Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


25.3.2022

EU-USA-Datenschutzabkommen: "Trans-Atlantic Data Privacy Framework"

Die EU und die USA haben sich im Grundsatz auf ein neues Abkommen zum Datentransfer zwischen EU-Staaten und den USA geeinigt. Das haben die EU-Kommission und die USA am 25.3.2022 in einer gemeinsamen Presseerklärung bekanntgegeben. Was auf den ersten Blick – zumindest aus Sicht von Praktikern – super klingt, kann wie folgt eingeordnet werden.

Es gibt zwar bislang weder einen Entwurf noch einen konkreten Zeitplan für „Trans-Atlantic Data Privacy Framework“. Allerdings zeigt ein Factsheet, zu Deutsch Informationsblatt, dass es sich um mehr als „heiße Luft“ handelt.

Nach diesen Informationen soll es bei einer Selbstzertifizierung bzgl. der Einhaltung bestimmter Vorgaben bleiben, wie es bereits vom EU-US-Privacy Shield bekannt ist. Zudem sollen neue Regelungen und verbindliche Schutzmaßnahmen den Zugriff der US-Nachrichtendienste auf personenbezogene Daten auf einen Umfang begrenzen, der zum Schutz der nationalen Sicherheit notwendig und angemessen ist. Das soll durch entsprechende interne Verfahren sichergestellt werden. Schließlich ist ein zweistufiges Rechtsbehelfssystem für betroffene Personen aus der EU geplant, das eine gerichtliche Überprüfung durch einen „Data Protection Review Court“ einschließt.

Diese „Basisinformationen“ gibt es auch noch einmal von der US-amerikanischen Seite mit etwas mehr Fließtext, der hier direkt abgerufen werden kann.

Hintergrund

Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 die Regelungen des EU-US-Privacy Shield („Privacy Shield“) – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt. Dieses Gerichtsurteil (Az. C-311/18) hatte weitreichende Folgen für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer.

Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Für die USA gab es diesen Angemessenheitsbeschluss in Bezug auf die Regelungen des Privacy Shield vom 12.7.2016, der vom EuGH im Jahr 2020 für ungültig erklärt wurde, wie es das Gericht bereits mit dem Vorgänger des Privacy Shield, den Safe Harbor-Regelungen getan hat.

Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs.2 DSGVO unter anderem in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln bestehen. Allerdings entbindet der Einsatz zum Beispiel von Standarddatenschutzklauseln nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland. Daran hat sich auch mit den neuen Standarddatenschutzklauseln geändert (s. dazu Datenschutz-News v. 9.7.2021).

Da die Standarddatenschutzklauseln keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des angemessenen Schutzniveaus zu sorgen, kann es in Abhängigkeit von der konkreten Lage in einem Drittland erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Das wird regelmäßig der Fall sein bei hoheitlichen Zugriffsmöglichkeiten und insoweit fehlenden hinreichenden Rechtsbehelfen für die betroffenen Personen mit der Folge, dass kein angemessener Schutz vor einem behördlichen Zugriff auf die Daten besteht. Da der EuGH gerade aufgrund dieser beiden Aspekte für Datenübermittlungen in die USA festgestellt hat, dass dort ein angemessenes Schutzniveau nicht durchgängig gewährleistet ist, müssen hier beim Einsatz von Standarddatenschutzklauseln zusätzliche Garantien geschaffen werden.

In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien. Wie diese zusätzlichen Garantien insbesondere im Fall der USA konkret aussehen müssen bzw. können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden.

Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um den erforderlichen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.

Fazit und Ausblick

Die Nachricht vom „Trans-Atlantic Data Privacy Framework“ als Nachfolger des Privacy Shield kann die Praktiker zwar grundsätzlich hoffen lassen. Allerdings ist der konkrete Inhalt mangels entsprechender Dokumente noch weitgehend offen. Nicht nur aus diesem Grund ließ eine Reaktion von Max Schrems nicht auf sich warten. Neben grundsätzlicher Kritik wird eine eingehende Prüfung des Abkommens angekündigt, sobald es vorliegt. Zudem sollen – wenig überraschend – rechtliche Schritte erfolgen, wenn das Trans-Atlantic Data Privacy Framework nicht in Einklang mit dem EU-Recht steht. Schrems geht davon aus, dass die Rechtmäßigkeit des Abkommen wieder vom EuGH entschieden wird. Diese Einschätzung teile ich, wenngleich es hierbei auf die konkreten Regelungen ankommen wird, die es jedoch zunächst abzuwarten gilt.

Damit stellt sich neben der inhaltlichen die zweite entscheidende Frage, nämlich die des Zeitrahmens. Erst wenn ein konkreter Entwurf vorliegt, kann das notwendige Procedere gestartet werden, das in einem Angemessenheitsbeschluss münden soll. Letzterer setzt eine entsprechende Entscheidung der EU-Kommission voraus, die im Wege eines Durchführungsrechtsaktes erfolgt (Art. 45 Abs. 3 DSGVO). Zuvor bedarf es der Umsetzung auf US-amerikanischer Seite, die im Wege einer Executive Order des US-Präsidenten erfolgen soll, also eines präsidentiellen Dekrets, das Gesetzesrang hat und nicht der Zustimmung des US-Kongresses bedarf.

Daher kann zwar zumindest mittelfristig von einem Nachfolger des Privacy Shields und einem korrespondierenden Angemessenheitsbeschluss ausgegangen werden. Das sollte bei der Frage von Datenübermittlungen in die USA auch strategisch und vor allem bei Vorschlägen für Entscheidungsträger in Unternehmen berücksichtigt werden. Allerdings ist kurzfristig weiterhin keine Lösung der Problematik von Datentransfers in die USA in Sicht. Den Aufsichtsbehörden wird es – nicht nur bei einer anlassunabhängigen oder anlassbezogenen Kontrolle – nicht reichen, wenn man sich als Verantwortlicher darauf beruft, dass mit dem „Trans-Atlantic Data Privacy Framework“ ein Datenschutzabkommen für Datentransfers von der EU in die USA angekündigt worden ist. Das damit einhergehende Rechtsrisiko einer rechtswidrigen Datenübermittlung bleibt vorerst bestehen. Vor diesem Hintergrund sollten die notwenigen Prozesse zur Überprüfung und Bewertung von Datenübermittlungen in die USA einstweilen beibehalten werden.

+++ UPDATE vom 31.3.2022 +++

EU-Kommission erwartet das neue EU-USA-Datenschutzabkommen („Trans-Atlantic Data Privacy Framework“) bis zum Ende des Jahres.

Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht