen
Nach Angaben der Europäischen Kommission soll durch das neue Trans-Atlantic Data Privacy Framework ein freier und sicherer Datenfluss zwischen EU und teilnehmenden US-Unternehmen gewährleistet werden. Ein neues Regelwerk und verbindliche Garantien sollen US-Geheimdienste auf solche Datenzugriffe beschränken, die zum Schutz der nationalen Sicherheit notwendig und verhältnismässig sind. Die US-Geheimdienste werden angehalten Verfahren einzuführen, die eine wirksame Überwachung der neuen Datenschutzstandards und Bürgerrechte zu gewährleisten. Geplant sind zudem strengere Auflagen für US-Unternehmen, die aus der EU übermittelte personenbezogene Daten verarbeiten. Soweit ersichtlich, geht es jedoch nicht um direkte Änderungen des US-Rechts, sondern um erweiterte Rechtsschutzgarantien für einen sicheren Datenfluss zwischen EU-Staaten und den USA.
Ein zweistufiges Rechtsbehelfssystem sowie die Einrichtung eines unabhängigen Gerichts zur Überprüfung von Datenschutzstandards soll zur Untersuchung und Beilegung von Beschwerden eingerichtet werden. Unter Berücksichtigung des Urteils „Schrems II“ soll ausserdem eine dauerhafte und zuverlässige Rechtsgrundlage geschaffen werden, um die digitale wirtschaftliche Zusammenarbeit durch einen sicheren Datenverkehr zu stärken.
„Schrems III“ bereits in Aussicht?
Schon jetzt äussert sich der Jurist und Datenschützer Max Schrems kritisch über die neue transatlantische Einigung. In einem Statement bemängelt der Hauptkläger der EuGH Verfahren „Schrems I“ und „Schrems II“ das neue Datenschutzabkommen als ein „rein politisches“ Abkommen „ohne Rechtsgrundlage“. Schrems geht davon aus, dass jedes weitere Abkommen, welches dem Europäischen Datenschutzniveau nicht entspreche, innerhalb kürzester Zeit durch ihn oder andere Datenschutzexperten vor dem EuGH angefochten werde. Dieser Prozess könne jedoch erst nach Vorliegen eines Rechtstextes gestartet werden. Das Fehlen eines solchen wird durch die Dateschutzorganisation NYOB von Schrems auch bereits bemängelt.
Ausblick
Nach langer Rechtsunsicherheit im EU-US Datenverkehr, ist es erfreulich, dass die gemeinsame Datenschutzpolitik erneut Fahrt aufnimmt. Es bleibt jedoch abzuwarten, inwiefern das neue Datenschutzabkommen zwischen der EU und den USA im Detail ausgestaltet sein wird und ob es den strengen Anforderungen vom „Schrems II“-Urteil gerecht wird. Erst dann wird sich entscheiden, ob – wie von Max Schrems befürchtet – auch das neue Abkommen angefochten und weitere Jahre der Rechtsunsicherheit auf die Unternehmen zukommen wird. Ebenfalls wird sich zeigen, ob die Schweiz eine parallele Lösung zum TADPF findet, wie es schon bei „Safe Harbour“ und dem „Privacy Shield“- Abkommen der Fall war.
Weiterführende Links
Factsheet der EU-Kommission zum Trans-Atlantic Data Privacy Framework.
Factsheet der US Regierung zum Trans-Atlantic Data Privacy Framework.
Erste Statements Max Schrems vom 25.03.2022.
Jahresbericht von META (Part I Item 1. Business; Government Regulation).