Safe Harbor V3.0: das Trans-Atlantic Data Privacy Framework kommt
Der Besuch von US-Präsident Joe Biden in Europa hatte sicherlich die dringlichen tagespolitischen Themen im Fokus. Aber es wird offenbar weiterhin auch an anderen Themen gearbeitet, die aktuell weniger im Vordergrund stehen. Eine wichtige Neuigkeit haben die EU und die USA am 25. März 2022 gemeinsam verkündet: Man hat sich auf einen Rahmen für ein neues Datenschutzabkommen geeinigt. Die grundlegenden Fragen des kommenden „Trans-Atlantic Data Privacy Frameworks“ gelten als geklärt. Auf dieser Grundlage sollen in den kommenden Monaten die Details des Abkommens ausgearbeitet und in einen Rechtstext umgesetzt werden. Ist dieser verabschiedet und durch die zuständigen Instanzen in Kraft und umgesetzt, wird es in der EU eine neue rechtliche Basis für Datenexporte aus der EU in die USA geben.
R.I.P.: “Safe Harbor” und “Privacy Shield”
Die Geschichte des Datentransfers zwischen der Europäischen Union und den USA hat einige Höhen und – vor allem – Tiefen erlebt.
Bis 2015 war die gängige, von den allermeisten Unternehmen für den Datenexport genutzte Rechtsgrundlage, das zwischen der EU und den USA bestehende sogenannte „Safe Harbor“ Abkommen. Im Oktober 2015 brachte das erste „Schrems“-Urteil des Europäischen Gerichtshofs (Rechtssache C-362/14) das „Safe Harbor“ Abkommen zu Fall und entzog damit vielen Datenexporten die Legitimation.
Als Nachfolge für das „Safe Harbor“ Abkommen vereinbarten die EU und die USA das „Privacy Shield“ Abkommen. Dieses war Grundlage für einen im Juli 2016 erlassenen „Angemessenheitsbeschluss“ gemäß Artikel 45 Datenschutzgrundverordnung (DSGVO), der wiederum vor dem Europäischen Gerichtshof angegriffen wurde und in der Rechtssache „Schrems II“ Gegenstand war. Das in Sachen „Schrems II“ (Rechtssache C-311/18) am 16. Juli 2020 verkündete Urteil erklärte diesen „Angemessenheitsbeschluss“ für unwirksam, da das „Privacy Shield“ Abkommen kein hinreichendes Datenschutzniveau sicherstellen würde. Ebenso wie zuvor bei „Safe Harbor“ entzog das Urteil den meisten Datenexporten die Rechtsgrundlage.
Auf „Schrems I“ wurde außerhalb der interessierten Fachkreise vielfach noch mit Schulterzucken reagiert. Datenschutz wurde 2015 vielfach noch als eher obskures Randgebiet des Rechts wahrgenommen, insbesondere auch weil die Rechtsdurchsetzung in manchem EU-Mitgliedsstaat wenig intensiv verfolgt wurde und die vorgesehenen Bußgeldrahmen aus heutiger Sicht erschreckend niedrig waren. Warum Datenschutz, wenn Datenschutzverletzungen ohne (empfindliche) Konsequenzen bleiben? Diese Situation hat sich jedoch 2018 grundlegend geändert: Mit dem Inkrafttreten der DSGVO gibt es nun nicht nur einen europaweit einheitlichen Rechtsrahmen, sondern insbesondere auch sehr empfindliche Bußgelder, so dass sich Datenschutz-Compliance seither auch bei einer rein wirtschaftlichen Betrachtung „lohnt“. Entsprechend wurde „Schrems II“ als der Paukenschlag wahrgenommen, der im Grunde auch „Safe Harbor“ gewesen war: Von einem Tag auf den anderen waren sehr viele Datenexporte in die USA illegal und datenexportierende Unternehmen schlagartig hohen Bußgeldrisiken ausgesetzt.
