deepagopi2011 - Fotolia

Datenschutz: Wie es um den Privacy-Shield-Nachfolger steht

Mit einen Dekret des US-Präsidenten ist ein weiterer Schritt getan in Richtung Nachfolgeabkommen für den gekippten Privacy Shield. Doch Datenschützer warnen bereits vor Problemen.

Wir erinnern uns: Am 25. März 2022 hatten EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden bekannt gegeben, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben. Der neue Rahmen soll den transatlantischen Datenverkehr fördern und den vom Gerichtshof der Europäischen Union (EuGH) im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken Rechnung tragen.

Ende September 2022 erklärte eco Vorstandsvorsitzender Oliver Süme: „Nach den zuletzt gescheiterten Versuchen zur Vereinbarung eines Nachfolgeabkommens zum EU-US Privacy Shield muss nun endlich Bewegung in die Sache kommen. Die Zeit läuft uns davon, denn die Standardvertragsklauseln, auf die sich Unternehmen seit dem Wegfall des EU-US Privacy Shields stützen müssen, sind oftmals mit großer Rechtsunsicherheit verbunden. Viele Unternehmen müssen im schlechtesten Fall mit Bußgeldern und Übertragungsverboten rechnen, wenn sie personenbezogene Daten ohne ausreichende Rechtsgrundlage aus der EU in die USA transferieren.“

Am 7.10.22 kam nun Bewegung in Richtung Privacy-Shield-Nachfolgeabkommen: US-Präsident Biden unterzeichnete ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU.

Dieses Dekret wird teils begrüßt, aber auch kritisch gesehen mit Blick auf die Schaffung einer neuen rechtlichen Grundlage für den EU-US-Datenverkehr.

Nicht nur die EU-Kommission begrüßt die aktuelle Entwicklung

Die EU-Kommission selbst hat das von US-Präsident Joe Biden unterzeichnete Dekret für den neuen transatlantischen Datenschutzrahmen begrüßt. Der Erlass „Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten" setzt zusammen mit den vom US-Generalstaatsanwalt erlassenen Verordnungen die im März erzielte Grundsatzvereinbarung zum Transatlantischen Datenschutzrahmen in US-Recht um, so die EU-Kommission.

Die Europäische Kommission wird nun einen Entwurf für einen Angemessenheitsbeschluss ausarbeiten, auf dessen Basis personenbezogene Daten auf der Grundlage starker Schutzgarantien ungehindert zwischen der EU und den USA fließen können sollen.

Positiv äußerte sich auch zum Beispiel Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Die Executive Order von US-Präsident Joe Biden ist ein klarer Fortschritt für die Absicherung internationaler Datentransfers. Für die Datentransfers zwischen der EU und den USA brauchen wir dringend ein Nachfolgeabkommen zum Privacy Shield. Die derzeit notwendigen Einzelfallprüfungen sind für die Wirtschaft nach wie vor eine große Belastung, insbesondere für kleine und mittelständische Unternehmen.“

Susanne Dehmel weist aber auch auf weiteren Handlungsbedarf hin: „Nach der Executive Order gilt es, den politischen Willen für eine Lösung rasch in eine belastbare rechtliche Regelung zu überführen, die auch einer künftigen gerichtlichen Überprüfung standhält. Die Unternehmen brauchen Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann.“

Ähnlich bewertet dies eco-Vorstandsvorsitzender Oliver Süme: „Wir begrüßen sehr, dass heute in Washington eine Lösung für die rechtssichere Übertragung personenbezogener Daten aus der EU in die USA präsentiert wurde, die auch versucht den Anforderungen der Vorgaben des Europäischen Gerichtshofs Rechnung zu tragen. Für die digitale Wirtschaft, insbesondere für viele kleine und mittelständische Unternehmen, könnte damit endlich ein stabiles Fundament für den rechtssicheren Datenaustausch auf internationaler Ebene gelegt werden. Damit würde die bisherige Zitterpartie endlich beendet, Rechtssicherheit und Verlässlichkeit bei den Unternehmen geschaffen.“

Oliver Süme erklärt zudem, was der Verband der Internetwirtschaft nun erwartet: „Jetzt muss die Europäische Kommission zügig die erforderlichen Schritte einleiten, damit das Abkommen in Kraft treten kann. Bis dahin sollten sich die Datenschutzbehörden klar positionieren, die vorliegende Lösung anerkennen und bis zur Inkraftsetzung unbedingt auf Bußgeldverfahren oder etwaige Übertragungsverbote bei den Unternehmen verzichten.“

Was aber sagen die Datenschutzaufsichtsbehörden dazu?

Ulrich Kelber, der das Amt des Bundesdatenschutzbeauftragten bekleidet, meldete sich auf Twitter zu Wort: „Weil nachgefragt wurde: Wir Aufsichtsbehörden in der EU werden - nach eingehender Prüfung - eine öffentliche Einschätzung abgeben, wenn die EU-Kommission eine Adequanz-Entscheidung für Datenverkehr EU <-> USA abgeben sollte, so ist es gesetzlich vorgesehen …“

Offensichtlich müssen sich die Unternehmen noch gedulden, ob denn in absehbarer Zukunft ein haltbares Privacy-Shield-Nachfolgeabkommen zustande kommt. Bis ein neues Abkommen endgültig fixiert ist, können noch weitere sechs Monate vergehen, so eine Einschätzung des Verbands der Internetwirtschaft.

Kritik von Datenschützern gibt es aber bereits

Ob dann allerdings ein Abkommen entstanden ist, das einer möglichen Überprüfung durch den EuGH standhalten würde, dass sehen Datenschützer eher kritisch.

Max Schrems, Vorsitzender von noyb.eu, erklärte: „Die EU und die USA sind sich über den Begriff 'verhältnismäßig' einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will.“

Es stellt sich zudem die Frage, ob das neue Abkommen kritische Punkte berücksichtigt, die ein Gutachten im Auftrag der Datenschutzaufsichtsbehörden von Professor Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, darlegt. Das Gutachten zeigte, dass zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, datenschutzrechtlich problematisch sein können. Es bleibt abzuwarten, was ein mögliches, neues Abkommen daran ändern kann und wird.

Erfahren Sie mehr über Datenschutz und Compliance

ComputerWeekly.de
Close