Update: „Trans-Atlantic Data Privacy Framework“ – Land in Sicht für Datenexporteure?
Anlässlich des Besuchs von US-Präsident Joe Biden in Brüssel kündigten die EU und die USA am 25. März 2022 an, man habe sich auf die Grundzüge eines neuen Datenschutzabkommen geeinigt (wir berichteten). Dieses Datenschutzabkommen soll die seit dem „Schrems II“ Urteil des EuGH im Juli 2020 komplexe, schwierige Situation von Datenexporten aus der EU in die USA (vgl. hier) stark vereinfachen und eine neue rechtliche Basis für solche Datenexporte bieten.
Aber: angekündigt ist nicht gleich umgesetzt! Welche Form das neue Datenschutzabkommen erhalten soll, war (und ist) im März 2022 noch ungewiss. Ebenso ungewiss war (und ist), wann es in Kraft treten kann – hierfür war (und ist) noch viel Arbeit erforderlich. Deutliche Fortschritte sind allerdings nun erkennbar.
Was ist das Problem?
Personenbezogene Daten dürfen nur aus der EU in Drittstaaten exportiert werden, wenn sichergestellt wird, dass die Daten dort in einem nach den Maßstäben der DSGVO angemessenen Maß geschützt werden. Nur: wie stellt ein Unternehmen sicher, dass dies der Fall ist?
Die DSGVO stellt hierfür einen abgeschlossenen Katalog von Möglichkeiten bereit. Der für Datenexporteure einfachste Weg ist, sich auf einen „Angemessenheitsbeschluss“ im Sinn von Art. 45 DSGVO zu verlassen. Ein „Angemessenheitsbeschluss“ ist ein Rechtsakt der EU-Kommission, in dem einem Drittland bestätigt wird, dass das von ihm gewährleistete Schutzniveau in oben genanntem Rahmen „angemessen“ ist. Liegt ein solcher vor, ist der Datenexport regelmäßig ohne große weitere Bemühungen erlaubt.
Das Problem aber: es gibt aktuell keinen „Angemessenheitsbeschluss“ für die USA!
Der EuGH hat in seinem „Schrems II“ Urteil Maßstäbe definiert, die für einen rechtmäßigen Export von Daten aus der EU in Drittstaaten erfüllt werden müssen. Diese Maßstäbe sah er im Hinblick auf die USA nicht erfüllt: der EuGH monierte insbesondere, dass Menschen aus der EU, deren personenbezogene Daten in die USA exportiert werden, kein hinreichender Rechtsschutz zustehen würde. Vor diesem Hintergrund erklärte der EuGH in seinem „Schrems II“ Urteil den „Angemessenheitsbeschluss“, den die EU-Kommission auf Basis des „Privacy Shield“ Abkommens für die USA erlassen hatte, für nichtig. Seither müssen sich Datenexporteure auf die sogenannten „Standardvertragsklauseln“ verlassen, deren Anwendung jedoch aufwändig ist und sorgfältiges Arbeiten der Beteiligten verlangt (vgl. hier und hier).
Das Ziel: ein neuer „Angemessenheitsbeschluss“
Die Konsultationen zwischen der EU und den USA haben also ein klares Ziel: ein neuer „Angemessenheitsbeschluss“. Hierfür ist ein neues Abkommen erforderlich, also ein Nachfolger des vom EuGH für nicht ausreichend erklärten „Privacy Shield“ Abkommens. In diesem Abkommen müssen den vom EuGH formulierten Anforderungen an einen rechtmäßigen Datenexport Rechnung getragen werden, damit es den Erlass eines neuen „Angemessenheitsbeschluss“ ermöglicht.
An diesem Abkommen – das mutmaßlich den Namen „Trans Atlantic Data Privacy Framework“ tragen wird – wird aktuell gearbeitet.
Joe Biden unterzeichnet „Executive Order“
Als wichtigen Schritt auf dem Weg zum „Trans Atlantic Data Privacy Framework“ hat US-Präsident Joe Biden Anfang Oktober 2022 eine „Executive Order“ erlassen. Mit dieser sollen Änderungen im US-Recht erzielt werden, die der vom EuGH in „Schrems II“ geäußerten Kritik begegnen.
Namentlich werden durch die „Executive Order“ die Zugriffsrechte der US-Geheimdienste auf in die USA exportierte personenbezogene Daten begrenzt. Ebenso werden neue Rechtsschutzmöglichkeiten eingeführt, mit denen Europäische Bürger ihre Rechte auch in den USA verteidigen können sollen.
Die Maßnahmen stellen nach Auffassung der EU-Kommission eine wesentliche Verbesserung im Vergleich zu „Privacy Shield“ her und ebnen damit den Weg zu einem neuen „Angemessenheitsbeschluss“.
Wie geht es weiter?
Angesichts der von der US-Regierung eingeleiteten Schritte hat die EU-Kommission verlautbart, an einem neuen „Angemessenheitsbeschluss“ zu arbeiten. Wann dieser rechtskräftig wird ist noch nicht absehbar, jedoch ist damit angesichts der administrativ vorgegeben Abläufe kaum vor Herbst 2023 zu rechnen.
Bis dahin bleibt es also dabei: Unternehmen müssen sich auf die Standardvertragsklauseln verlassen und diese vorschriftsgemäß implementieren, um ihre Datenexporte zu legitimieren.
Wann kommt „Schrems III“?
Aber: auch dann wird die Frage zu beantworten sein, ob das „Trans Atlantic Data Privacy Framework“ wirklich den Ansprüchen des EuGH genügt, ob es also tatsächlich als Basis für einen dauerhaft wirksamen „Angemessenheitsbeschluss“ dienen kann.
Datenschutzaktivist Max Schrems hat bereits angekündigt, auch gegen das „Trans Atlantic Data Privacy Framework“ zu klagen, so wie er gegen die Vorgänger-Abkommen „Safe Harbor“ und „Privacy Shield“ geklagt hat. Es wird also mit hoher Wahrscheinlichkeit ein „Schrems III“ Urteil des EuGH geben – abzuwarten bleibt, welchen Inhalt es haben wird.
Wir werden die Entwicklung weiter für unsere Mandanten beobachten und berichten