Leben mit „Schrems II“: „Standardvertragsklauseln“
„Schrems II“ hat Datenexporte aus der EU in die USA aber nicht grundsätzlich verboten – im Gegenteil haben weder der Europäische Gerichtshof noch der Europäische Datenschutzausschuss („EDSA“ bzw. auf Englisch: „EDPB“), noch nationale Datenschutzaufsichtsbehörden jemals eine solche Aussage getroffen.
Das Urteil des EuGH erklärte lediglich eine der bestehenden möglichen Rechtsgrundlagen für einen Datenexport für unwirksam. Die DSGVO sieht neben dem Instrument des „Angemessenheitsbeschlusses“ auch weitere rechtliche Instrumente vor, mit dem ein Datenexport legitimiert werden kann und die auch nach „Schrems II“ nachwievor angewendet werden können.
Allerdings hat der EuGH im „Schrems II“-Urteil einige grundsätzliche Aussagen zur Rechtmäßigkeit eines Datenexports in die USA getroffen. Insbesondere hat er ausgeführt, dass bestimmte Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten, die aus der EU in die USA exportiert würden, nach europäischen Maßstäben zu extensiv und einer wirksamen rechtlichen Kontrolle durch die europäischen Datensubjekte entzogen wären. Unter der Voraussetzung, dass diesen Mängeln begegnet wird, sind Datenexporte aber auch nach „Schrems II“ weiterhin erlaubt.
Als Mittel der Wahl bieten sich insbesondere die Nutzung der sogenannten „Standardvertragsklauseln“ im Sinn von Artikel 46 Absatz 2 (c) DSGVO an. Diese wurden im Juni 2021 in aktualisierter und auf das „Schrems II“ Urteil angepasster Fassung veröffentlicht, verlangen aber (wie auch die weiteren zur Verfügung stehenden Instrumente) einen hohen Prüfungs- und Verwaltungsaufwand. Denn schließlich sind auch bei Anwendung der „Standardvertragsklauseln“ die Vorgaben des EuGH aus dem „Schrems II“ Urteil einzuhalten. Wie diese Anforderungen umgesetzt werden können, hat der EDSA in Richtlinien festgehalten (wir berichteten).
Warum ist das „Trans-Atlantic Data Privacy Framework“ Abkommen wichtig?
Die Wichtigkeit des kommenden „Trans-Atlantic Data Privacy Frameworks“ kann kaum unterschätzt werden: Es betrifft immerhin ein Handelsvolumen in einem Wert von jährlich etwa 900 Milliarden Euro.
Zwar ist ein Leben mit den „Standardvertragsklauseln“ möglich – aber es ist auch anspruchsvoll, da diese rein praktisch einen hohen Prüfungs- und Verwaltungsaufwand erfordern. Vor allem aber verlagert dieses Instrument Verantwortung auf die Schultern der Datenexporteure: Wendet ein Datenexporteur „Standardvertragsklauseln“ an, muss er selbst die Beurteilung übernehmen, ob die Voraussetzungen für die Rechtmäßigkeit des Datenexports vorliegen. Liegt er mit dieser Beurteilung falsch, fällt dies direkt auf ihn zurück. Insbesondere im Hinblick auf die vom EuGH formulierten sehr hohen Anforderungen kann diese Beurteilung letztlich nie ohne Risiko erfolgen. Denn wie soll ein deutscher Mittelständler beurteilen, ob die Rechtslage rund um die Geheimdienste der USA Europäischen Bürgern, also seinen Kunden, wirklich ein hinreichendes Datenschutzniveau bietet?
Erklärtes Ziel des „Trans-Atlantic Data Privacy Frameworks“ ist, dass es wie seine Vorläufer „Safe Harbor“ und „Privacy Shield“ als Basis für einen „Angemessenheitsbeschluss“ dienen soll. Ein „Angemessenheitsbeschluss“ der Europäischen Kommission aber trifft die Aussage, dass das Datenschutzniveau eines Landes hinreichend – eben „angemessen“ – ist. Wenn aber die EU-Kommission diese Aussage macht, so kann sich ein Datenexporteur sich auch darauf verlassen und muss damit nicht selbst das Risiko übernehmen, dass er im Rahmen seiner eigenständigen Beurteilung des Datenschutzniveaus vielleicht doch falsch gelegen hat.
