Der neue Transatlantische Datenschutzrahmen – Rechtssicherheit für den Datenaustausch mit den USA oder ein Fall für Schrems III?

veröffentlicht am 31. März 2022 | Lesedauer ca. 3 Minuten

In einer Pressemitteilung vom 25. März 2022 haben die Vereinigten Staaten^[1] und die Europäische Kommission^[2] bekannt gegeben, dass man sich zu einem neuen Transatlantischen Datenschutzrahmen verpflichtet habe, der den transatlantischen Datenverkehr fördern und die Bedenken ausräumen soll, die der Europäische Gerichtshof in seiner Entscheidung vom 16.7.2020 – C-311/18 („Schrems II”) geäußert hatte.

Die Vereinbarung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen der EU und den USA, nachdem der Europäische Gerichtshof in seiner Schrems II-Entscheidung festgestellt hatte, dass der vorherige Rahmen zwischen der EU und den USA, das so genannte Privacy Shield, den datenschutzrechtlichen Anforderungen der EU nicht genügte.

Zielsetzung und Eckpunkte des neuen transatlantischen Datenschutzrahmens

Mit dem neuen Transatlantischen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework”) soll nach dem Willen der EU und der USA ein wichtiger rechtlicher Rahmen für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten wiederhergestellt werden.

Die Vereinigten Staaten haben sich verpflichtet, neue Schutzmaßnahmen zu ergreifen, um sicherzustellen, dass Spionagetätigkeiten für die Verfolgung bestimmter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.

Der Zugriff auf personenbezogene Daten darf nur dann erfolgen, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich ist, und darf den Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen.

Für Einzelpersonen aus der EU soll ein neuer mehrstufiger Rechtsbehelfsmechanismus geschaffen werden, zu dem auch ein unabhängiges Datenschutzprüfungsgericht gehört, das sich aus Personen zusammensetzt, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Klagen zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen;

Die US-Nachrichtendienste werden Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.

Teilnehmende Unternehmen und Organisationen, die den neuen Transatlantischen Rahmen nutzen, sollen wie bereits unter dem Privacy Shield verpflichtet sein, durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium eine Einhaltung der Grundsätze des neuen Transatlantischen Rahmens zu bestätigen.

Welche Konsequenzen hat dies für den Datenaustausch mit den USA?

Durch den neuen Transatlantischen Rahmen soll der Austausch von personenbezogenen Daten zwischen Europa und den USA (wieder) deutlich erleichtert werden. Eine Vielzahl von Unternehmen in der EU sind auf IT-Dienstleister, insbesondere die großen Hyperscaler in den USA angewiesen, sei es durch die Nutzung von deren Cloud-Diensten, Video-Konferenz-Tools, etc. Auch wenn die Einzelheiten der Umsetzung noch unklar sind, ist dies aus Sicht der Unternehmen in Europa ein wichtiger Schritt hin zu (hoffentlich) mehr Rechtssicherheit betreffend den künftigen Datenaustausch mit den USA.

Konkrete Umsetzung steht noch aus

Bislang handelt es sich lediglich um eine politische Einigung. Details zu dem neuen Transatlantischen Datenschutzrahmen wurden noch nicht bekannt gegeben. Die US-Administration und die Europäischen Kommission werden diese grundsätzliche Einigung nunmehr in rechtlich verbindliche Dokumente überführen. Zu diesem Zweck sollen die Verpflichtungen der USA in eine Executive Order aufgenommen werden, die dann die Grundlage für die Bewertung der Kommission in ihrer künftigen Angemessenheitsentscheidung bilden wird.

Ausblick

Auch wenn die Vereinigten Staaten mitgeteilt haben, mit dem Transatlantischen Datenschutzrahmen beispiellose Verpflichtungen eingegangen zu sein, zur Stärkung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten im Hinblick auf US-Überwachungs- und Spionagetätigkeiten, wird es entscheidend darauf ankommen ob es gelingt die Anforderungen, die der Europäische Gerichtshof in seiner Schrems II-Entscheidung aufgestellt hat, umzusetzen.

Problematisch erscheint prima facie zumindest der Weg der Umsetzung über den Erlass einer sogenannten Executive Order. Denn als solche haben diese grundsätzlich keine Außenwirkung und können – soweit ersichtlich – bislang auch nicht gerichtlich geltend gemacht werden.

Sollte es nicht gelingen die (hohen) Anforderungen der Schrems II-Entscheidung in ausreichendem Maße zu berücksichtigen, wird auch der neue Transatlantische Datenschutzrahmen im Rahmen einer sich dann abzeichnenden „Schrems III”-Entscheidung der Überprüfung durch den Europäischen Gerichtshof nicht standhalten.

[1] Quelle: Fact Sheet: United States and European Commission Announce Trans-Atlantic Data Privacy Framework

[2] Quelle: Trans-Atlantic Data Privacy Framework