Die EU und die USA haben weitere Schritte unternommen, den Nachfolger des 2020 für ungültig erklärten „Privacy Shield“ auf den Weg zu bringen. Man habe sich grundsätzlich geeinigt, gaben EU-Kommissionschefin Ursula von der Leyen und US-Präsident Joe Biden am 25. März bekannt.

Das neue „Trans-Atlantic Data Privacy Framework“ soll den transatlantischen Datenaustausch fördern und dabei auf die in Schrems II vom EuGH bemängelten Sachverhalte eingehen. Details der Übereinkunft wurden allerdings nicht genannt und es liegen auch noch keine konkreten Gesetzestexte vor.

Unternehmen begrüßen eine schnelle Regelung, da es seit Schrems II im Juni 2020 – also seit nunmehr fast zwei Jahren – kein gültiges Abkommen für den Transfer personenbezogener Daten in Drittländer gibt.

Rechtssicherheit beim Drittstaatentransfer

Bereits zweimal wurden Abkommen zwischen der EU und den USA getroffen, die Unternehmen die Rechtssicherheit beim Drittstaatentransfer garantieren sollten. Beide sind mittlerweile Geschichte. Das „Safe Harbour“ Abkommen wurde 2015 vom EuGH für ungültig erklärt, das „Privacy Shield“ Abkommen im Jahr 2020. Geklagt hatte jeweils der österreichische Jurist und Datenschutz-Aktivist Max Schrems, die Urteile „Schrems I“ und „Schrems II“ gelten als wegweisend im Datenschutz.

Privacy Shield 2.0: Was ist neu?

Oder besser: ist überhaupt irgendetwas neu? Laut gemeinsamer Ankündigung der EU und der USA soll das Regelwerk eine „beispiellose Verpflichtung“ auf US-Seite sein, Reformen einzuführen, um Privatsphäre und Grundrechte vor amerikanischer Überwachung zu schützen.
Künftig soll eine Überwachung durch amerikanische Geheimdienste nur noch erfolgen, wenn diese aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig ist. Da es aber noch keine entsprechenden Gesetzestexte gibt, lässt sich nicht prüfen, ob die geplanten Regelungen auch mit der DSGVO konform sein werden.

Neuauflage von „Schrems II“?

Entsprechend unzufrieden ist auch Max Schrems: „Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte. Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen.“ Er erklärt weiter: „Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird“.

Was bedeutet das für Unternehmen?

Zunächst wird es wohl noch bis Ende des Jahres dauern, bis die neue Regelung in Kraft tritt. Unternehmen müssen sich also noch gedulden, bis sie mit dieser neuen Rechtsgrundlage Daten in Drittländer transferieren können. Ob und wie lange das neue Abkommen dann Bestand hat, bleibt allerdings abzuwarten.