Welche Regelungen wird das „Trans-Atlantic Data Privacy Framework“ Abkommen enthalten?
Die EU und die USA haben sich zunächst nur auf die grundlegenden Konzepte des Abkommens geeinigt. Demzufolge
- wird europäischen Datensubjekten eine wirksame rechtliche Kontrolle der Verarbeitung ihrer personenbezogenen Daten in den USA zur Verfügung gestellt; hierfür wird ein nicht von der US-Regierung abhängiges Datenschutzprüfungsgericht eingerichtet, dass in der Lage ist, wirksame Abhilfe bei Datenschutzverstößen zu schaffen
- dürfen US-Geheimdienste personenbezogene Daten von europäischen Datensubjekten nur in angemessenem Umfang und nur dann verarbeiten, wenn legitime Sicherheitsinteressen vorliegen
- werden US-Geheimdienste Verfahren einführen, die eine wirksame Überwachung der vereinbarten Datenschutzstandards für europäische Datensubjekte gewährleisten.
Wie die konkreten Maßnahmen des „Trans-Atlantic Data Privacy Framework“ Abkommens genau aussehen steht jedoch noch nicht fest. Im Gegenteil müssen die dargestellten Prinzipien erst noch umgesetzt und implementiert werden. Beachtlich ist, dass sowohl die Pressemitteilungen der EU als auch der US-Regierung betonen, dass den Prinzipien des „Schrems II“ Urteils Rechnung getragen werden wird. Daher steht zu erwarten, dass die seit 2020 von den Aufsichtsbehörden insbesondere zur Anwendung der „Standardvertragsklauseln“ entwickelten Mechanismen weiterentwickelt und in neuen Zusammenhängen zur Anwendung kommen werden.
Ausblick: wie geht es weiter?
Die Rechtslage zu Datenexporten in die USA bleibt spannend. Es bleibt abzuwarten, wie das angekündigte Abkommen konkret aussehen und wie sehr es den in den Pressemitteilungen der EU und des Weissen Hauses abgegebenen Bekenntnissen zum Datenschutz gerecht werden wird.
Max Schrems und seine Organisation „NYOB“ haben schon verlautbart, das „Trans-Atlantic Data Privacy Framework“ würde sich lediglich als ein weiterer politisch motivierter „quick fix“ des vom EuGH für nichtig erklärten „Privacy Shield“ Abkommens entpuppen. Wäre das der Fall (aber auch, wenn es nicht ganz so eindeutig wäre), wird sich Max Schrems kaum nehmen lassen, auch das neue Abkommen anzugreifen und durch den EuGH überprüfen zu lassen. Es erscheint also so gut wie sicher, dass wir ein EuGH Urteil mit dem Titel „Schrems III“ sehen werden.
Weil die EU-Kommission in diesem Verfahren sicherlich nicht erneut eine Schlappe erleiden möchte, erscheint uns folgende Prognose wahrscheinlich: Ein auf dem „Trans-Atlantic Data Privacy Framework“ basierender „Angemessenheitsbeschluss“ wird sehr wahrscheinlich einen im Vergleich zur jetzigen Situation erleichterten Zugang zu Datenexporten und für diese eine größere Rechtssicherheit bieten. Aber diese Vorteile werden mit großer Sicherheit deutlich mehr Arbeit erfordern, als es unter „Privacy Shield“ der Fall war. Einen Weg zurück in die einfache Datenexport-Welt des „Privacy Shields“ wird es nicht geben. Zu vermuten ist, dass die seit „Schrems II“ für die Anwendung der „Standardvertragsklauseln“ entwickelten Methoden und Mechanismen, wenn nicht in gleicher, so doch in vergleichbarer Form auch im Rahmen eines „Angemessenheitsbeschlusses“ Anwendung finden werden. Datenexporteure und Datenimporteure auf beiden Seiten des Atlantiks werden auch unter dem „Trans-Atlantic Data Privacy Framework“ an ihrer Datenschutz-Compliance arbeiten müssen.
Wir werden die Entwicklung weiter für unsere Mandanten beobachten und berichten.