By Dr. David Klein
Am 25. März 2022 teilten die Europäische Kommission und die Vereinigten Staaten von Amerika mit, sich über die Eckpunkte eines neuen Trans-Atlantic Data Privacy Framework (TADPF) geeinigt zu haben. Damit sollen künftig transatlantische Datenflüsse personenbezogener Daten wieder unkompliziert ermöglicht werden. Dies betrifft etwa die Nutzung von US-Cloud-Diensten oder die Übermittlung von personenbezogenen Daten an Konzernzentralen in den USA durch Unternehmen in der Europäischen Union. Bis zur Verabschiedung des TADPF werden allerdings noch einige Monate vergehen.
Zum Hintergrund des TADPF
Das TADPF ist ein neuer Versuch, den transatlantischen Datenverkehr personenbezogener Daten zwischen der EU und den USA auf eine rechtlich sichere Basis zu stellen.
Das europäische Datenschutzrecht verbietet grundsätzlich die Übermittlung von personenbezogenen Daten aus der EU in ein Drittland wie die USA, sofern in diesem Drittland kein angemessener Schutz für diese Daten sichergestellt werden kann. Mit sogenannten Angemessenheitsbeschlüssen kann die Europäische Kommission das Datenschutzniveau eines Drittlands grundsätzlich für ausreichend erklären und so die Übermittlung ermöglichen.
In der Vergangenheit gab es bereits zwei Versuche, einen entsprechenden verbindlichen Rechtsrahmen zu schaffen, die sog. Safe Harbor und Privacy Shield-Abkommen. Doch der Europäische Gerichtshof (EuGH) erklärte in den nach dem Kläger Max Schrems mit „Schrems I“ (C-362/14) und „Schrems II“ (C-311/18) bezeichneten Entscheidungen die Angemessenheitsbeschlüsse aufgrund der Verletzung europäischen Rechts für unwirksam. Wesentliche Kritikpunkte des Gerichts betrafen den fehlenden bzw. eingeschränkten Rechtsschutz der Betroffenen sowie die umfangreichen Zugriffsmöglichkeiten auf die personenbezogenen Daten durch US-Geheimdienste.
Die Eckpunkte des TADPF
Bislang sind nur wenige Eckdaten des TADPF bekannt. Ziel des TADPF soll sein, die vom EuGH adressierten Bedenken durch wirksame Maßnahmen zu beseitigen. Demnach soll der Schutz der Privatsphäre und Freiheitsrechte gegen Zugriffe von US-Geheimdiensten auf Datenströme (signal intelligence, SIGINT) gestärkt, ein neuer Rechtsbehelfsmechanismus mit unabhängiger und verbindlicher Gerichtsbarkeit eingerichtet und die bestehende Aufsicht über SIGINT verbessert werden.
Die US-Seite sagt zur Umsetzung dieser Ziele zu, dass SIGINT nur dann genutzt werden soll, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich sei und der Schutz der Privatsphäre und Freiheitsrechte nicht unverhältnismäßig beeinträchtigt werden. EU-Bürger sollen künftig neue, mehrstufige Rechtsbehelfe nutzen dürfen, einschließlich die Anrufung eines unabhängigen Gerichts zur Überprüfung des Datenschutzes. Dieser Spruchkörper soll sich aus Personen zusammensetzen, die nicht der US-Regierung angehören. Die Befugnisse des neuen Gerichts sollen sich darauf erstrecken, über Ansprüche Betroffener zu entscheiden und erforderlichenfalls Rechtsmittel anzuordnen. Und schließlich sollen die US-Geheimdienste Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und Freiheitsrechte gewährleisten.
Die nächsten Schritte
Bevor nun das TADPF in Vertragsform gegossen werden kann, müssen die USA in Vorleistung gehen und die notwendigen Voraussetzungen schaffen. Ob das neue Abkommen am Ende die erhoffte Rechtssicherheit bieten kann, ist derzeit noch offen. Die europäischen Datenschutzaufsichtsbehörden reagierten mit eher verhaltenem Optimismus auf die Ankündigung der EU-Kommission und des Weißen Hauses, während Max Schrems und NOYB davor warnen, dass das TADPF nicht nur ein politisches Signal sein dürfe. Ansonsten, so Schrems, „the Court of Justice will decide a third time”.
Bis zur Verabschiedung des neuen TADPF müssen europäische Unternehmen bei Übermittlung personenbezogener Daten in die USA auf alternative, zulässige Mechanismen zurückgreifen, etwa die sogenannten Standardvertragsklauseln, sowie geeignete Maßnahmen zum Schutz der Betroffenen ergreifen. Anderenfalls drohen Untersagungsverfügungen und empfindliche Bußgelder der Datenschutzaufsichtsbehörden.
Der Autor:
Dr. David Klein ist Salary Partner im Hamburger Büro von Taylor Wessing. Als Fachanwalt für Informationsrecht berät er Unternehmen aus dem In- und Ausland zu IT-Projekten, Datenschutz und regulierten Technologien. Er ist zertifiziert als Certified Information Privacy Professional/Europe (CIPP/E) und Lehrbeauftragter an der Bucerius Law School, Hamburg und der Universität Liechtenstein.
Weiterführende Links
Pressemitteilungen der Kommission und des Weißen Hauses zum TADPF: https://ec.europa.eu/commission/presscorner/api/files/attachment/872132/Trans-Atlantic%20Data%20Privacy%20Framework.pdf.pdf
Reaktionen zur Ankündigung des TADPF
Europäische Datenschutzaufsichtsbehörden (EDPB):
NOYB:
https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems
Standardvertragsklauseln für die Übermittlung personenbezogener Daten in ein Drittland:
Die Schrems-I- Entscheidung des EuGH:
https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62014CJ0362
Die Schrems-II-Entscheidung des EuGH:
https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62018CJ0311