Icon Datenschutzbeauftragter
Datenschutz

We are „principle agree“ to force a Schrems III

Cihan Cevirme
Verfasst von: Cihan Cevirme
Teamassistenz

Am 25.03.2022 verkündeten Ursula von der Leyen (EU-Kommissionspräsidentin) und Joe Biden (US-Präsident) eine "grundsätzliche Einigung" über ein neues Regelwerk, das einen datenschutzkonformen Transfer zwischen den USA und der EU ermöglichen soll. Kritik ließ nicht lange auf sich warten – vor allem von Maximilian Schrems, dem Juristen, Datenschutzaktivisten und Namensgeber der "Schrems-Urteile".

Vorgeschichte und Grundlagen

Das erste Schrems-Urteil des EuGH löste 2015 das Safe-Harbour-Abkommen zwischen den USA und der EU ab. Beide Staaten vereinbarten daraufhin den EU-U.S.-Privacy-Shield. Die Vereinbarung umfasste Zusicherungen der US-amerikanischen Regierung sowie einen Angemessenheitsbeschluss der EU-Kommission. Herr Schrems klagte wieder vor dem EuGH, da

  • weiterhin die bestehenden Überwachungs- und Zugriffsbefugnisse für US-Ermittlungsbehörden Vorrang genossen haben und bis heute genießen,
  • keine unabhängige Aufsichtsbehörde mit notwendigen Befugnissen dagegen steuern kann und
  • Betroffenen keine effektiven Rechtsbehelfe zur Verfügung stehen.

Mit dem Urteil vom 16. Juli 2020 erklärte der EuGH den Angemessenheitsbeschluss der EU-Kommission für ungültig („Schrems II“). Seitdem nutzen EU-Unternehmen und Anbieter digitaler Dienste aus den USA Standardvertragsklauseln (SCC). Diese Klauseln sind von der EU-Kommission vorgegeben und stellen eine weitere Option dar, um in der Beziehung zu Unternehmen aus Ländern, für die es keinen Angemessenheitsbeschluss gibt, DSGVO-Konformität zu erreichen. Im Juli 2021 wurden diese von der EU-Kommission an das Schrems II-Urteil angepasst. Seit dem 27.09.2021 müssen für Datenübermittlungen die neuen Standardvertragsklauseln abgeschlossen werden. Alte Bestandsübermittlungen unterliegen einer Übergangsfrist bis zum 27.12.2022. Nach diesen Klauseln müssen europäische Datenexporteure bewerten, ob das konkrete Schutzniveau für die zu übertragenden Daten gewährleistet ist.

Dafür wird nach Klausel 14 der SCC eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment; TIA) durchgeführt. Im Gegenzug müssen US-Unternehmen wirksame, technische und organisatorische Maßnahmen treffen, um die Daten vor anlasslosen und flächendeckenden Zugriffen seitens Ermittlungsbehörden zu schützen. Übersetzt heißt es derzeit eigentlich: US-Unternehmen müssen faktisch verhindern, dass US-Behörden auf die Daten zugreifen können. Wie zuletzt die österreichische Datenschutzbehörde über die Nutzung von Google Analytics entschied, können trotz Vereinbarung von Standardvertragsklauseln die organisatorischen und technischen Maßnahmen – nicht sonderlich überraschend – für ein angemessenes Datenschutzniveau ungenügend sein.

Principle Agreement

Um dieser unsicheren und komplizierten Rechtslage eine einfachere Handhabung zu geben, soll nach Ankündigung von Ursula von der Leyen und Joe Biden ein „Trans-Atlantic Data Privacy Framework“ (TADPF) vereinbart werden. Bisher liegen keine Entwürfe für das TADPF vor, sondern nur Factsheets der US-Regierung und der EU-Kommission. Aus diesen gehen einige Leitgedanken hervor, welche das Regelwerk prägen sollen. Es sollen

  • verbindliche Garantien zur Beschränkung der Zugriffe von US-Geheimdiensten,
  • Überprüfungs- und Überwachungsmechanismen bei Geheimdiensten,
  • ein 2-stufiges Rechtsbefehlssystem zur Behandlung von Beschwerden der EU-Bürger und
  • eine neue Selbstzertifizierung für Unternehmen eingeführt werden.

Zudem soll der US-Präsident mit Verwaltungsvorschriften („Executive Orders“) für die datenschutzfreundliche Anwendung von Überwachungsvorschriften sorgen. Inwieweit durch die „Orders“ neues Recht geschaffen wird, ist im US-Recht allerdings strittig. Anzumerken ist, dass Joe Biden bei Amtsantritt viele „Exekutive Orders“ seines Amtsvorgängers Donald Trump ohne ein Verfahren wie bei einem Gesetzerlass zurückgezogen hat. Die „Orders“ stellen damit keine zuverlässigen Instrumente für eine Umgehung der Geheimdienstbefugnisse dar.

Was sich überhaupt ändern könnte

Da kein Entwurf vorliegt, kann nicht viel darüber gemutmaßt werden, was sich nun durch das transatlantische Regelwerk ändern wird.

Es stellen sich aber jetzt schon wesentliche Fragen:

  • Ändern sich die Geheimdienstbefugnisse in den USA ausreichend für ein DSGVO-konformes Schutzniveau?
  • Wo ist das „Data Protection Review Court“ im Rahmen des 2-stufigen Rechtsbehelfssystems angesiedelt?
  • Wie werden die Richter dort bestimmt?

Ausblick

Solange in Bezug auf Geheimdienstbefugnisse die US-Rechtslage nicht grundlegend reformiert wird, wird auch dieses Regelwerk eine Klage von Max Schrems oder anderen Datenschutzaktivisten nach sich ziehen. Aufgrund der europarechtlichen Verfahren wäre zumal ein Angemessenheitsbeschluss angesichts des geplanten Regelwerks erst zu Anfang 2023 zu erwarten. Es empfiehlt sich angesichts der ungewissen Lage, laufende Datentransfers sowie die Standardvertragsklauseln überprüfen zu lassen und gegebenenfalls mit der Unterstützung von Datenschutzexperten datenschutzfreundliche Lösungen zu erarbeiten. So ist man am ehesten für jegliches Szenario vorbereitet.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.