Das „Trans-Atlantic Data Privacy Framework“ – oder: Wann kommt „Schrems 3“?

Ok, die gute Nachricht zuerst (und nein, es ist kein Aprilscherz): Die USA haben begriffen, dass es so wie in der Vergangenheit nicht weitergehen kann. Aktuell leiden sämtliche europäischen Unternehmen unter den Folgen des „Schrems-2“ Urteils (mehr zum Urteil siehe hier und zu den Folgen hier, hier, hier und hier). Auch der Leidensdruck der US-amerikanischen Wirtschaft scheint mittlerweile so stark gestiegen zu sein, dass die US-Regierung sich nun bewegt und zu Zugeständnissen bereit ist.

Von EU-Kommission und US-Regierung gemeinsam wurde nun auf den Seiten der EU-Kommission ein gemeinsames Statement veröffentlicht, in dem das „Trans-Atlantic Data Privacy Framework“ angekündigt wird. Die US-Regierung hat zusätzlich auf ihren Seiten ein Fact-Sheet veröffentlicht. Ein gemeinsames Fact-Sheet findet man ergänzend auf den Seiten der EU-Kommission.

Die gemeinsamen Verhandlungen sollen über ein Jahr gedauert haben.

Offen gesagt existiert bislang aber (zumindest für die Öffentlichkeit zugänglich) nicht viel mehr als diese Ankündigung, die wir als gemeinsame Willenserklärung von EU-Kommission und US-Regierung verstehen. Es werden einige wenige Rahmenbedingungen definiert, auf die man sich geeinigt habe. Diese Rahmenbedingungen lesen sich ein bisschen so, als hätte man die Kritikpunkte des Schrems-2 Urteils genommen und geschrieben: „Das wollen wir zukünftig nicht mehr so machen“.

Durchführungsverordnung und Angemessenheitsbeschluss

Konkret wurde man hauptsächlich bei der Festlegung, wie das ganze zukünftig in geltendes Recht umgesetzt werden soll: Gemäß den Fact-Sheets sollen die (noch im Detail zu bestimmenden) Regelungen als sogenannte Executive Order, also als Durchführungsverordnung des US-Präsidenten umgesetzt werden. Dies hat den großen Vorteil, dass der Präsident nicht auf die Zustimmung der „üblichen“ Gesetzgebungsorgane der USA angewiesen ist und es daher, hat man sich innerhalb der Regierung auf einen Verordnungstext geeinigt (wir gehen davon aus, dass Joe Biden die Executive Order nicht selbst formuliert…), mit der Umsetzung in geltendes Recht schnell gehen kann. Nachteilig ist, dass Executive Orders beispielsweise durch nachfolgende Präsidenten wieder aufgehoben werden können. Darüber hinaus könnte gegen die Executive Order geklagt werden.

Von Seiten der EU soll es dann, sozusagen als Reaktion auf die Executive Order, einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO geben. Die Vermutung, dass es sich um keinen generellen Angemessenheitsbeschluss handeln wird, sondern wieder um einen, der als Voraussetzung die Selbstzertifizierung der US-Unternehmen hat, ist hoch, denn es wird erneut, wie auch schon beim Privacy Shield, von der Selbstzertifizierung der Unternehmen beim US-Handelsministerium gesprochen.

Was soll sich ändern?

Der EuGH bemängelte in seiner „Schrems-2“ Entscheidung unter anderem, dass

  • durch den in den USA herrschenden Rechtsrahmen ein nahezu unkontrollierbarer und unkontrollierter Zugriff der Geheimdienste auf personenbezogene Daten von EU-Bürger*innen genommen werden könne;
  • nicht klar sei, was mit den Daten der EU-Bürger*innen passiere;
  • die EU-Bürger*innen von den Zugriffen auf die Daten nichts erfahren dürften.

Somit bestünden keinerlei Rechtsbehelfsmöglichkeiten für die betroffenen Personen bezüglich der durch die Geheimdienste vorgenommenen Verarbeitungen. Tja, und wie der Zufall es will, geht das gemeinsame Statement von US-Regierung und EU-Kommission auf exakt diese Punkte ein. Die folgenden Ankündigungen wurden gemacht:

  1. Es sollen ein neues Regelwerk und verbindliche Garantien eingeführt werden, „um den Zugriff der US-Geheimdienste auf Daten auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist“. Die US-Geheimdienste sollen „Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten“.
  2. Es soll „ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Geheimdienste, das ein Datenschutzüberprüfungsgericht umfasst“ eingeführt werden.
  3. Darüber hinaus soll es „strenge Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich der Verpflichtung, ihre Einhaltung der Grundsätze gegenüber dem US-Handelsministerium selbst zu zertifizieren“ geben.
  4. Die Einhaltung soll durch „spezifische Überwachungs- und Überprüfungsmechanismen“ sichergestellt werden.

Das liest sich für uns einerseits so, als sollten die Möglichkeiten der Geheimdienste tatsächlich eingeschränkt werden. Wobei Notwendigkeit und Verhältnismäßigkeit zum Schutz der nationalen Sicherheit vermutlich von den beiden Parteien durchaus unterschiedlich umfangreich ausgelegt werden dürften. Insbesondere ist zu erwarten, dass die US-Geheimdienste bei jeder noch so geringen Einschränkung ihrer Möglichkeiten laut aufschreien werden.

Ein zweistufiges Rechtsbehelfssystem für die betroffenen Personen würden wir erst einmal positiv sehen, wobei sich die Frage stellt, was genau damit gemeint ist. Insbesondere das im Statement extra hervorgehobene Datenschutzüberprüfungsgericht lässt uns grübeln, was das wohl sein mag, mit welchen Kompetenzen es ausgestattet sein wird und wo (EU oder USA oder gemeinsam) es angesiedelt sein wird. Darüber hinaus bedeutet das Anrufen eines „echten“ Gerichts üblicherweise Kosten für die betroffenen Personen, was dazu führen könnte, dass dieses Gericht weniger Arbeit bekommt, als eine einfache Schiedsstelle. Vielleicht verstehen wir den Begriff im Statement aber auch falsch.

Was wir in dem veröffentlichten Statement vollkommen vermissen ist eine wie auch immer gestaltete Offenlegungspflicht (oder zumindest die Erlaubnis) der Unternehmen gegenüber den betroffenen EU-Bürger*innen, wenn Zugriffe durch die US-Geheimdienste erfolgen oder – unseres Erachtens besser – wenn entsprechende Anfragen kommen, also bevor der Zugriff erfolgt.

Und wann?

Ein Zeitrahmen wird weder in dem gemeinsamen Statement, noch in den Fact-Sheets genannt. Es ist davon auszugehen, dass beide Seiten bereits an den Details arbeiten. Die EU-Kommission dürfte bereits die Vorbereitungen für den Angemessenheitsbeschluss treffen, selbst wenn der endgültige Text der Regelungen seitens der USA noch nicht steht. Dennoch gehen wir davon aus, dass mit einer kurzfristigen Verabschiedung der Executive Order nicht zu rechnen ist, da (Achtung, wir spekulieren hier) aller Voraussicht nach die Lobbymaschine der Geheimdienste in den USA gerade auf Hochtouren laufen dürfte.

Fazit

Für die Praxis bedeutet die Aussicht auf das Trans-Atlantic Data Privacy Framework aktuell leider erst einmal nichts. Zum einen ist nicht garantiert, dass es jemals zu einem Angemessenheitsbeschluss seitens der EU-Kommission kommt. Zum anderen könnte dies erst in nicht abschätzbarer Zukunft sein. Die für die Verarbeitungen Verantwortlichen in der EU müssen also aktuell weiter mit den sehr großen Einschränkungen und dem Risiko, dass die Aufsichtsbehörden für den Datenschutz andere Auffassungen vertreten, leben. Aktuell ist das Kapitel der Transfer Impact Assessments (TIA) also noch nicht abgeschlossen.

Darüber hinaus besteht eine unseres Erachtens nicht allzu geringe Wahrscheinlichkeit, dass auch gegen das Trans-Atlantic Data Privacy Framework in der Zukunft rechtlich vorgegangen werden könnte (Huhu Herr Schrems!) und dass es mindestens zu zusätzlichen Auflagen kommen könnte. Keinesfalls würden wir die in der Vergangenheit (oder auch aktuell gerade) entstandenen TIAs wegwerfen. Wir könnten uns vorstellen, dass diese auch mit dem Trans-Atlantic Data Privacy Framework noch sinnvoll und hilfreich sein könnten.

Was wir heute schon wissen ist, dass mit Verabschiedung des Trans-Atlantic Data Privacy Framework mindestens die Informationen gemäß Art. 13 und 14 DSGVO und das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) angepasst werden müssen, da dann die Übermittlung in den Drittstaat USA auf anderen Garantien basiert, als dies aktuell der Fall ist.

Sie planen, einen Transfer personenbezogener Daten in einen Drittstaat? Sie möchten Cloud-Dienste nutzen? Melden Sie sich bei uns, wir beraten Sie dabei!