Die EU und die USA haben das Trans-Atlantic Data Privacy Framework als Neuauflage des durch Schrems II aufgehobenen Privacy Shield Framework verkündet.
Nach der langen Durststrecke aufgrund des Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (C-311/18) zeichnet sich ein neuer Angemessenheitsbeschluss für Datentransfers in die USA ab, mit dem Verantwortliche wieder rechtssicher und unbürokratisch personenbezogene Daten an US-Unternehmen übermitteln können. US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen haben am Freitag, den 25. März 2022, eine Einigung auf ein „Trans-Atlantic Data Privacy Framework“ angekündigt. Dieses stärkt das in Schrems II aufgehobene Privacy Shield Framework.
Hintergrund: Schutz gegenüber US-Geheimdiensten unter Privacy Shield war unzureichend
Das Privacy Shield Framework erlaubte es Verantwortlichen in der EU, ohne Abschluss von Standardvertragsklauseln personenbezogene Daten in die USA zu übermitteln, wenn das jeweilige US-Unternehmen sich selbst unter dem Privacy Shield zertifiziert hatte. Es war selbst eine Reaktion auf die Aufhebung des Vorgängerbeschlusses „Safe Harbor“ in Schrems I (C-362/14).
In Schrems II erklärte der EuGH auch das Privacy Shield Framework für ungültig. Eine Selbstzertifizierung halte naturgemäß US-Geheimdienste nicht davon ab, die übertragenen personenbezogenen Daten für ihre Massenüberwachung zu missbrauchen. Diese Massenüberwachung sei ein Verstoß gegen die Grundrechte der betroffenen Personen und rechtsstaatliche Mindestgarantien.
Das Privacy Shield sah zwar als zusätzliche rechtsstaatliche Garantie die Einrichtung einer Obmannsperson für Beschwerden von betroffenen Personen aus der EU gegen Überwachung durch US-Geheimdienste vor. Dies genügte den Anforderungen des EuGH jedoch nicht, da dieser ein individuelles Klagerecht überwachter Personen vor unabhängigen Gerichten als rechtsstaatliches Minimum sieht.
Inhalt des Trans-Atlantic Data Privacy Framework: Unabhängige Beschwerdestelle für betroffene Personen aus der EU und Fortsetzung der Selbstzertifizierung
Der Text des Trans-Atlantic Data Privacy Framework ist noch nicht finalisiert. EU-Kommission und US-Regierung sprechen insoweit nur von einer grds. Einigung („agreement in principle“).
Die meisten bisher bekannten Details sind in der Pressemitteilung der US-Regierung enthalten:
- Statt des Obmanns des bisherigen Privacy Shield Framework soll das Trans-Atlantic Data Privacy Framework ein quasigerichtliches, zweistufiges Gremium schaffen, das über Beschwerden von betroffenen Personen aus der EU entscheidet. Das Gremium soll ermächtigt sein, umfassend zu ermitteln und bindende Abhilfemaßnahmen anzuordnen. Es soll zwar kein Teil der Judikative, allerdings so weit wie möglich unabhängig sein. Insbesondere soll es sich aus Personen zusammensetzen, die nicht der US-Regierung angehören. Nach Medienberichten orientiert sich diese Reform an einem Blogpost der Juraprofessoren Christakis/Propp/Swire.
- Weiterhin sollen neue Maßnahmen bei den US-Geheimdiensten etabliert werden, um die Überwachung auf ein verhältnismäßiges Maß zu reduzieren und rechtsstaatliche Standards durchzusetzen. Welche Maßnahmen dies sein sollen, bleibt offen.
- Diese Änderungen werden die USA nicht über ein Parlamentsgesetz, sondern nur über eine neue Verwaltungsvorschrift (sog. Executive Order) des US-Präsidenten umsetzen.
- Das Trans-Atlantic Data Privacy Framework soll auf dem bisherigen Privacy Shield aufsetzen. Die Anforderungen an US-Unternehmen werden wohl gleich bleiben und bisherige Zertifizierungen weitergelten. Dementsprechend wird wohl sogar der Name „Privacy Shield“ für die Zertifizierung weiterverwendet. Die US-Regierung hatte die Privacy-Shield-Zertifizierung auch nach dem Schrems-II-Urteil unverändert fortgesetzt.
Endgültiger Angemessenheitsbeschluss frühestens in sechs Monaten
Zuerst werden über die nächsten Monate USA und EU einen Text der Executive Order und des Angemessenheitsbeschlusses finalisieren. Dass es hier noch zu größeren Problemen kommt, ist angesichts des großen politischen Drucks kaum vorstellbar. Dabei werden beide Seiten keinen Staatsvertrag schließen, sondern sich informell auf den Text der Executive Order und des Angemessenheitsbeschlusses einigen.
