Die EU nimmt einen neuen Anlauf, um den transatlantischen Datenverkehr zwischen Europa und den USA auf eine rechtssichere Basis zu stellen. Nachdem der Europäische Gerichtshof (EuGH) die beiden Vorgängerabkommen Safe Harbour (2016) und den Privacy Shield (2020) nach Klagen des österreichischen Datenschutzaktivisten Max Schrems für rechtswidrig erklärt hatte, soll nun ein drittes Regelwerk endlich Rechtssicherheit schaffen.
Bereits im März 2022 hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen überraschend verkündet, man habe eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt. Im Oktober unterzeichnete Biden dann einen Präsidentenerlass mit dem die Bedenken europäischer Datenschützer ausgeräumt werden sollen. Kernpunkte: Für US-Geheimdienste sollen strengere Regeln in Kraft treten, was ihren Zugriff auf Daten aus Europa betrifft. Außerdem sollen EU-Bürger die Möglichkeit bekommen, in den USA gegen mögliche Datenschutzverstöße zu klagen.
An Bidens Dekret, das darüber hinaus durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde, um die darin vereinbarten Verpflichtungen in US-Recht umzusetzen, schließt nun das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA an. Damit sollen "sichere transatlantische Datenströme gefördert und die vom Gerichtshof der Europäischen Union im 'Schrems?II'-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden", heißt es in einer Mitteilung der EU-Kommission Mitte Dezember. Die EU-Gremien kommen zu dem Schluss, "dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden".
US-Unternehmen könnten sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichteten. Dazu zählt aus EU-Sicht beispielsweise die Löschung personenbezogener Daten, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Zudem sollen allen EU-Bürgerinnen und -Bürgern verschiedene Rechtsbehelfe zur Verfügung stehen, wenn deren personenbezogene Daten in einer gegen den Rahmen verstoßenden Art und Weise behandelt werden. Die Rede ist von unentgeltlichen Streitbeilegungsverfahren und einer Schiedsstelle.
Was ist das notwendige und verhältnismäßige Maß?
Darüber hinaus sieht der US-Rechtsrahmen Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere wenn es um Strafverfolgung und die nationale Sicherheit geht. Demzufolge soll der Zugang der US-Nachrichtendienste zu europäischen Daten auf "das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt werden" - was immer das heißen mag. Wer dieses Maß wie definiert, wird nicht weiter spezifiziert.
EU-Bürger sollen außerdem im Falle der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, hieß es. Das schließe auch eine Überprüfung des Datenschutzes durch ein neu geschaffenes Gericht mit ein. Dieses Gericht soll Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen. Zudem soll es verbindliche Abhilfemaßnahmen anordnen können.
Nach Schrems II: So geht rechtskonformer Datenverkehr
EU spricht von strengen Garantien in den USA
"Der heute vorgelegte Beschlussentwurf ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen mit den USA", sagte Didier Reynders, EU-Kommissar für die Justiz. "Unsere Analyse hat ergeben, dass in den USA jetzt strenge Garantien bestehen, die eine sichere Übermittlung personenbezogener Daten zwischen den beiden Seiten des Atlantiks ermöglichen." Der künftige Rahmen werde dazu beitragen, die Privatsphäre der Bürgerinnen und Bürger zu schützen und gleichzeitig Rechtssicherheit für die Unternehmen zu schaffen. "Wir warten nun auf die Rückmeldungen des Europäischen Datenschutzausschusses, der Sachverständigen der Mitgliedstaaten und des Europäischen Parlaments."
Die EU-Kommission hat ihren Angemessenheitsbeschluss bereits dem Europäischen Datenschutzausschuss (EDSA) vorgelegt. Anschließend muss noch ein Ausschuss zustimmen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat auch das Europäische Parlament ein Recht, Angemessenheitsbeschlüsse der Kommission zu prüfen. Ist dieses Prozedere abgeschlossen, kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen.
Wirtschaft fordert schnelle Ratifizierung
Ob und wie der neue Datenschutzrahmen EU-USA funktioniert, soll regelmäßig gemeinsam von der Europäischen Kommission und den europäischen Datenschutzbehörden sowie von den zuständigen US-Behörden überprüft werden. Die erste Prüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, hieß es. Dabei gelte es zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.
Auf Seiten der Wirtschaft hofft man, endlich Rechtssicherheit zu erhalten. "Ich begrüße, dass mit der Entscheidung der EU- Kommission jetzt ein weiterer Schritt hin zu einer verlässlichen Lösung beim transatlantischen Datenaustausch gegangen wurde und hoffe darauf, dass es Anfang 2023 zu einer zeitnahen Entscheidung beim EU-U.S. Data Privacy Framework kommt", sagte Oliver Süme, Vorstandsvorsitzender des eco-Verbands. Insbesondere für viele kleine und mittelständische Unternehmen in Europa sei ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle und eine gelingende digitale Transformation. "Die positiven Signale auf beiden Seiten des Atlantiks müssen nun zu einer schnellen Ratifizierung des Abkommens führen, das den kritischen Anforderungen aller angemessen Rechnung trägt und die bisherige Zitterpartie für die Digitalbranche endlich beendet."
Max Schrems: Kernforderungen des EuGH nicht erfüllt
Damit ist jedoch nicht zu rechnen. Der Datenschutzverein noyb mit seinem Vorstandsvorsitzenden Schrems hat bereits angekündigt, rechtliche Schritte zu prüfen. Aus Sicht der Datenschützer würden die Kernforderungen des EuGH auch im neuen Abkommen nicht erfüllt - dass die Überwachung durch die USA verhältnismäßig bleibe und der Zugang zu Rechtsmitteln gewährleistet sei. Aus Sicht des noyb habe sich die Situation nicht wesentlich geändert. "Es gibt weiterhin Massenüberwachung und es wurde ein "Gericht" eingeführt, bei dem es sich nicht um ein tatsächliches Gericht handelt", heißt es in einer Mitteilung des Vereins.
Die Änderungen im US-Recht scheinen minimal, kritisieren die Datenschützer. Bidens Dekret schütze Nicht-US-Personen nicht ausreichend vor Überwachung. "Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird", sagt Schrems. "Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen."