Neues Datenschutzabkommen mit der USA: Was können Sie erwarten?

Google Analytics, Facebook, Instagram – Welches Unternehmen nutzt diese Marktführer nicht gerne für seine Zwecke? Dennoch geht seit längerem immer wieder die Frage um: Sind wir denn überhaupt datenschutzkonform, wenn wir diese Tools nutzen? Durch mehrmaliges Betreiben von Max Schrems sind, wie Ihnen bekannt sein dürfte, bereits zwei Versuche eines EU-US-Angemessenheitsbeschlusses gescheitert: „Safe Harbour“ und das sog. „Privacy Shield“. Seither fragt sich insbesondere der Online-Handel: „Wie gestalte ich den Datentransfer für die USA richtig?“ und „Wird es in Zukunft erneut einen Angemessenheitsbeschluss für die USA geben, der die Datenübermittlung wieder vereinfacht?“

Bestandsaufnahme: Was ist denn überhaupt die Problematik bei Datenübermittlung in ein anderes Land?

Der DSGVO ist zu entnehmen, dass in einer Datenübermittlung ins Ausland dem Grunde nach ein potentielles Datenschutzrisiko liegt. Nach der Verordnung kommt es aber entscheidend darauf an, in welches Land solch eine Datenübermittlung stattfindet. Der Verordnung sind drei Länderkategorien zu entnehmen:

1. Kategorie: Staaten der EU/ des EWR

Die EU- und EWR-Staaten (Norwegen, Island, Liechtenstein) erscheinen im Rahmen der DSGVO nur implizit, hauptsächlich über deren Anwendungsbereich. Datenübermittlungen innerhalb dieser Staaten erachtet die DSGVO als wenig riskant, weshalb hier grundsätzlich auch keine besonderen und zusätzlichen Maßnahmen für den Auslandsdatentransfer notwendig werden.

2. Kategorie: Drittstaaten mit Angemessenheitsbeschlüssen der EU-Kommission

Es gibt einige Staaten (z. B. Argentinien, Japan, Kanada, die Schweiz, Südkorea, das Vereinigte Königreich, etc.), die nach Ansicht der EU-Kommission über einen angemessenen Grundrechtsschutz für natürliche Personen verfügen. Für diese Länder wurden daher sog. Angemessenheitsbeschlüsse erlassen. Diese bieten eine umfassende Legitimation des Datentransfers in diese Territorien. Zusätzliche Maßnahmen bzgl. der Auslandsübermittlung sind also auch hier nicht zu treffen.

Wichtig für die Erteilung eines solchen Beschlusses ist insbesondere, dass den betroffenen Personen angemessene Rechtsbehelfe gegen unrechtmäßige staatliche Datenzugriffe (etwa durch Geheimdienste) zustehen. Ein solcher Beschluss wird von der EU-Kommission erlassen.

3. Kategorie: Drittstaaten ohne Angemessenheitsbeschluss

Die letzte Kategorie betrifft alle übrigen Staaten, für die eben kein solcher Angemessenheitsbeschluss vorliegt. Das sind insb. Länder wie Indien, China und – nach Wegfall des Privacy Shields – auch die USA. Zur Erreichung eines DSGVO-konformen Datentransfers müssen bei diesen Staaten besondere (ggf. auch mehrschichtige) Maßnahmen in Bezug auf die Übermittlung ins Ausland getroffen werden. Hierzu zählen in erster Linie das Vorsehen sog. geeigneter Garantien (z. B. der Abschluss der sog. EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, etc.). Daneben müssen im Einzelfall ggf. weitere Maßnahmen wie Anonymisierungen oder hinreichende Verschlüsselungen (sofern eine solche im konkreten Einzelfall tatsächlich geeignet ist) ergriffen werden, mittels derer ein tatsächlich vergleichbares Datenschutzniveau herzustellen ist. Die Datenübermittlung in diese Drittstaaten ist damit stark reglementiert bzw. beschränkt.

Warum ist der Angemessenheitsbeschluss für die USA aufgehoben worden?

