Es steht eine große Veränderung in Sachen Datenschutz bevor, die das Leben für Unternehmen einfacher machen könnte, wenn die lang ersehnte Version 2.0 des sogenannten “Privacy Shield” bald Wirklichkeit wird.

Laut der US-Regierung sind alle Bedingungen für dieses neue Datenschutzabkommen zwischen den USA und der EU erfüllt. Positive Rückmeldungen hierzu gibt es bereits auch aus Europa. Dies könnte das Ende von komplizierten Datenschutzklauseln und aufwendigen Risikoanalysen bedeuten, die derzeit den Datenaustausch zwischen den Kontinenten erschweren.

Safe Harbor, Privacy Shield, Data Privacy Framework und Standarddatenschutzklauseln

Seit einigen Jahren sind der Transfer und Schutz personenbezogener Daten in die USA ein heiß diskutiertes Thema. Bereits im Juli 2020 brachte der Europäische Gerichtshof (EuGH) den sogenannten “Privacy Shield” zu Fall, ein Abkommen zwischen der EU und den USA, das den Datenaustausch regulierte. Der Grund: US-Unternehmen konnten die Datenschutzgarantien, die das Abkommen vorsah, in der Praxis nicht einhalten. Der österreichische Datenschutzaktivist Maximilian Schrems hatte dabei eine maßgebliche Rolle gespielt und diesen Sieg errungen. Bereits das Vorgängerabkommen, das “Safe-Harbor-Abkommen”, war aus ähnlichen Gründen gescheitert.

Nach dem Aus des “Privacy Shield” dienten die sogenannten Standarddatenschutzklauseln (SCC) als Notlösung. Diese Klauseln sichern den Datentransfer außerhalb der EU bzw. des EWR. Allerdings ist damit keine absolute Rechtssicherheit gewährleistet, da eine ausführliche Risikoanalyse – das sogenannte Transfer Impact Assessment – im Vorfeld der Datenübermittlung durchgeführt werden muss. Trotzdem ist das Interesse an einer rechtssicheren Datenübermittlung in die USA groß, da viele europäische Unternehmen auf Dienstleistungen aus den USA angewiesen sind.

Ist das Data Privacy Framework die Lösung?

Im März 2022 keimte jedoch Hoffnung auf: Ursula von der Leyen, die Präsidentin der Europäischen Kommission, kündigte an, dass ein neuer Rechtsrahmen für den transatlantischen Datentransfer in Arbeit sei. In diesem Zusammenhang wurde im Oktober 2022 eine Verfügung des US-Präsidenten Joe Biden erlassen, die den Geheimdiensten Vorschriften für die Verarbeitung von Daten auferlegt. Massenüberwachung ist nun stärker an konkrete Anlässe gebunden.

Allerdings wurde im Februar dieses Jahres Kritik am Entwurf des neuen Rechtsrahmens geäußert, da unabhängige Kontrollen und Überprüfungen des Datenschutzes nicht ausreichend vorgesehen sind. Die Einrichtung eines speziellen Gerichts für Datenschutzfragen, des “Data Protection Review Court”, wurde jedoch begrüßt.

Die US-Regierung ist der Ansicht, alle europäischen Anforderungen erfüllt zu haben. Die Handelsministerin der USA, Gina Raimondo, äußerte sich in der vergangenen Woche sehr positiv zu den Entwicklungen. Auch der Europäische Datenschutzausschuss (EDSA) begrüßt die Verbesserungen im aktuellen Entwurf.

Es gibt jedoch weiterhin Bedenken hinsichtlich der tatsächlichen Umsetzung des Datenschutzrahmens. Insbesondere gibt es Zweifel an Ausnahmeregelungen, die eine Massenerhebung von Daten in den USA ermöglichen könnten. Vor diesem Hintergrund hat der EDSA die EU-Kommission aufgefordert, zu diesen Bedenken Stellung zu beziehen, bevor eine endgültige Entscheidung getroffen wird.

Auch Maximilian Schrems hat seine Bedenken geäußert. Die von ihm gegründete Nichtregierungsorganisation nyob glaubt, dass sich der geplante Rechtsrahmen nicht grundlegend von den vorherigen unterscheidet, die Schrems bereits zu Fall gebracht hat. Es ist daher nicht unwahrscheinlich, dass auch dieses Abkommen vom EuGH gekippt werden könnte.

Fazit

Trotz dieser Unsicherheiten besteht die Möglichkeit, dass das Data Privacy Framework noch in diesem Jahr in Kraft tritt. Viele Unternehmen würden sicherlich aufatmen, da die Datenübermittlung in die USA wieder formal konform mit der DSGVO wäre und aufwendige Risikoanalysen nicht mehr nötig wären. Dennoch ist es entscheidend, dass der rechtliche Rahmen diesmal gründlich und korrekt ausgearbeitet wird, um weitere rechtliche Auseinandersetzungen zu vermeiden.