Der Weg zum Privacy Shield II

Author Image Tobias Struebing | 22. Februar 2023 | 0 Kommentare

Datenübermittlungen in die USA sind für viele Unternehmen wichtiger denn je. Tragfähige Rechtsgrundlagen hierfür fehlen jedoch zum Teil. Gerade Praktiker warten deshalb dringend auf den „Privacy Shield II“. Lesen Sie, was es damit auf sich hat und wann dieser „Schild“ verfügbar sein könnte.

Angemessenheitsbeschluss heißt das Zauberwort

Die USA sind in der Sprache der Datenschutz-Grundverordnung (DSGVO) ein Drittland, also ein Land außerhalb des Geltungsbereichs der DSGVO. Datenübermittlungen dorthin sind zulässig, wenn die Europäische Kommission beschlossen hat, dass dort ein angemessenes Schutzniveau herrscht. Sobald ein solcher Beschluss vorliegt, bedürfen Datenübermittlungen keiner besonderen Genehmigung durch die Aufsichtsbehörden. So regelt es Art. 45 Abs. 1 DSGVO.

Mit dem Privacy Shield I war etwa vier Jahre lang alles gut

Eine solchen Beschluss der Europäischen Kommission gab es tatsächlich schon einmal. Er betraf den „Privacy Shield I“. Dabei handelte es sich um Datenschutzvorkehrungen, die zwischen der EU und den USA für Datenübermittlungen in die USA vereinbart worden waren. Mitte Juli 2016 fasste die Europäische Kommission auf ihrer Basis einen Angemessenheitsbeschluss. Er hielt fast auf den Tag genau vier Jahre. Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Beschluss allerdings für nichtig. Das geschah durch das Urteil „Schrems II“.

Seit 2020 bemüht man sich um einen Privacy Shield II

Seither herrscht eine gewisse rechtliche Konfusion. Natürlich gibt es durchaus noch einige andere Rechtsgrundlagen für Datenübermittlungen in die USA, etwa eine Einwilligung des Betroffenen. Sie verursachen aber viel Aufwand und sind für eine Übermittlung von Daten vieler Personen praktisch fast nicht zu handhaben. Deshalb haben die USA und die EU nach der Entscheidung „Schrems II“ sofort damit begonnen, den für nichtig erklärten „Privacy Shield I“ durch einen „Privacy Shield II“ zu ersetzen. Diese Bemühungen sind jetzt in ein entscheidendes Stadium getreten.

Dem EuGH missfielen am Privacy Shield I zwei zentrale Punkte

Den EuGH störten am „Privacy Shield I“ vor allem zwei Dinge:

  • Zum einen monierte er, dass die US-Geheimdienste nach dem Recht der USA in keiner Weise an den Grundsatz der Verhältnismäßigkeit gebunden sind, wenn sie personenbezogene Daten erheben.
  • Zum anderen rügte er, dass Nicht-US-Bürger gemäß dem Recht der USA keinerlei Rechtsschutz gegen derartige Datenerhebungen hätten.

US-Präsident Biden hat mit einer Executive Order reagiert

Die USA haben sich vom Prinzip her bereit erklärt, diese beiden Schwachstellen zu beheben. Das ist nach dem Recht der USA allerdings gar nicht so einfach. Beschritten wurde der Weg, dass US-Präsident Biden am 07.10.2022 eine sogenannte „Executive Order“ erlassen hat. Dabei handelt es sich um eine verbindliche Anweisung des Präsidenten an alle US-Bundesbehörden. Damit gilt sie auch für alle US-Geheimdienste. Denn Geheimdienste gibt es in den USA nur auf Bundesebene.

Die Executive Order legt den Geheimdiensten gewisse Fesseln an

Bisher konnten die US-Geheimdienste selbst entscheiden, welche Maßnahmen zur Beschaffung und Auswertung von Daten sie für erforderlich hielten. Künftig müssen sie jedes Jahr im Voraus eine Art Rahmenplan erstellen. Er bedarf der Billigung durch den jeweiligen US-Präsidenten. Veröffentlicht wird er jedoch selbstverständlich nicht. Zugleich hat die Executive Order eine Institution eingerichtet, die sie als „Data Protection Review Court“ bezeichnet. Dieses „Gericht“ soll auch Nicht-US-Bürgern Rechtsschutz gewähren.

Jetzt ist die Europäische Kommission am Zug

Nun liegt der Ball, bildlich gesprochen, bei der Europäischen Kommission. Sie muss sich darüber einig werden, ob die getroffenen Maßnahmen der USA ausreichen, um einen Angemessenheitsbeschluss erlassen zu können. Erst wenn das geschehen ist, hat die Praxis wieder eine Rechtsgrundlage, die in ihrer Wirkung dem früheren Privacy Shield I entspricht. Die Diskussion darüber, ob ein solcher Angemessenheitsbeschluss möglich ist, läuft im Augenblick. Einbezogen sind dabei intern auch die Aufsichtsbehörden der EU-Mitgliedstaaten. Belastbare Ergebnisse sind noch nicht bekannt.

Möglicherweise gibt es im April 2023 den Durchbruch

Selbstverständlich gibt es Stimmen, die den jetzt gewählten Lösungsansatz kritisieren. Mit an der Spitze steht dabei Herr Schrems, Rechtsanwalt in Österreich, nach dem gleich zwei EuGH-Urteile benannt sind. In Brüssel ist zu hören, dass man sich bis etwa April 2023 einen Angemessenheitsbeschluss zutraut. Die Praktiker in den Unternehmen wären mit Sicherheit begeistert, wenn dies gelingen würde.

Neueste Beiträge

Navigieren per Smartphone: praktisch oder riskant?
Heimliche Aufzeichnung von Gesprächen?
Das sind die Ziele der Cyberkriminellen: Ihre Daten!
Spielregeln für den Umgang mit Datenpannen
Mit Cookie-Bannern richtig umgehen
Gepostet in

Hinterlassen Sie einen Kommentar