Danach verabschiedet die US-Regierung die Executive Order und die EU-Kommission veröffentlicht einen Entwurf des Angemessenheitsbeschlusses. Dies hat beim bisherigen Privacy Shield ca. einen Monat nach der Verkündung einer grds. Einigung stattgefunden.
Anschließend gibt der Europäische Datenschutzausschuss eine Stellungnahme zu diesem Angemessenheitsbeschluss ab (Art. 70 Abs. 2 lit. s DSGVO, EG 105 S. 3 DSGVO). Die Stellungnahme ist für die Kommission nicht bindend. Auch bei der zu erwartenden Ablehnung durch den Europäischen Datenschutzausschuss wird sich die Kommission kaum von dem Trans-Atlantic Data Privacy Framework abhalten lassen.
Zudem können die Mitgliedsstaaten im sog. Komitologieverfahren Stellung nehmen (Art. 45 Abs. 3 S. 4 DSGVO). Theoretisch könnten auch sie eine ablehnende Stellungnahme abgeben, was allerdings nicht zu erwarten ist.
Abschließend veröffentlicht die Kommission den Angemessenheitsbeschluss im Amtsblatt der EU (Art. 45 Abs. 8 DSGVO).
Insgesamt betrug die Verfahrensdauer beim bisherigen Privacy Shield ca. ein halbes Jahr (grds. Einigung am 2. Februar 2016; Veröffentlichung im Amtsblatt am 1. August 2016). Es ist zu erwarten, dass das Verfahren für das Trans-Atlantic Data Privacy Framework eher länger dauert, da offensichtlich dessen Details bisher noch nicht exakt festgelegt sind.
Der Widerstand gegen das Trans-Atlantic Data Privacy Framework ist schon jetzt hoch, eine Schrems-III-Entscheidung zeichnet sich ab
Ob das Trans-Atlantic Data Privacy Framework in der so veröffentlichten Form wirklich den Anforderungen des EuGH genügt, kann man mit guten Gründen bezweifeln.
Die Einrichtung eines unabhängigen, quasigerichtlichen Gremiums zur Prüfung von Beschwerden ist zwar geschickt und könnte möglicherweise den Anforderungen des EuGH an einen gerichtlichen Rechtsbehelf genügen (dazu Christakis/Propp/Swire). Es bleibt aber unklar, ob die voraussichtlich sehr allgemein formulierte Executive Order den Anforderungen des EuGH (Urteil v. 16. Juli 2020 – C-311/18, Rn. 176 – Schrems II) an
klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme
genügen wird. Zudem ist anhand der veröffentlichten Dokumente nicht erkennbar, wie die Überwachung durch US-Geheimdienste auf das vom EuGH geforderte „absolut Notwendige“ beschränkt wird.
So wird sich das Schicksal des Trans-Atlantic Data Privacy Framework wieder vor dem EuGH entscheiden. Bürgerrechtsorganisationen wie das von Max Schrems geleitete noyb haben bereits das Trans-Atlantic Data Privacy Framework kritisiert. Es ist unklar, ob es tatsächlich, wie von noyb angekündigt, gelingen wird, den neuen Angemessenheitsbeschluss in wenigen Monaten zum EuGH zu bringen. Auch beim bisherigen Privacy Shield Framework wurde die erste Klage bereits anderthalb Monate nach Veröffentlichung des Angemessenheitsbeschlusses erhoben, während dieser erst nach fast vier Jahren auf Basis einer anderen Klage aufgehoben wurde. Safe Harbor war sogar 15 Jahre in Kraft.
Fazit: Und täglich grüßt das Murmeltier im Datenschutzrecht
Nach Safe Harbor und Privacy Shield versuchen EU und USA nun zum dritten Mal, einen Kompromiss zwischen dem hohen Schutzstandard des europäischen Datenschutzrechts und der politisch weiterhin gewollten amerikanischen Massenüberwachung zu finden. Dass dieser Versuch rechtlich zum Scheitern verurteilt ist, liegt auf der Hand. Politisch ist es aber stets für die EU-Kommission opportun, die wirtschaftlich bedeutsamen Datentransfers in die USA durch einen Angemessenheitsbeschluss rechtssicher zu ermöglichen.
Bis zum endgültigen Angemessenheitsbeschluss müssen Verantwortliche weiterhin Datentransfers mit anderen Transfermechanismen absichern, insbesondere mit Standardvertragsklauseln.
Auch danach sollten Verantwortliche weiterhin Standardvertragsklauseln mit US-Unternehmen abschließen, um für das hohe Risiko einer Aufhebung vorzusorgen. So können sie Schrems III mit weniger Sorgen entgegensehen.