Mit dem neuen Transatlantic Data Privacy Framework (auch als Transatlantischer Datenschutzrahmenvertrag bekannt) soll die Datenübermittlung in die USA vereinfacht – und das Datenschutzniveau für Betroffene verbessert werden.
Wir erklären, was es mit dem Transatlantischen Datenschutzrahmenvertrag auf sich hat und welche Änderungen sich daraus für Unternehmen ergeben könnten.
In diesem Beitrag
- Ein kurzer Ausflug in die Geschichte des Datentransfers in die USA
- Was ist das neue Transatlantic Data Privacy Framework?
- Was sind dir wichtigsten Inhalte des neuen Abkommens?
- Die wichtigsten Änderungen im Rahmen des Transatlantic Data Privacy Frameworks
- Was verändert das Transatlantic Data Privacy Framework am transatlantischen Datenaustausch?
- So geht es weiter
- Zusammenfassung
Das Wichtigste in Kürze
- Seit Juli 2020 erklärte der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (das sog. EU-US-Privacy-Schield-Abkommen) für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Unternehmen seitdem bedeutend komplizierter gestaltet.
- Unternehmen müssen für einen datenschutzkonformen Datentransfer aktuell Standardvertragsklauseln mit ihren Vertragspartnern in den USA abschließen.
- Einer der Hauptgründe für die Entscheidung des EuGH waren allerdings die nationalen Sicherheitsgesetze der USA.
- Standardvertragsklauseln können nichts daran ändern, dass Sicherheitsbehörden/ Nachrichtendienste in den USA weiter Zugriff auf die Daten von EU-Bürgern haben.
- Genau diese Überwachungsmöglichkeiten sollen durch das Transatlantic Data Privacy Framework stark eingeschränkt werden.
- Noch handelt es sich bei dem neuen Abkommen um kein rechtlich verbindliches Dokument und es ist unklar, ob das finale Dokument den datenschutzrechtlichen Anforderungen der EU genügen wird.
- Falls das Abkommen umgesetzt wird wie geplant, wären Betroffene in der EU besser geschützt und Unternehmen könnten fortan auf Standardvertragsklauseln verzichten.
Ein kurzer Ausflug in die Geschichte des Datentransfers in die USA
Bis zum Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das in der EU. Das änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.
Am 16. Juli 2020 erklärte der EuGH den bis dahin bestehenden Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (das sog. EU-US-Privacy-Shield-Abkommen) für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Unternehmen bedeutend komplizierter gestaltet.
Mehr Informationen zum Thema Schrems II finden Sie hier:
- EuGH kippt Privacy Shield: Das müssen Unternehmen jetzt wissen
- Kostenloses Whitepaper: Empfehlungen zum internationalen Datenaustausch nach Schrems II
Empfehlungen zum intern. Datenaustausch
Was gibt es zu beachten, wenn Sie Daten in Drittländer schicken? In unserem Whitepaper erfahren Sie alles, was Sie wissen sollten.
Jetzt kostenlos herunterladenWas ist das neue Transatlantic Data Privacy Framework?
Das Transatlantic Data Privacy Framework ist ein neues Abkommen zwischen den USA und der EU. Ziel ist es, das Datenschutzniveau der USA weit genug anzuheben, um diese wieder als sicheres Drittland einstufen zu können. Das Abkommen ist das Ergebnis langer Verhandlungen zwischen der Europäischen Kommission und den USA. Am 25. März 2022 gaben beide Seiten gemeinsam bekannt:
„Die Europäische Kommission und die Vereinigten Staaten geben bekannt, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben, mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden.“
Was zunächst sehr vielversprechend klingt, ist jedoch noch keine beschlossene Sache. Denn bisher existiert das Transatlantic Data Privacy Framework nicht als rechtlich verbindliches Dokument.
Was sind dir wichtigsten Inhalte des neuen Abkommens?
Maßgeblich für die „Schrems II“-Entscheidung des EuGH waren die Überwachungsgesetzte der USA. Diese sind gleich aus zweierlei Gründen nicht mit den Datenschutzgrundsätzen der EU vereinbar:
- Die Zugriffsmöglichkeiten der US-Nachrichtendienste widersprechen den europäischen Datenschutzanforderungen: Die Überwachungsmethoden der USA unterliegen keiner richterlichen Kontrolle und sind nicht auf das zwingend erforderliche Maß beschränkt.
- Der Rechtsschutz für Betroffene ist unzureichend: Die Gesetze, welche den US-amerikanischen Geheimdiensten gestatten, Verbraucher zu überwachen, sehen nur Rechte für US-Bürger vor, diese Maßnahmen überprüfen zu lassen. Ein Schutz für Unionsbürger gegenüber Geheimdiensten sieht das US-Recht nicht vor.
Und genau diese Überwachungsmöglichkeiten sollen durch das Transatlantic Data Privacy Framework stark eingeschränkt werden.
Die wichtigsten Änderungen im Rahmen des Transatlantic Data Privacy Frameworks:
|
Noch ist unklar, ob das finale Dokument den datenschutzrechtlichen Anforderungen der EU genügen wird. Es gibt für die Übersetzung des Abkommens in nationale Rechtstexte außerdem noch keine Timeline. Nach unserer Einschätzung ist damit frühestens bis Ende des Jahres zu rechnen.
Was verändert das Transatlantic Data Privacy Framework am transatlantischen Datenaustausch?
Aktuell gestaltet sich eine rechtssichere Datenübermittlung personenbezogener Daten in die USA sehr kompliziert. Unternehmen sind meist gezwungen auf zwei der folgenden Möglichkeiten zurückzugreifen:
- Standardvertragsklauseln (SCC) als mögliche Garantie für die Datenübermittlung in die USA. Die Europäische Kommission hat als Reaktion auf das EuGH Urteil Schrems II die Standardvertragsklauseln angepasst und am 4. Juni 2021 die neue Version veröffentlicht. Werden die SCC von beiden Vertragsparteien akzeptiert, ist keine weitere Genehmigung durch die Behörden nötig.
- Binding Corporate Rules (BCR) für den internationalen Datentransfer innerhalb einer Konzerngruppe: Konzerngruppen haben die Möglichkeit, verbindliche interne Datenschutzrichtlinien zu formulieren. Diese sogenannten Binding Corporate Rules müssen dann behördlich genehmigt werden. Nur die wenigsten unternehmen haben die Kapazitäten und Ressourcen von dieser Option Gebrauch zu machen.
Das Problem: Auch SCC und BCR können nichts daran ändern, dass Sicherheitsbehörden in den USA weiter Zugriff auf die Daten von EU-Bürgern haben. Das neue Transatlantic Data Privacy Framework beabsichtigt, dass die USA hier die national erforderlichen Schritte zum Datenschutz ergreifen.
Falls die Vorlage genauso umgesetzt wird wie geplant, wären Betroffene in der EU besser geschützt als bisher. Und Unternehmen könnten sich wieder auf einen Angemessenheitsbeschluss verlassen und auf SCC, BCR oder andere Garantien verzichten.
So geht es weiter
Die Ausarbeitung eines rechtsverbindlichen Dokumentes, mit dem beide Parteien zufrieden sind, könnte sich schwierig gestalten. Es ist unklar, wie viele verbindliche Zugeständnisse die USA machen werden und, ob diese ausreichen werden, um den Vorstellungen der EU zu genügen.
Die nächsten Schritte sehen wie folgt aus:
- Die USA erlassen ein „Executive Order“ (einen Ausführungsbefehl) zur Gründung des sogenannten Data Protection Review Courts, der mögliche Datenschutzverletzungen untersuchen und Bußgelder verhängen kann.
- Danach wird die Europäische Kommission prüfen, ob die Ausführung des Executive Order dem datenschutzrechtlichen Niveau der Europäischen Union entspricht.
- Schließlich wird ein neuer Angemessenheitsbeschluss zugunsten der USA erlassen. Zusätzliche Schritte sind dann im Rahmen des Drittlandtransfers nicht mehr notwendig.
Zusammenfassung
Der neue Transatlantische Datenschutzrahmenvertrag wäre nach Safe Harbor und dem Privacy Shield das dritte Abkommen zwischen der EU und den USA. Ob das Abkommen von Erfolg gekrönt sein und zu einem Angemessenheitsbeschluss führen wird, bleibt abzuwarten.
Insgesamt wäre eine Einschränkung der Überwachungsmöglichkeiten der USA gegenüber EU-Bürgern aus datenschutzrechtlicher Sicht sehr zu begrüßen. Und auch für Unternehmen wäre ein Angemessenheitsbeschluss eine große Erleichterung hinsichtlich des Datentransfers.
Wir halten Sie in jedem Fall auf dem Laufenden! Wenn Sie in der Zwischenzeit Fragen haben, oder Sie das Abkommen sogar direkt betrifft, können Sie jederzeit mit unseren Experten sprechen.