Auf Betreiben von Max Schrems hat der EuGH 2020 festgestellt, dass insbesondere aufgrund der weitgehenden Zugriffsrechten der US-amerikanischen Geheimdienste in den USA kein angemessenes Datenschutzniveau gewährleistet ist. Vor allem US-Regelungen wie Sec. 702 FISA und Executive Order 12333 verpflichten US-
Unternehmen dazu, Geheimdiensten personenbezogene Daten offenzulegen. Aus diesem Grund musste der Angemessenheitsbeschluss aufgehoben werden. Sehr zum Ärger vieler Unternehmen, gelten seitdem deshalb auch für Datenübermittlungen in die USA die deutlich strengeren Regeln für Drittländer ohne Angemessenheitsbeschluss.

Ausblick: Neues Abkommen in Sicht? Was ist von diesem zu erwarten?

Am 25. März 2022 wurde seitens der EU-Kommission verkündet, dass man sich mit den USA bereits „grundsätzlich“ auf eine Neuauflage des Privacy Shields (Arbeitstitel: Trans-Atlantic Data Privacy Framework) geeinigt habe. Ein solches könnte die Datenübermittlung in die USA wieder vereinfachen.

Nach den offiziellen Ankündigungen der EU und der USA soll das neue Abkommen insbesondere enthalten, dass:

• die Zugriffsrechte der US-Geheimdienste auf ein für die nationale Sicherheit notwendiges und verhältnismäßiges Maß „beschränkt“ werden,
• neue Verfahren bei den US-Geheimdiensten eingeführt werden, die behördenintern eine wirksame Einhaltung der (Daten-)Grundrechte gewährleisten sollen,
• ein zweistufiges Rechtsbehelfssystem in den USA eingeführt werden soll, an welches sich europäische Betroffene wenden können. Dazu soll auch ein „unabhängiges Datenschutzüberprüfungsgericht“ („Data Protection Review Court“) gehören,
• wie beim Privacy Shield erneut mit einer Selbstzertifizierung der US-Unternehmen gearbeitet werden solle.

Kann das neue transatlantische Abkommen die vom EuGH geäußerten Bedenken tatsächlich und dauerhaft ausräumen? 

Final wird man diese Frage sicherlich erst beantworten können, wenn die finalen Texte veröffentlicht werden. Zu diesem Ergebnis kommt grundsätzlich auch Max Schrems. Dieser hat sich jedoch bereits in einem offenen Brief an die Vertragsunterhändler und -händlerinnen zu Wort gemeldet. Basierend auf den bisher bekannt gewordenen Informationen äußert er dort seine ersten (vorläufigen) Bedenken gegen die Neuauflage. Sollte seiner Ansicht nach die finale Umsetzung weiterhin nicht die vom EuGH dargelegten Defizite beheben können, seien er und noyb außerdem bereit in eine Verlängerung der Schrems-Urteilsreihe zu gehen.

Es bleibt also spannend. Wann wird uns die EU die finalen Texte bereitstellen? Wann können wir mit dem neuen Angemessenheitsbeschluss rechnen? Etwa sogar noch in diesem Jahr? Und die Frage aller Fragen: Wird die dritte Auflage der EuGH-Rechtsprechung gerecht oder müssen wir mit einer Trilogie der Schrems-Urteile rechnen? Die endgültige Beantwortung dieser Fragen wird wohl erst nach Veröffentlichung der finalen Normtexte möglich sein.

Sowohl die EU als auch die USA bekunden mit der Neuauflage allerdings das Bewusstsein, wie wichtig der EU-US-Datentransfer in einer globalisierten Welt ist. Es bleibt zu hoffen, dass beide Länder die Neuauflage tatsächlich nutzen, der Rechtsunsicherheiten bzw. dem aufgrund des Wegfalls des Privacy-Shields anfallenden Zusatzaufwand ein Ende zu setzen. 

Unser Tipp

Auch wenn der Datentransfer in die USA ein leidiges Dauerthema ist, sollten Sie am Ball bleiben. Wichtig ist, dass es sich derzeit lediglich um Absichtsbekundungen handelt. Sie sollten Ihre Datenübermittlungen in die USA daher unter keinen Umständen schon jetzt auf dieses (künftige) Abkommen stützen!

Bis der neue Angemessenheitsbeschluss erlassen ist, müssen Sie vorerst die verschärften Anforderungen beim Einsatz von Tools mit US-Bezug erfüllen oder alternativ Ihren US-Datentransfer (soweit möglich) reduzieren.