Alle guten Dinge sind Drei. Nach Safe Harbor und dem Privacy Shield wurde mit dem „Trans-Atlantic Data Privacy Framework“ eine neue Einigung zur transatlantischen Datenübermittlung erzielt. Das neue Datenschutzabkommen ist das Ergebnis intensiver Verhandlungen zwischen der Europäischen Kommission und der USA und wurde am 25. März 2022 in einer gemeinsamen Erklärung verkündet. Das Abkommen soll den transatlantischen Datenverkehr fördern und die vom EuGH in seiner viel beachteten Schrems-II Entscheidung geäußerten Bedenken ausräumen. Die Entscheidung des EuGHs hatte das vorherige Abkommen (bekannt als Privacy Shield) im Juli 2020 zu Fall gebracht und damit die Datenübermittlungen zwischen der EU und den USA erheblich erschwert.

Corona-Test

Die bisher bekannten Fakten zum Trans-Atlantic Data Privacy Framework

Die Europäische Kommission veröffentlichte in ihrem Factsheet folgende Grundprinzipien des Datenschutzabkommens:

  • Auf Basis des neuen Abkommens werden Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
  • Ein neues Regelwerk und verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Damit wird sichergestellt, dass ein Zugriff nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden. Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten.
  • Ein neues zweistufiges Rechtsbehelfsystem soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Zur gerichtlichen Prüfung wird ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
  • Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten. Dazu gehört insbesondere die Verpflichtung, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen.

Das Weiße Haus spricht in ihrer Veröffentlichung von beispiellosen Verpflichtungen, die die USA zur Stärkung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten mit dem Trans-Atlantic Data Privacy Framework eingehen.

Wie geht es weiter?

Die US-Regierung und die Europäische Kommission werden nun ihre Zusammenarbeit fortsetzen und die grundsätzliche Einigung in eine rechtliche Vereinbarung überführen. Die von amerikanischer Seite zu verabschiedende Executive Order wird die Basis für den Erlass eines Angemessenheitsbeschluss nach Art. 45 DSGVO durch die Europäische Kommission sein. Ein zeitlicher Rahmen ist dafür bisher nicht bekannt. Es wird wohl aber noch eine Weile dauern.

 

Bedeutung für die Praxis und Fazit

Für alle EU-Unternehmen, die US-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem Trans-Atlantic Data Privacy Framework eine deutliche Erleichterung in Sicht. Aus wirtschaftlicher Sicht ist diese Entwicklung zu begrüßen. Aber noch ist es nicht so weit! So lange kein Angemessenheitsbeschluss durch die Europäische Kommission erlassen wurde, bleibt der Abschluss von Standardvertragsklauseln und die dafür notwendige Durchführung eines Transfer Impact Assessments die einzige Möglichkeit, personenbezogene Daten regelmäßig in die USA zu übermitteln. Sobald ein Angemessenheitsbeschluss erlassen wurde, können Datenübermittlungen künftig wieder darauf gestützt werden. Anschließend wird die Zukunft zeigen, ob sich das Sprichwort „Alle guten Dinge sind Drei“ wirklich bewahrheitet und der verbesserte Schutz der Daten in den USA einer erneuten Prüfung durch den EuGH standhalten kann.

Julia Kaiser ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.