Privacy Shield 2.0? Der Weg ist frei für neues EU-US Datenschutzabkommen

Keyfacts:

• Nach Schrems II ist eine neue Rechtsgrundlage für die sichere Übermittlung personenbezogener Daten in Sicht.
• Es bleibt spannend, ob die vorgesehenen Maßnahmen den Anforderungen des Europäischen Gerichtshofs (EuGH) genügen.
• Europäische Cloud-Kunden setzen bis auf Weiteres auf Standardvertragsklauseln.

Fast konnte man das Aufatmen allerorten hören: Die Ankündigung von US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen, sich grundsätzlich auf einen neuen transatlantischen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework“) geeinigt zu haben, stellt einen Lichtblick für europäische Cloud-Kunden dar. Denn nach langer Zeit zeichnet sich damit erstmals seit dem Schrems II-Urteil des EuGH vom 16. Juli 2020 eine alternative Rechtsgrundlage für die sichere Übermittlung personenbezogener Daten aus der EU in die USA ab.

Setzen Unternehmen derzeit vorwiegend auf Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittländer, könnten diese durch das neue Datenschutzabkommen abgelöst und bestehende Unsicherheiten aufgelöst werden. Dies würde die herrschende Unsicherheit im Markt erheblich reduzieren, die bei Unternehmen beim Einsatz von Public-Cloud-Services durch US-basierte Dienstleister besteht.

Alles neu oder Privacy Shield 2.0?

Als Reaktion auf das 2020 vom EuGH aufgrund mangelnder Schutzvorkehrungen und der strikten Überwachungsgesetze in den USA gekippte Privacy Shield soll das neue Datenschutzabkommen weiterführende Schutzmaßnahmen für einen sicheren Datenverkehr zwischen der EU und den USA schaffen, um den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu gewährleisten. Erreicht werden soll ein der EU gleichwertiges Datenschutzniveau, das Basis für einen Angemessenheitsbeschluss im Sinne eines Privacy Shields 2.0 sein soll. Vor allem folgende Maßnahmen sind hierfür vorgesehen:

• Datenzugriffe von US-Geheim- und Nachrichtendiensten sollen auf ein notwendiges und verhältnismäßiges Maß beschränkt werden. Das soll durch wirksame Kontrollen der neuen Datenschutz- und Bürgerrechtsstandards sichergestellt werden.
• Zudem soll ein zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern hinsichtlich der Verletzung des Schutzes personenbezogener Daten geschaffen werden. Der sogenannte „Data Protection Review Court“ soll unabhängig von der US-Regierung agieren.
• Unternehmen, die aus der EU übermittelte Daten verarbeiten, sollen strengen Anforderungen unterliegen, die eine Selbstzertifizierung beim US-Handelsministerium beinhalten.
• Darüber hinaus sollen Monitoring- und Review-Maßnahmen umgesetzt werden, die allerdings noch nicht näher spezifiziert sind.

Stellt das Trans-Atlantic Data Privacy Framework eine neue und geltende Rechtsgrundlage für Datentransfers in die USA dar?

Damit das Trans-Atlantic Data Privacy Framework eine geltende Rechtsgrundlage für den Datentransfer aus der EU in die USA darstellen kann, bedarf es einer Exekutiventscheidung der Europäischen Kommission, einem sogenannten „Angemessenheitsbeschluss“. Hierfür muss jedoch zunächst die grundsätzliche Einigung in rechtlich bindende Vereinbarungen überführt werden, welche dann die Grundlage für einen möglichen Angemessenheitsbeschluss durch die Europäische Kommission bilden können.

Der erste Schritt in Richtung eines neuen Datenschutzabkommens ist also getan. Gleichwohl die konkrete Ausgestaltung der einzelnen Maßnahmen nun im Rahmen belastbarer rechtlicher Regelungen vorgenommen werden muss, ist eines klar: Das neue Abkommen muss gleichzeitig bedeuten, dass die USA weitreichende Änderungen an ihren Überwachungsgesetzen, wie beispielsweise am „Foreign Intelligence Surveillance Act“ (FISA) und dem „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act) vornehmen müssen, um ein der EU gleichwertiges Datenschutzniveau herzustellen.

Es bleibt also spannend, wie dies tatsächlich umgesetzt wird und ob eine effektive Weiterentwicklung des Privacy Shield-Abkommens in einer Version 2.0 geschaffen wird. Der Anspruch muss sein, dass das Trans-Atlantic Data Privacy Framework den im Schrems II formulierten Anforderungen des EuGH standhält.

Cloud-Kunden nutzen vorerst weiter Standardvertragsklauseln

Wie geht es also weiter? Es ist davon auszugehen, dass die nächsten Verhandlungsschritte noch einige Zeit in Anspruch nehmen werden. Die EU stellt einen Abschluss bis Ende des Jahres in Aussicht.

Das bedeutet, dass europäische Cloud-Kunden vorerst Standardvertragsklauseln nutzen und im Rahmen eines Data Transfer Impact Assessment angemessene technische und organisatorische Maßnahmen ableiten und umsetzen. Unumstritten ist dabei, dass Public-Cloud-Services in der Finanzdienstleistungsbranche nicht mehr wegzudenken sind und das vorgesehene Abkommen den Nutzungsgrad weiter beschleunigen wird.