Transatlantischer Datenschutz – Ein neues Abkommen zwischen EU und USA in Sicht?

In einer globalisierten und digitalisierten Welt wird das Thema Datenschutz nicht nur innerhalb der nationalen oder europäischen Grenzen relevant. Datentransfers in Drittländer, ob privat oder gewerblich, sind an der Tagesordnung. Die USA sind ein solches Drittland, welches nicht an den rechtlichen Rahmen der EU, insbesondere nicht an die Datenschutzgrundverordnung (DSGVO) gebunden ist. Wie jedoch kann das europäische Datenschutzniveau auch für Datentransfers in die USA gesichert werden? Ein Datenschutzabkommen zwischen EU und USA ist die einzige Lösung, die Rechtssicherheit für alle Parteien verspricht. Doch die Ausarbeitung eines solchen Abkommens scheint schwieriger als gedacht.

1. Das Safe Harbour Abkommen

Die Idee eines solchen transatlantischen Datenschutzabkommens ist nicht neu. In der Vergangenheit gab es bereits verschiedene Vereinbarungen und Mechanismen, die jedoch dem Schutzniveau der EU bisher nicht gerecht wurden. Der Datentransfer zwischen EU und USA wurde ursprünglich im Safe Harbour Abkommen geregelt. Das Safe Harbour Abkommen war seit dem Jahr 2000 intakt und beruhte auf einem Beschluss der EU Kommission. Das Abkommen bzw. der Beschluss wurde jedoch 2015 vom EuGH für ungültig erklärt. Begründet wurde die Entscheidung damit, dass bei der Feststellung systemischer Mängel in einem Drittstaat ein Mitgliedsstaat der EU Maßnahmen ergreifen können müsse, um die von der Europäischen Grundrechtscharter geschützten Rechte zu beschützen. Die umfangreiche Sammlung von Daten in den USA ohne wirksamen gerichtlichen Rechtsschutz gefährde diese Grundrechte.

2. Das Privacy Shield Abkommen

Daraufhin wurde das EU-US Privacy Shield Abkommen im Juli 2016 ins Leben gerufen. Grundlage des Abkommens war ein Angemessenheitsbeschluss der Kommission gem. Art. 45 DSGVO. In diesem beschloss die Kommission, dass die USA, unter der Bedingung, dass einige Voraussetzungen erfüllt würden, ein EU-konformes Datenschutzniveau gewährleistete. US Unternehmen konnten dem Abkommen beitreten und sich zur Einhaltung der Voraussetzungen verpflichten, indem sie sich in eine vom US-Handelsministerium geführte Liste eintrugen.

3. Das Shrems II – Urteil

2020 erklärte der EuGH das EU-US Privacy Shield für ungültig. Der EuGH kam aufgrund der in den USA vorherrschenden Geheimdienstbefugnisse und Überwachungsgesetze zu dem Ergebnis, dass das europäische Datenschutzniveau nicht aufrecht erhalten werde und sich Datentransfers daher nicht mehr auf das Privacy Shield Abkommen stützen könnten. Weiterhin verwendbar für die Übermittlung personenbezogener Daten in die USA blieben Standardvertragsklauseln gem. Art. 46 DSGVO. Standardvertragsklauseln sind von der Europäischen Kommission vorgefertigte Vertragsmuster, die in Verträgen zwischen Datenexporteuren aus der EU und Datenimporteuren aus Drittstaaten verwendet werden können und als Datenschutzgarantie für den Datentransfer gelten. Solche Standardvertragsklauseln, wie der Name es bereits sagt, sind Vertragsklauseln und damit auf einzelne Vertragsschlüsse anwendbar. Bei jedem Vertragsschluss muss eine länderspezifische, branchenspezifische, vertragspartnerspezifische Risikoanalyse erfolgen und im Zweifelsfall müssen zusätzliche Schutzmaßnahmen getroffen werden, was einen erheblichen logistischen und finanziellen Aufwand sowie ein erhebliches Restrisiko mit sich bringt. 

4. Ein neues Abkommen in Sicht?

Es könnte jedoch ein neues Abkommen in Sicht sein. Nach zwei Jahren Verhandlungen und einer Einigung zwischen USA und EU über grundsätzliche Rahmenbedingungen im März 2022 erließ US Präsident Joe Biden nun am 07. Oktober 2022 ein Dekret für ein neues Datenschutzabkommen zwischen EU und USA. Zum einen wird der Handlungsspielraum der US-Geheimdienste insoweit von dem Dekret eingeschränkt, dass Datenströme nur für das Erreichen von „definierten Zielen der nationalen Sicherheit“ erfolgen darf und dass die „Privatsphäre und die bürgerlichen Freiheitsrechte“ aller Menschen, unabhängig ihrer Nationalität, beachtet werden müssen. Zudem sieht das Dekret einen Beschwerdemechanismus für EU Bürgerinnen und Bürger vor, die der Ansicht sind, dass ihre Daten unrechtmäßig von den US-Behörden eingesehen oder verwendet wurden. Die EU begrüßte den Vorstoß des Präsidenten. EU-Justizkommissar Didier Reynders beispielsweise bezeichnete das Dekret als „wichtigen Schritt in unserer Entschlossenheit, den sicheren und freien transatlantischen Datenverkehr wiederherzustellen“.