Privacy Shield 2.0 Transfer personenbezogener Daten in die USA

Der US-Präsident hat eine Exekutivanordnung zum EU-US-Datenschutzrahmen unterzeichnet, dadurch wurden die Voraussetzungen geschaffen, um einen neuen Angemessenheitsbeschluss zum Datenaustausch zwischen Europa und den USA zu erlassen – Datenschützer haben jedoch Zweifel.

US-Präsident Biden hat im Oktober 2022 eine Exekutivanordnung zum EU-US-Datenschutzrahmen unterzeichnet. Er schaffte damit die Voraussetzungen für die Europäische Kommission, einen neuen Angemessenheitsbeschluss zum vereinfachten Datenaustausch mit den USA zu erlassen. Die EU-Kommission hat prompt reagiert und im Dezember ihren Vorschlag für den Angemessenheitsbeschluss veröffentlicht, der nun beraten wird und in den kommenden Monaten verabschiedet werden soll. Datenschützer und Rechtsexperten bezweifeln jedoch bereits jetzt, dass das neue Privacy-Shield-Abkommen Bestand haben wird. 

Mit ihrem Entwurf für einen neuen Angemessenheitsbeschluss, der am 13.12.2022 veröffentlicht wurde, will die EU-Kommission den Datenaustausch mit den USA endlich rechtssicher machen. Sie startet damit bereits den dritten Versuch, dieses Ziel zu erreichen. Zuvor hatte der Europäische Gerichtshofs (EuGH) 2015 und 2020 die bis dahin bestehenden Regelungen zum kommerziellen Datenaustausch zwischen Europa und den USA für ungültig erklärt. Beide Verfahren hatte der österreichische Datenschutzaktivist Max Schrems angestoßen, sodass diese auch unter den Bezeichnungen Schrems I und Schrems II bekannt sind.  

Hintergrund 

Werden Daten europäischer Nutzer auf amerikanischen Servern gespeichert, muss sichergestellt sein, dass die Daten der DSGVO entsprechend geschützt sind. Dafür eine Rechtsgrundlage zu schaffen, ist normalerweise sehr kompliziert. Die Europäische Kommission kann dies vereinfachen, indem sie beschließt, dass das Datenschutzniveau in einem anderen Staat den europäischen Standards entspricht. Derartige Angemessenheitsbeschlüsse gibt es z. B. auch für Großbritannien und Japan.  

Kein gleichwertiges Datenschutzniveau 

In seinen beiden Urteilen hatte der EuGH festgestellt, dass die USA und Europa kein gleichwertiges Datenschutzniveau haben und keinen ausreichenden Schutz vor dem Zugriff durch amerikanische Nachrichtendienste bieten. Er entzog damit den Datentransferabkommen Safe Harbor (2015, Schrems I) und dessen Nachfolger Privacy Shield (2020, Schrems II) die Rechtsgrundlage. Um den Datenaustausch weiter zu ermöglichen, hatten amerikanische Unternehmen bereits nach dem ersten Urteil sogenannte Standardvertragsklauseln eingeführt, in denen sie die Einhaltung der Datenschutzvorschriften zusichern. Im EuGH-Urteil von 2020 wurde aber festgestellt, dass Standardverklauseln nicht ausreichen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu genügen. 

Biden-Dekret schafft Grundlage für EU-Angemessenheitsbeschluss 

Die EU und die USA sind seit Schrems II dabei, eine Nachfolgelösung für das Privacy-Shield-Abkommen zu erarbeiten. Im März 2022 hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen eine grundsätzliche politische Einigung verkündet. Die Umsetzung erfolgte von amerikanischer Seite aus im Oktober 2022 mit einer Executive Order, einer Exekutivanordnung des Präsidenten. Das Dekret verpflichtet amerikanische Geheimdienste, beim Datenzugriff die Notwendigkeit und die Verhältnismäßigkeit zu beachten und ihre Datenschutzrichtlinien anzupassen. Gleichzeitig erweitert es die Zuständigkeiten von Aufsichts- und Compliance-Beamten, um eine größere Rechtssicherheit zu gewährleisten. Ein weiteres zentrales Element ist ein zweistufiges Beschwerdeverfahren, das EU-Bürger nutzen können, um widerrechtlichen Zugriffen entgegenzuwirken. 

Eckpunkte des Entwurfs der EU-Kommission 

Gleich zu Beginn ihres Entwurfs zum Angemessenheitsbeschluss stellt die EU-Kommission klar, dass die DSGVO kein identisches Schutzniveau voraussetze. Wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Das System müsse nur insgesamt gesehen mit seinen Datenschutzregeln und deren Umsetzung, Überwachung und Durchsetzung das erforderliche Schutzniveau erreichen. Die Prinzipien des „EU-US Data Privacy Framework“, die dann im Entwurf formuliert werden, ähneln denen der DSGVO. US-Unternehmen, die sich am Framework beteiligen möchten, müssen sich registrieren und jährlich zertifizieren. Im Hinblick auf die Zugriffsmöglichkeiten der US-Geheimdienste übernimmt der Entwurf wesentliche Punkte der Executive Order und verweist z. B. auf die Einführung des Verhältnismäßigkeitsgrundsatzes und verstärkte Kontrollmaßnahmen. 

Der Entwurf liegt nun den EU-Mitgliedsstaaten und den europäischen Datenschutzbehörden zur Stellungnahme vor. Die Verabschiedung des Angemessenheitsbeschlusses soll noch in der ersten Jahreshälfte 2023 erfolgen. 

Datenschützer kritisieren Executive Order und Entwurf der EU-Kommission 

Die Reaktionen auf den Entwurf der EU-Kommission sind zwiegespalten. Während Unternehmen und Wirtschaftsvertreter darauf hoffen, dass die Umsetzung des Beschlusses endlich Rechtssicherheit im Datenaustausch mit den USA bringt, sind Datenschützer eher skeptisch. So beklagt der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink, dass es sich bei der Executive Order um „kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz“ handele, dessen Einhaltung nicht einklagbar sei. Außerdem sei die Auslegung des Rechtsbegriffs der Verhältnismäßigkeit in Europa und den USA sehr unterschiedlich. Ähnlich sieht es auch Max Schrems, der der Meinung ist, dass sich die EU und die USA darauf verständigt hätten, den Begriff „`verhältnismäßig´ in ein US-Dokument zu kopieren, aber nicht darauf, dass es dieselbe rechtliche Bedeutung haben soll“. Schrems geht davon aus, dass sich „am Ende die Definition des EuGH durchsetzen [wird] – und damit das Abkommen wahrscheinlich wieder zunichte machen“.