Es gibt Neuigkeiten von der US-Dienste-Front. Am 25.03.2022 verkündeten der US-Präsident Biden und die EU-Kommissionspräsidentin Ursula von der Leyen, dass man eine „grundsätzliche Einigung“ in Hinblick auf eine Art neues Privacy Shield erzielt habe, das den Namen „Trans-Atlantic Data Privacy Framework” tragen soll. Einen konkreten Rechtstext gibt es dabei noch nicht, allerdings wurden bereits die wichtigsten Eckpunkte abgestimmt. Auch wurden auf beiden Seiten sogenannte „FactSheets“ veröffentlicht. Ziel des neuen Abkommens ist es, dass vor allem den EU-Bürgern mehr Rechte eingeräumt werden und die US-Geheimdienste nicht mehr ohne weiteres Zugriff auf sämtliche Daten haben.
Seit dem „Schrems II-Urteils“ des EuGH im Juli 2020 war und ist die Nutzung von US-Diensten faktisch unzulässig, da mit der Ungültigkeitserklärung des Privacy Shields keine Legitimationsgrundlage für den Datentransfer in die USA mehr vorhanden war. Bis zu diesem Zeitpunkt stellte das Privacy Shield einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO dar. Nachdem dies nicht mehr der Fall war, wurde versucht über Standardvertragsklauseln (SVK), Auftragsverarbeitungsverträge (AV-Verträge) und z.T. auch über Binding-Corporate-Rules (abgekürzt „BCR“, Regelungen im Unternehmensverbund) alternative vertragliche Garantien für ein angemessenes Datenschutzniveau zu schaffen. Auch wurden von der EU-Kommission neue EU-Standardvertragsklauseln ausgegeben (die sich der Schrems II-Problematik zumindest teilweise angenommen haben) und die bis zum Ende des Jahres 2022 aktualisiert werden müssen (wir berichteten, siehe hier).
Was soll sich durch das Trans-Atlantic Data Privacy Framework ändern?
Das sogenannte „Trans-Atlantic Data Privacy Framework“ soll ein neues Regelwerk werden, das verbindliche Garantien für den Datentransfer zwischen der EU und den USA enthält.
Auf US-Seite sollen die Zugriffsmöglichkeiten der Geheimdienste ausschließlich auf das beschränkt sein, was wirklich für die nationale Sicherheit von Bedeutung ist. Hier soll eine Möglichkeit zur Überprüfung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleistet werden.
Für EU-Bürger soll es ein zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden über den Zugang zu Daten durch US-Nachrichtendienste geben. Es soll eine Art „Datenschutzprüfungsgericht“ entstehen. Darüber hinaus sollen spezielle Überwachungs- und Überprüfungsmechanismen eingeführt werden.
Auch für die Unternehmen, die Daten von EU-Bürgern erheben, empfangen, verarbeiten und speichern soll es strenge Verpflichtungen geben. Hier soll z.B. die Einhaltung der Datenschutz-Grundsätze durch das US-Handelsministerium zertifiziert werden.
All diese Maßnahmen klingen erstmal vielversprechend, allerdings gibt es in der Praxis dennoch einige Unklarheiten. Zum einen ist beim „Datenschutzprüfungsgericht“ nicht klar, wo dieses seinen Sitz haben soll und wie weitreichend die Kompetenzen sein sollen. Zum anderen sind natürlich auch Aussagen wie „US-Behörden dürfen zum Schutz der nationalen Sicherheit auf Daten zugreifen, wenn dies notwendig und verhältnismäßig ist“ kritisch zu hinterfragen. Bestimmen die US-Geheimdienste am Ende selbst, wann dieser Zugriff notwendig und verhältnismäßig ist?
Es bleibt spannend, da das neue Abkommen keine Änderung an den bestehenden Sicherheitsgesetzen der USA ist. Demzufolge könnten sich theoretisch dieselben Probleme wie zuvor ergeben, sodass auch eine Schrems III-Klage wohl zu erwarten ist.
Zudem wird es wohl noch einige Zeit dauern, bis das Trans-Atlantic Data Privacy Framework durch ist und die EU-Kommission ggf. einen neuen Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO darstellen kann. Bis es so weit ist, sind nach wie vor die neuen Standardvertragsklauseln das Mittel der Wahl, um den Datentransfer einigermaßen rechtssicher hinzubekommen.
Quellenangaben:
- Artikel „Trans-Atlantic Data Privacy Framework: Antwort auf Schrems II?“, abgerufen am 06.04.2022 unter: https://www.dr-datenschutz.de/trans-atlantic-data-privacy-framework-antwort-auf-schrems-ii/