Rufen Sie uns an: (+49) 30 814 555 64 oder schreiben Sie uns eine E-Mail: info (at) trust-zentrum.de
Nach langem Warten wurde das neue EU-US Datentransfer-Abkommen am vergangenen Freitag von der EU-Kommission und der US-Regierung angekündigt. Gerade noch rechtzeitig könnte man meinen, denn
zuletzt rumorte es, den EuGH-Entscheid „Schrems-II“ in der Praxis auch konsequent durchzusetzen. Doch ist die Gefahr für Unternehmen und Betroffene beim US-Datentransfer damit gebannt? Ob das Warten auf geeignete Garantien für Unternehmen nun ein Ende hat, wollen wir in diesem Artikel näher beleuchten und eine erste Einordnung vornehmen.
So heißt es in der gemeinsam veröffentlichten Erklärung vom 25. März. Man habe sich „prinzipiell“ auf ein transatlantisches Abkommen geeinigt. Zwar liegt ein Text des neuen Abkommens bisher nicht vor, doch wurden erste Details bekannt gegeben. Von US-Seite wurde zugesagt, weitreichende Reformen und Sicherheitsvorkehrungen zum Schutz der Privatsphäre und der Bürgerrechte vorzunehmen. Daten sollen fortan frei und sicher zwischen der EU und den USA fließen können, zumal auf dem freien Datenverkehr ein Handelsvolumen von 900 Milliarden Euro jährlich basiert. Die Rahmenbedingungen für das neue Framework sind im Grunde gesetzt.
Man wolle mit dem EU-US Privacy Shield 2.0 (genannt „Transatlantischer Datenschutzrahmen“) durch verbindliche Sicherheitsvorkehrungen gewährleisten, dass Signalüberwachungstätigkeiten und Datenzugriffe zur Verfolgung definierter, nationaler Sicherheitsziele fortan auf erforderliche und verhältnismäßige Zugriffe begrenzt sind. Zudem soll ein zweistufiger Rechtsbehelfsmechanismus eingerichtet werden, um Verstöße des unbefugten Zugriffs auf Daten von EU-Bürgern zu untersuchen. Es soll zudem die Möglichkeit einer gerichtlichen Überprüfung in den USA geschaffen werden. Des Weiteren sollen US-Unternehmen strengere Verpflichtungen bei der Selbstzertifizierung unter dem Schirm des neuen Abkommens einhalten und die Aufsicht soll insgesamt verbessert werden.
Für den US-Datentransfer gelten zunächst die rechtlichen Einschränkungen, die spätestens seit dem "Schrems-II-Entscheid" bestehen. Dementsprechend müsste eine nachweisliche und transparente Einwilligung Betroffener für den EU-US-Datentransfer vorliegen, die freiwillig erfolgt, widerruflich ist und sich explizit auf den Datentransfer in ein unsicheres Drittland, namentlich die USA, bezieht. Streng genommen müsste der Transfer sowie die Speicherung selbst durch eine geeignete Vollverschlüsselung erfolgen, um den unbefugten Zugriff per se auszuschließen. Letzteres erweist sich vor dem Hintergrund des zu betreibenden Aufwandes, der Einrichtungskosten sowie der praktischen Durchführung für die meisten Unternehmen nicht als ein realistisches Szenario.
Sobald der neue Angemessenheitsbeschluss vorliegt, muss dieser im nächsten Schritt den Europäischen Datenschutzausschuss (kurz "EDSA") passieren sowie durch eine Exekutiventscheidung der EU-Kommission abgesegnet werden. Dieser Prozess wird zumindest mehrere Monate in Anspruch nehmen. In den USA soll die Einhaltung der neuen Verpflichtungen anschließend über eine neue Durchführungsverordnung (sogenannte „Executive Order“) sichergestellt werden. Aus rechtlicher Sicht handelt es sich somit zunächst um ein "Notpflaster", um wirtschaftliche Schäden durch einen gestoppten EU-US-Datentransfer abzuwenden und den weitreichenden Datentransfer, nebst einer Verbesserung der Rahmenbedingungen für Betroffene, zu sichern.
Die eigentliche und vom EuGH beschiedene Kernproblematik wird von den Neuerungen derzeit nicht erfasst, nämlich die anlasslose Erhebung und Verarbeitung durch umfassende und nicht näher definierte Überwachungstätigkeiten. Es bedürfte einer umfassenden Änderung nationaler Sicherheitsgesetze wie des "FISA" und des "Cloud-Act", somit Reformen grundsätzlicher und weitreichender Natur. Die von Washington avisierte Durchführungsverordnung dürfte, der bisherigen Rechtsprechung folgend, somit nicht ausreichend sein, die Anforderungen zu erfüllen. Dafür spricht etwa, dass es sich bei der Executive Order um nicht einklagbare Zusicherungen der US-Seite handelt, mit deren Hilfe das neue Framework erfüllt werden soll. Die Rechtsunsicherheiten bleiben somit auch nach der Einigung bestehen. Letztlich wird dies voraussichtlich ein dirttes Mal vor dem EuGH entschieden werden, was Jahre dauern kann.
Unser Standort: Chausseestraße 86, 10115 Berlin