Kommt das Privacy Shield 2.0?

 

US-Präsident Joe Biden hat kürzlich durch eine neue Executive Order den Grundstein für ein neues Datenschutz-Abkommen zwischen den USA und der EU gelegt. Damit könnte sich nach jahrelanger Ungewissheit endlich klären, wie der transatlantische Datentransfer datenschutzkonform vollzogen werden kann. Schließlich kündigte u.a. das US-amerikanische Unternehmen Meta an, seine Dienste Facebook und Instagram nicht länger in der EU anbieten zu können, wenn es zu keiner neuen Vereinbarung käme.

Der Status Quo

Seit der Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Jahre 2020, in dem das Gericht das Privacy-Shield-Abkommen für unrechtmäßig erklärte, existiert keine Vereinbarung, die das Datenschutzniveau der USA an das der Datenschutzgrundverordnung (DSGVO) in der EU angleicht. Der Hauptkritikpunkt am damaligen Abkommen war, dass US-amerikanische Geheimdienste aufgrund des „Foreign Surveillance Protection Acts“ zu weite Zugriffsbefugnisse im Rahmen einer Massenüberwachung auf europäische Daten haben. Gerechtfertigt wurde dies mit der Bekämpfung des Terrorismus und dem Schutz der nationalen Sicherheit.

EU-Bürgern war es zudem unmöglich, in den USA rechtliche Schritte gegen die Erhebung ihrer Daten einzuleiten. Als Nicht-US-Bürger waren sie vor US-amerikanischen Gerichten schlichtweg nicht klagebefugt. Der vierte Verfassungszusatz der USA kennt zwar das Recht auf Privatsphäre, jedoch gilt dies ausschließlich für US-Bürger, sodass sich EU-Bürger nicht darauf berufen können.

Licht am Ende des Tunnels

Bereits im März dieses Jahres verkündeten Präsident Joe Biden und die Präsidentin der Europäischen Kommission Ursula von der Leyen, nach monatelangen Verhandlungen zwischen Vertretern der EU und den USA eine „grundsätzliche Einigung“ getroffen zu haben. Dennoch dauerte es weitere fünf Monate, bis Präsident Joe Biden letzte Woche das Dekret veröffentlichte. Es soll eine neue Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission bieten.

Die Geheimdienste der USA müssen zukünftig belegen, dass ihre Verarbeitung personenbezogener Daten der Gefahrenabwehr diente und verhältnismäßig war. EU-Bürger können bei einer Beschwerdestelle vermeintlich unrechtmäßige Datenverarbeitungen rügen. Zusätzlich werde ein eigens geschaffenes Gericht, der Data Protection Review Court, vor dem nun auch EU-Bürger klagebefugt sein werden, über die Rechtmäßigkeit entscheiden. Beide Seiten haben Zufriedenheit über den getroffenen Kompromiss geäußert.

Prompte Kritik

Kritik am neuen Regelungsversuch ließ nicht lange auf sich warten. Der Jurist und Vorsitzende der Datenschutzorganisation NOYB Max Schrems schätzte die Vorgehensweise so ein, „dass diese ersten Schritte keine Lösungen sind, sondern Schritte in Richtung eines dritten, mangelhaften Abkommens.“

Vor allem wird die unterschiedliche Auslegungsweise in der EU und den USA des neu aufgenommene Begriffs der Verhältnismäßigkeit beanstandet. Es sei nicht geregelt, wie der Begriff zu verstehen sei, sodass nach US-amerikanischer Lesart die Überwachung durch die Geheimdienste weiterhin möglich bliebe. Auch habe die USA ausdrücklich darauf hingewiesen, an ihrer Praxis der Massenüberwachung festzuhalten. Der neu geschaffene Data Protection Review Court sei letztlich kein unabhängiges Gericht, wie es der EuGH verlangte, sondern eine Verwaltungsbehörde der Exekutive, der durch die Bezeichnung als „Court“ der Anstrich eines Gerichts verliehen werden solle.

Schrems kündigte an, das Abkommen von seiner Organisation kritisch prüfen zu lassen. Vermutlich ist auch mit dieser neuen Vereinbarung zwischen der EU und den USA die rechtssichere Datenübermittlung nicht abschließend geregelt. Der EuGH wird sich über kurz oder lang erneut in dieser Sache äußern müssen.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink