Mit dem neuen Trans-Atlantic Data Privacy Framework (auch als Transatlantischer Datenschutzrahmenvertrag bekannt) soll die Datenübermittlung in die USA vereinfacht und das Datenschutzniveau für Betroffene verbessert werden.
Was es mit dem Abkommen auf sich hat und welche Änderungen sich daraus für Unternehmen ergeben könnten, erfahren Sie hier.
Datentransfer in die USA
Bis Juli 2020 galten die Vereinigten Staaten laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU. Dies änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.
Am 16. Juli 2020 erklärte der EuGH den bis dahin bestehenden Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA, das sog. EU-US-Privacy-Shield-Abkommen, für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Unternehmen bedeutend komplizierter gestaltet.
Das neue Trans-Atlantic Data Privacy Framework
Das Trans-Atlantic Data Privacy Framework ist ein neues Abkommen zwischen den USA und der EU. Ziel ist es, das Datenschutzniveau der USA weit genug anzuheben, um dieses wieder als sicheres Drittland einstufen zu können. Das Abkommen ist das Ergebnis langer Verhandlungen zwischen der Europäischen Kommission und den USA.
Am 25. März 2022 verkündeten beide Seiten gemeinsam: „Die Europäische Kommission und die Vereinigten Staaten geben bekannt, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben, mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im „Schrems-II“-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden.“
Was zunächst vielversprechend klingt, ist jedoch noch keine beschlossene Sache. Denn bisher existiert das Trans-Atlantic Data Privacy Framework nicht als rechtlich verbindliches Dokument.
EXTRA: Must-Have Datenschutz: Start-ups und die DSGVO
Die wichtigsten Inhalte des neuen Abkommens
Maßgeblich für die „Schrems II“-Entscheidung des EuGH waren die Überwachungsgesetze der USA. Diese sind gleich aus zweierlei Gründen nicht mit den Datenschutzgrundsätzen der EU vereinbar:
- Die Zugriffsmöglichkeiten der US-Nachrichtendienste widersprechen den europäischen Datenschutzanforderungen.
- Die Gesetze, welche den US-amerikanischen Geheimdiensten gestatten, Verbraucher zu überwachen, sehen nur Rechte für US-Bürger vor, diese Maßnahmen überprüfen zu lassen. Ein Schutz für Unionsbürger gegenüber Geheimdiensten sieht das US-Recht nicht vor.
Diese Überwachungsmöglichkeiten sollen durch das Trans-Atlantic Data Privacy Framework stark eingeschränkt werden.
Die wichtigsten Änderungen im Rahmen des Trans-Atlantic Data Privacy Frameworks
EU-Bürgern soll künftig ein neues Rechtsbehelfsverfahren zur Verfügung gestellt werden. Teil dessen soll ein unabhängiges Datenschutzgericht sein, das sich aus Personen zusammensetzt, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Klagen zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen.
Zudem sollen die US-Geheimdienste Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.
Noch ist unklar, ob das finale Dokument den datenschutzrechtlichen Anforderungen der EU genügen wird. Es gibt für die Übersetzung des Abkommens in nationale Rechtstexte außerdem noch keinen Zeitplan. Vermutlich ist damit frühestens bis Ende 2022 zu rechnen.
Das verändert sich am transatlantischen Datenaustausch
Aktuell gestaltet sich eine rechtssichere Datenübermittlung personenbezogener Daten in die USA sehr kompliziert. Unternehmen sind meist gezwungen auf zwei der folgenden Möglichkeiten zurückzugreifen:
- Standardvertragsklauseln (SCC) als mögliche Garantie für die Datenübermittlung in die USA. Die Europäische Kommission hat als Reaktion auf das EuGH Urteil „Schrems II“ die Standardvertragsklauseln angepasst und am 4. Juni 2021 die neue Version veröffentlicht. Werden die SCC von beiden Vertragsparteien akzeptiert, ist keine weitere Genehmigung durch die Behörden nötig.
- Binding Corporate Rules (BCR) für den internationalen Datentransfer innerhalb einer Konzerngruppe: Konzerngruppen haben die Möglichkeit, verbindliche interne Datenschutzrichtlinien zu formulieren. Diese sogenannten Binding Corporate Rules müssen behördlich genehmigt werden. Nur die wenigsten Unternehmen haben die Kapazitäten und Ressourcen, von dieser Option Gebrauch zu machen.
Das Problem: Auch SCC und BCR können nichts daran ändern, dass die Sicherheitsbehörden in den Staaten weiter Zugriff auf die Daten von EU-Bürgern haben. Das neue Abkommen beabsichtigt jedoch, dass die USA hier die national erforderlichen Schritte zum Datenschutz ergreifen.
Falls die Vorlage genauso umgesetzt wird wie geplant, wären Betroffene in der EU besser geschützt als bisher. Zudem könnten sich die Unternehmen wieder auf einen Angemessenheitsbeschluss verlassen und auf SCC, BCR oder andere Garantien verzichten.
Die nächsten Schritte
Die Ausarbeitung eines rechtsverbindlichen Dokumentes, mit dem beide Parteien zufrieden sind, könnte sich schwierig gestalten. Es ist unklar, wie viele verbindliche Zugeständnisse die Vereinigten Staaten machen werden und, ob diese ausreichen werden, um den Vorstellungen der EU zu genügen.
Die nächsten Schritte sehen wie folgt aus:
- Die USA erlassen ein „Executive Order“ (einen Ausführungsbefehl) zur Gründung des sogenannten Data Protection Review Courts, der mögliche Datenschutzverletzungen untersuchen und Bußgelder verhängen kann.
- Danach wird die Europäische Kommission prüfen, ob die Ausführung des Executive Order dem datenschutzrechtlichen Niveau der Europäischen Union entspricht.
- Schließlich wird ein neuer Angemessenheitsbeschluss zugunsten der USA erlassen. Zusätzliche Schritte sind dann im Rahmen des Drittlandtransfers nicht mehr notwendig.
Der neue Transatlantische Datenschutzrahmenvertrag wäre nach „Safe Harbor“ und dem „Privacy Shield“ das dritte Abkommen zwischen der EU und den USA. Ob es jedoch von Erfolg gekrönt sein und zu einem Angemessenheitsbeschluss führen wird, bleibt abzuwarten.
Ein gutes Logo ist wirklich entscheidend für den ersten Eindruck eines Unternehmens. Ich habe mich selbst schon oft gefragt, welche…
Auch für mich als Freiberufler gestaltet sich die Projektarbeit für Auftraggeber mit zertifiziertem QM sehr viel einfacher und zielführender als…
Ich checke echt nicht, worum der ganze Stress geht. Ghostwriting ist doch einfach nur 'n Job wie jeder andere.