EU und USA wollen neues Datenschutzabkommen vereinbaren
25.03.2022 Das neue Datenschutzabkommen soll das vom Europäischen Gerichtshof gekippte Privacy Shield für den Transfer personenbezogener Daten ersetzen. Datenschützer Schrems bleibt skeptisch und sieht noch kein Ende der Rechtsunsicherheit für Unternehmen.
Der EuGH hatte den Privacy Shield für die Übermittlung von Daten aus Europa über den Atlantik im Juli 2020 gekippt . Begründet wurde dies damit, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Das EuGH kam zu dem Ergebnis, "dass die von der EU-Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Privacy Shield enthielt also zum Beispiel keine ausreichenden Maßnahmen, um die personenbezogenen Daten von EU-Bürgern gegen nachrichtendienstliche Zugriffe der USA zu schützen.
Für Unternehmen entstand dadurch große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU. So drohte bereits der Facebook-Konzern Meta, dass Facebook und Instagram in Europa wahrscheinlich eingestellt werden müssten, wenn es keine Nachfolgeregelung gibt.
Der EU-US Privacy Shield war die Nachfolge des Save-Harbour-Abkommens als informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den USA ausgehandelt wurde. Auch "Safe Harbor" war vom EuGH gekippt worden.
"Rein politisches Abkommen"
Geklagt hatte in beiden Fällen der österreichische Jurist und Datenschutzexperte Max Schrems . Er sieht in der Ankündigung eher eine Verstärkung der Rechtsunsicherheit, wie es in einer Stellungnahme seiner Datenschutzorganisation Noyb heißt. Darin beklagte Max Schrems am Freitag, dass es sich lediglich um eine politische Ankündigung handele und ein konkreter Text nach wie vor ausstehe. Laut Noyb-Informationen plane die USA keine Änderungen ihrer Überwachungsgesetze, sondern lediglich Zusicherungen mittels "Executive Orders". Diese hätten jedoch mitunter keine externe Wirkung und könnten nicht eingeklagt werden. Eine Lösung sei hier bisher nicht in Sicht. "Eine neue Vereinbarung wäre kein bilaterales Abkommen, sondern eine Exekutiventscheidung der Europäischen Kommission, die zunächst vom Europäischen Datenschutzausschuss geprüft werden müsste", so Schrems. "Dieser Prozess kann erst nach Vorliegen eines Rechtstextes gestartet werden. Ein tatsächlicher 'Angemessenheitsbeschluss' würde daher noch ein paar Monate dauern. Bis zu einem rechtlich verbindlichen Beschluss können sich Unternehmen nicht auf eine reine Ankündigung berufen um Daten in die USA rechtskonform zu übermitteln."Schrems kritisiert: "Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte. Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen. Der Deal war offenbar ein Symbol, das von van der Leyen gewollt war aber keinen Rückhalt der Experten in Brüssel hat, da sich die USA nicht bewegt haben." Sobald der endgültige Text vorliege, werde ihn Noyb zusammen mit unseren US-Rechtsexperten eingehend analysieren. "Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird". Schrems findet es "bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem 'No-Spy'-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen". Kunden und Unternehmen drohten nun weitere Jahre der Rechtsunsicherheit.
Auch der Digitalverband Bitkom fordert, dass den Worten nun Taten folgen. "Bitkom begrüßt die Ankündigung der EU-Kommission, dass eine grundsätzliche politische Einigung mit den USA über einen Nachfolger des Privacy Shield erzielt worden ist. Die politische Einigung ist aber nur der dringend notwendige erste Schritt. Jetzt gilt es diesen politischen Willen in eine belastbare rechtliche Regelung zu überführen. Die Unternehmen brauchen rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann", sagt Rebekka Weiß , Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom.
"Datentransfers sind ein essenzieller Bestandteil der gesamten Wirtschaft und Wissenschaft. Die Be- oder Verhinderung von Datentransfers ist für deutsche und europäische Unternehmen mindestens ebenso gravierend wie die Blockade von physischen Warenströmen", so Weiß. Insbesondere kleinere Unternehmen seien auf die Speicherung von Daten in der Cloud, Nutzung der Software US-amerikanischer Anbieter oder Videokonferenzsystemen und Kommunikation in sozialen Netzwerken angewiesen.