Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Nachfolger für Privacy Shield beschlossen: EU und USA einigen sich auf Datenschutzabkommen
Nachfolger für Privacy Shield beschlossen :

EU und USA einigen sich auf Datenschutzabkommen

Nachdem der EuGH 2020 das sogenannte „Privacy Shield“, womit eine sichere Datenübermittlung aus der EU in die USA gewährleistet werden sollte, gekippt hat, liegt nun ein neues Datenschutzabkommen auf dem Tisch. Bei seinem Besuch in Brüssel hat US-Präsident Joe Biden mit EU-Kommissionschefin Ursula von der Leyen die Grundsätze für eine Neuregelung festgelegt. Mit dieser soll ein vorhersehbarer und vertrauenswürdiger Datenverkehr zwischen der EU und den USA sichergestellt werden.

Ein geplantes Abkommen zwischen den USA und der EU soll mehr Sicherheit für Daten von EU-Bürgern, die in die vereinigten Staaten exportiert werden, bringen. Die neuen Regelungen stellen einen weiteren Versuch dar, solche Datenübermittlungen rechtssicher und einheitlich zu regeln, nachdem ihr Vorläufer, das sogenannte „Privacy Shield“ vom Europäischen Gerichtshof (EuGH) für europarechtswidrig erklärt wurde.

Rechtsunsicherheit seit Schrems II-Entscheidung

Der erste Versuch, einen sicheren Datentransfer zwischen EU-Staaten und den USA zu ermöglichen, scheiterte 2020, als der EuGH das damalige Datenschutzabkommen Privacy Shield kippte (Urteil vom 16. Juli 2020, Rechtssache C 311/18 – „Schrems II“). Der Grund dafür war, dass das Datenschutzniveau in den USA nicht den Standards des europäischen Datenschutzes entsprach. Insbesondere nahmen die Richter dies bei dem Transfer von Daten europäischer Facebook-Kunden in die USA an. In den vereinigten Staaten haben nämlich die Geheimdienste deutlich weitreichendere Zugriffsmöglichkeiten auf Daten – auch denen von Europäern – als die Geheimdienste in der EU. Aus diesem Grund nahm der EuGH an, dass in den USA kein gleichwertiges Datenschutzniveau gewährleistet werden kann und auch Datenexporteure dafür keine Gewähr leisten können.

Die Folge des EuGH-Urteils war, dass seither keine gesicherte rechtliche Grundlage für Datenübermittlungen in die USA besteht. Einzelne Unternehmen sind daher auf den Abschluss sogenannter „Standardvertragsklauseln“ angewiesen. Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die Datenexporteure beim Transfer von Daten in Drittstaaten abschließen sollen. Sie legen vertraglich fest, dass auch der Datenimporteur das europäische Datenschutzniveau halten muss. Da die Importeure in den USA dies aber nicht uneingeschränkt zusichern können, herrschte für sie in den letzten Jahren große Rechtsunsicherheit. Der Facebook-Konzern Meta befürchtete sogar, dass seine Online-Netzwerke wie Facebook und Instagram in Europa eingestellt werden müssen, sollte keine Nachfolgeregelung zu dem Privacy Shield verabschiedet werden.

Neue Rechtsgrundlage mit dem „Trans-Atlantic Data Privacy Framework“

Während seines Besuches in Brüssel hat sich US-Präsident Joe Biden nun mit EU-Kommissionschefin Ursula von der Leyen auf ein neues Datenschutzabkommen verständigt. In dem sogenannten „Trans-Atlantic Data Privacy Framework“ („TADAP-Framework“) soll die Weitergabe persönlicher Daten an US-Digitalkonzerne neu geregelt werden. Die amerikanische Regierung hat dazu ein Fact Sheet veröffentlicht, in welchem neue Regelungen und Grundsätze erklärt werden.

Unter anderem soll das TADAP-Framework den Schutz der Privatsphäre und der bürgerlichen Freiheitsrechte hinsichtlich US-Geheimdienstaktivitäten durch die Einführung neuer Garantien sicherstellen. Geheimdienste sollen nur dann auf die importierten Daten zugreifen können, wenn dies zur Wahrung berechtigter nationaler Sicherheitsziele notwendig ist und der Schutz der privaten Freiheitsrechte dadurch nicht unverhältnismäßig beeinträchtigt wird.

Auch soll ein neuer Rechtsbehelf für EU-Bürger eingeführt werden, mit dessen Hilfe sie rechtswidrige nachrichtendienstliche Tätigkeiten beanstanden können. Noch nicht ersichtlich ist allerdings, auf welche Weise Bürger überhaupt von solchen Tätigkeiten erfahren sollen. Denkbar ist ein Informations- oder Auskunftsrecht.

Zudem sollen die Aktivitäten des US-Geheimdienstes verstärkt kontrolliert und beaufsichtigt werden. Die US-Nachrichtendienste sollen Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und bürgerlichen Freiheitsrechte gewährleisten.

Das Fact Sheet gibt somit erste Einblicke in die neuen Vorschriften des geplanten Frameworks. Wie diese aber im Einzelfall ausgestaltet und durchgesetzt werden sollen, blieb bisher offen.

Datenschützer sind skeptisch

Während einige Datenschützer durchaus positiv auf das TADAP-Framework reagieren und es für einen hoffnungsvollen Nachfolger des Privacy Shields halten, zeigen sich andere skeptisch. Allen voran der österreichische Datenschutzaktivist Max Schrems: Er zweifelt an der Vereinbarkeit des Abkommens mit EU-Recht. Er kündigte bereits an, in diesem Fall erneut vor den EuGH zu ziehen und das Framework anzufechten. Bisweilen fehlt es aber noch an verbindlichen Rechtsnormen, die nähere Einblicke in das Regelungswerk des Frameworks geben. Denn noch handelt es sich bei dem TADAP-Framework bloß um eine politische Ankündigung. Ein konkreter Gesetzestext liegt noch nicht vor. Ob es dem europäischen Datenschutzniveau standhalten wird, bleibt daher noch abzuwarten.

lpo