Blog-Layout

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

Das neue Privacy Shield 2.0 ist auf dem Weg


Nach langem Warten wurde das neue EU-US Datentransfer-Abkommen am vergangenen Freitag von der EU-Kommission und der US-Regierung angekündigt. Gerade noch rechtzeitig könnte man meinen, denn zuletzt rumorte es, den EuGH-Entscheid „Schrems-II“ in der Praxis auch konsequent durchzusetzen. Doch ist die Gefahr für Unternehmen und Betroffene beim US-Datentransfer damit gebannt? Ob das Warten auf geeignete Garantien für Unternehmen nun ein Ende hat, wollen wir in diesem Artikel näher beleuchten und eine erste Einordnung vornehmen.

Eine "noch nie dagewesene Verpflichtung" der USA


So heißt es in der gemeinsam veröffentlichten Erklärung vom 25. März. Man habe sich „prinzipiell“ auf ein transatlantisches Abkommen geeinigt. Zwar liegt ein Text des neuen Abkommens bisher nicht vor, doch wurden erste Details bekannt gegeben. Von US-Seite wurde zugesagt, weitreichende Reformen und Sicherheitsvorkehrungen zum Schutz der Privatsphäre und der Bürgerrechte vorzunehmen. Daten sollen fortan frei und sicher zwischen der EU und den USA fließen können, zumal auf dem freien Datenverkehr ein Handelsvolumen von 900 Milliarden Euro jährlich basiert. Die Rahmenbedingungen für das neue Framework sind im Grunde gesetzt.

Man wolle mit dem EU-US Privacy Shield 2.0 (genannt „Transatlantischer Datenschutzrahmen“) durch verbindliche Sicherheitsvorkehrungen gewährleisten, dass Signalüberwachungstätigkeiten und Datenzugriffe zur Verfolgung definierter, nationaler Sicherheitsziele fortan auf erforderliche und verhältnismäßige Zugriffe begrenzt sind. Zudem soll ein zweistufiger Rechtsbehelfsmechanismus eingerichtet werden, um Verstöße des unbefugten Zugriffs auf Daten von EU-Bürgern zu untersuchen. Es soll zudem die Möglichkeit einer gerichtlichen Überprüfung in den USA geschaffen werden. Des Weiteren sollen US-Unternehmen strengere Verpflichtungen bei der Selbstzertifizierung unter dem Schirm des neuen Abkommens einhalten und die Aufsicht soll insgesamt verbessert werden.

Sind die Risiken mit der Neuauflage also gebannt?

Für den US-Datentransfer gelten zunächst die rechtlichen Einschränkungen, die spätestens seit dem "Schrems-II-Entscheid" bestehen. Dementsprechend müsste eine nachweisliche und transparente Einwilligung Betroffener für den EU-US-Datentransfer vorliegen, die freiwillig erfolgt, widerruflich ist und sich explizit auf den Datentransfer in ein unsicheres Drittland, namentlich die USA, bezieht. Streng genommen müsste der Transfer sowie die Speicherung selbst durch eine geeignete Vollverschlüsselung erfolgen, um den unbefugten Zugriff per se auszuschließen. Letzteres erweist sich vor dem Hintergrund des zu betreibenden Aufwandes, der Einrichtungskosten sowie der praktischen Durchführung für die meisten Unternehmen nicht als ein realistisches Szenario.

Sobald der neue Angemessenheitsbeschluss vorliegt, muss dieser im nächsten Schritt den Europäischen Datenschutzausschuss (kurz "EDSA") passieren sowie durch eine Exekutiventscheidung der EU-Kommission abgesegnet werden. Dieser Prozess wird zumindest mehrere Monate in Anspruch nehmen. In den USA soll die Einhaltung der neuen Verpflichtungen anschließend über eine neue Durchführungsverordnung (sogenannte „Executive Order“) sichergestellt werden. Aus rechtlicher Sicht handelt es sich somit zunächst um ein "Notpflaster", um wirtschaftliche Schäden durch einen gestoppten EU-US-Datentransfer abzuwenden und den weitreichenden Datentransfer, nebst einer Verbesserung der Rahmenbedingungen für Betroffene, zu sichern.

Die Trilogie durch Schrems-III-Entscheid ist möglich

Die eigentliche und vom EuGH beschiedene Kernproblematik wird von den Neuerungen derzeit nicht erfasst, nämlich die anlasslose Erhebung und Verarbeitung durch umfassende und nicht näher definierte Überwachungstätigkeiten. Es bedürfte einer umfassenden Änderung nationaler Sicherheitsgesetze wie des "FISA" und des "Cloud-Act", somit Reformen grundsätzlicher und weitreichender Natur. Die von Washington avisierte Durchführungsverordnung dürfte, der bisherigen Rechtsprechung folgend, somit nicht ausreichend sein, die Anforderungen zu erfüllen. Dafür spricht etwa, dass es sich bei der Executive Order um nicht einklagbare Zusicherungen der US-Seite handelt, mit deren Hilfe das neue Framework erfüllt werden soll. Die Rechtsunsicherheiten bleiben somit auch nach der Einigung bestehen. Letztlich wird dies voraussichtlich ein dirttes Mal vor dem EuGH entschieden werden, was Jahre dauern kann.

WhatsApp und die DSGVO im Fokus von Unternehmen

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

13 Sept., 2023
Welche Sanktionsgefahren und DSGVO-Risiken sind bei der Nutzung von WhatsApp im Unternehmen zu beachten? Der Artikel beleuchtet die wichtigsten Aspekte.
Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fundierten Einstieg zum Thema Datenschutz und DSGVO? In diesem Artikel gehen wir auf die grundlegenden Aspekte und Basics ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Die Rechtsprechung zum Auskunftsrecht nach der DSGVO ist da

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

08 Juni, 2022
Die aktuelle Rechtsprechung zum Auskunftsrecht nach der DSGVO und ihre Auswirkungen in der betrieblichen Praxis im Überblick.
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Die DSGVO ist für Vereine nach wie vor eine schwierige Herausforderung

Datenschutz im Verein, wie am besten umsetzen?

14 Feb., 2022
Wie lässt sich der Datenschutz im Verein am besten umsetzen? Hier finden Vereine mit Nachholbedarf wichtige Tipps für die Umsetzung der DSGVO.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Das TTDSG setzt Anforderungen der EU-Richtlinie und Rechtsprechung um

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

01 Feb., 2022
Welche Neuerungen zur Einwilligung gelten nach dem TTDSG, was bedeutet das "PIMS" und wie geht es mit der ePrivacy-Verordnung weiter? Wir klären auf.
Google Analytics ist das bekannteste Tool für Webseitenebtreiber

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

21 Jan., 2022
Der US-Datentransfer ist nach der DSGVO und durch Schrems-II-Urteils zunehmend problematisch. Ist auch der Einsatz von Google Analytics rechtswidrig?
Weitere Beiträge
Share by: