Report: Wie steht es um den Nachfolger für Privacy Shield?

Die Wirtschaft ist auf Datentransfers ins Nicht-EU-Ausland angewiesen

Wir erinnern uns: Mit dem Wegfall des Privacy Shields durch das Schrems-II-Urteil des EuGH ist die wichtigste Basis für den EU-US-Datenaustausch weggefallen. Dabei spielen internationale Datentransfers ins Nicht-EU-Ausland für die deutsche Wirtschaft eine große Rolle.

Die Gründe für internationale Datentransfers ins Nicht-EU-Ausland sind vielfältig, so eine Umfrage des Digitalverbands Bitkom. 9 von 10 Unternehmen (85 Prozent) nutzen Cloud-Angebote, die Daten außerhalb der EU speichern, zwei Drittel (68 Prozent) nutzen weltweit Dienstleister, etwa für einen 24/7-Security-Support. Die Hälfte (52 Prozent) setzt Kommunikationssysteme ein, die Daten außerhalb der EU speichern, jedes Fünfte (22 Prozent) hat Standorte außerhalb der EU. 13 Prozent arbeiten mit Partnern im Nicht-EU-Ausland zusammen, etwa bei Forschung und Entwicklung.

Wenn personenbezogene Daten nicht mehr außerhalb der EU verarbeitet werden könnten, dann hätte das gravierende Auswirkungen auf die Unternehmen und die deutsche Wirtschaft insgesamt „Datentransfers in Nicht-EU-Länder sind für die deutsche Wirtschaft so wichtig wie internationale Lieferketten. Es geht hier nicht um ein Nice-to-have, sondern um den Kern einer zunehmend digitalisierten Wirtschaft im 21. Jahrhundert“, sagte Susanne Dehmel, Geschäftsleiterin Bitkom. Nun scheint die Politik einen Rahmen zu schaffen, der Rechtssicherheit für die Unternehmen zurückbringt.

EU-Kommission und USA einigen sich auf neuen transatlantischen Datenschutzrahmen

Die EU-Kommission und die Vereinigten Staaten haben sich im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt, meldete die EU-Kommission Ende März 2022. Der neue Datenschutzrahmen soll den transatlantischen Datenverkehr fördern und die vom Gerichtshof der Europäischen Union in der Schrems II-Entscheidung vom Juli 2020 geäußerten Bedenken ausräumen. Die USA verpflichten sich darin zu Reformen, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten im Zusammenhang mit nachrichtendienstlichen Aktivitäten stärken.

Im Rahmen des transatlantischen Datenschutzrahmens wollen die Vereinigten Staaten neue Garantien einführen, um sicherzustellen, dass die Signalüberwachung zur Verfolgung der festgelegten Ziele der nationalen Sicherheit notwendig und verhältnismäßig ist, einen zweistufigen unabhängigen Rechtsbehelfsmechanismus mit verbindlichen Befugnissen zur Anordnung von Abhilfemaßnahmen einrichten und die strenge und mehrschichtige Aufsicht über Signalüberwachungsmaßnahmen verbessern, um die Einhaltung der Beschränkungen für Überwachungsmaßnahmen sicherzustellen.

Die Reaktionen auf diese Meldung ließen nicht lange auf sich warten.

Positive Signale werden begrüßt

„Ich begrüße, dass nach den zuletzt gescheiterten Versuchen zur Errichtung eines Nachfolgeabkommens zum EU-US Privacy Shield nun wieder Bewegung in die Sache kommt und es offensichtlich auf beiden Seiten des Atlantiks die ernsthafte Absicht zu einer zeitnahen Lösung gibt“, erklärte eco Vorstandsvorsitzender Oliver Süme. „Rechtssicherheit beim Austausch von Daten zwischen EU und USA ist eine wichtige Grundvoraussetzung für viele datengetriebene Geschäftsmodelle und damit ein wichtiger Baustein für eine gelingende digitale Transformation. Für die deutsche Wirtschaft, insbesondere für viele kleine und mittelständische Unternehmen, ist eine verlässliche Grundlage für den rechtskonformen Austausch von Daten zwischen der EU und den USA unerlässlich. Wir hoffen, dass die positiven Signale auf beiden Seiten nun zu einer baldigen Ratifizierung des Abkommens führen, das den Anforderungen der Vorgaben des Europäischen Gerichtshofs Rechnung trägt.“

Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom, sieht dies ähnlich: „Bitkom begrüßt die Ankündigung der EU-Kommission, dass eine grundsätzliche politische Einigung mit den USA über einen Nachfolger des Privacy Shield erzielt worden ist. Die politische Einigung ist aber nur der dringend notwendige erste Schritt. Jetzt gilt es diesen politischen Willen in eine belastbare rechtliche Regelung zu überführen. Die Unternehmen brauchen rasch Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann.“

Was die Datenschützer dazu sagen

Auch die Aufsichtsbehörden für den Datenschutz machen deutlich, dass es noch keine neue rechtliche Grundlage gibt, die Ankündigung über eine Einigung nicht ausreicht. „Die EU-Kommission und die USA haben sich über die erste Basis geeinigt, auf deren Grundlage möglicherweise ein künftiger Angemessenheitsbeschluss der EU-Kommission ergehen könnte“, so die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Fest steht also: Die EU-Kommission und die USA haben sich prinzipiell auf einen Nachfolger für das „Privacy Shield“ geeinigt. Auf dieser Grundlage könnte die EU-Kommission später beschließen, dass die USA insoweit ein angemessenes Datenschutzniveau bieten. Aber erst dann könnten personenbezogene Daten in die USA exportiert werden, ohne dass andere besondere Bedingungen erfüllt sein müssen, insbesondere geeignete Garantien und zusätzliche Maßnahmen.

Auf die Frage, ob Daten jetzt wieder einfach in die USA übermittelt werden können, sagt die Landesdatenschutzbeauftragte ganz klar: „Nein. Es gibt noch keinen Angemessenheitsbeschluss für die USA. Die EU-Kommission und die USA haben sich bisher nur prinzipiell geeinigt. Über den Zeithorizont für das weitere Vorgehen ist nichts bekannt“.

Die nächsten Schritte seien nun, dass die grundsätzlich erreichte Vereinbarung verschriftlicht und von beiden Seiten akzeptiert werden müsse, die USA die Grundsätze der Einigung in ihrem Recht umsetzen (Executive Order), die EU-Kommission auf dieser Grundlage einen Entwurf für einen Angemessenheitsbeschluss erstellt, der Europäische Datenschutzausschuss eine Stellungnahme zu dem Entwurf abgibt und die EU-Kommission gegebenenfalls den Angemessenheitsbeschluss fasst.

Das klingt nach einem langen Weg. Die EU-Kommission erklärt das weitere Vorgehen so: „Die Teams der US-Regierung und der Europäischen Kommission werden nun ihre Zusammenarbeit fortsetzen, um diese Vereinbarung in Rechtsdokumente umzusetzen, die auf beiden Seiten verabschiedet werden müssen, um diesen neuen transatlantischen Datenschutzrahmen in Kraft zu setzen.“

Bis zu diesem Zeitpunkt kann also kein Datentransfer in die USA auf einen Nachfolger des Privacy Shield setzen, es müssen weiterhin andere Rechtsgrundlagen gefunden werden, wie eine Übermittlung auf Grundlage der neu erlassenen Standarddatenschutzklauseln von 2021 mit den notwendigen technischen und organisatorischen Ergänzungen. Die Verwendung der alten Standardvertragsklauseln ist nur noch bis zum Ende der Übergangsfrist am 27.12.2022 zulässig, betonte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.