Transfer personenbezogener Daten aus der EU in die U.S.A.: Das neue Transatlantic Data Privacy Framework
Anbieter mit Sitz in der EU, die personenbezogene Daten verarbeiten und das EU-Datenschutzrecht einhalten wollen, stehen seit vielen Jahren vor einer Herausforderung:
Nach Art. 44 DSGVO dürfen personenbezogene Daten nur in Drittländer außerhalb der EU übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist. Nach Auffassung der EU-Kommission ist der rechtliche Schutz personenbezogener Daten in den USA jedoch im Vergleich zu dem Schutz in den EU-Ländern und ausgewählten Nicht-EU-Ländern (Argentinien, Kanada) lückenhaft.
Die Europäische Kommission versuchte in der Vergangenheit bereits mehrfach, Regelungen mit der U.S.-amerikanischen Regierung für die Gewährleistung eines ausreichenden Schutzniveaus umzusetzen. Den ersten Versuch unter dem Namen „Safe Harbor“ erklärte der EuGH im Jahr 2015 für rechtswidrig. Hierauf schloss die Europäische Kommission im Namen der EU mit der US-amerikanischen Regierung die Regelungen über den „EU-U.S. Privacy Shield“ ab. Auf Grundlage dieses „Privacy Shields“ konnten U.S.-amerikanische Unternehmen sich freiwillig den Prinzipien des „Privacy Shield“ (u.a. Datensparsamkeit, Zweckbindung der Verarbeitung, Einhaltung verschiedener Bürgerrechte sowie die Möglichkeit eines Beschwerde- und Schiedsverfahrens) unterwerfen und eine vom U.S. Handelsministerium zu überwachende Zertifizierung erlangen. Verstöße gegen die Bestimmungen des „Privacy Shields" hätten zur Streichung der Zertifizierung des Unternehmens führen müssen.
Von vornherein stand das Privacy Shield unter heftiger Kritik. Zum einen, da es eine bloß freiwillige Selbstbindung der Unternehmen vorsah, zum anderen, weil staatliche U.S. Verwaltungsbehörden, insbesondere Ermittlungs- und Nachrichtendienste, nach Auffassung der Kritiker fast ungehinderten Zugriff auf die übermittelten Daten hätten. Als Reaktion auf die anhaltende Kritik teilte die Europäische Kommission mit, eine schriftliche Zusicherung von der US-Regierung erhalten zu haben, dass künftig der Zugriff auf die Daten von EU-Bürgern deutlichen Beschränkungen und Kontrollen unterliegen werde. Den EuGH überzeugte dieses Konzept nicht. Im Juli 2020 erklärte das Gericht auch den EU-U.S. Privacy Shield für nichtig.
Die EU-Kommission nahm daraufhin erneut Verhandlungen mit der neuen U.S.-Regierung unter Präsident Joe Biden auf. Im vergangenen März teilte sie nun mit, dass es zum Abschluss eines „agreement in principle“ gekommen sei, also einer grundsätzlichen Einigung. Nach derzeitigem Stand soll die bislang praktizierte Selbstzertifizierung von US- Unternehmen beibehalten werden. Die Zugriffsbefugnisse staatlicher Verwaltungsbehörden auf die übermittelten Daten sollen stärker beschränkt werden. Ein Datenschutzgerichts soll seine Arbeit aufnehmen und die Verwaltungsbehörden besser überwachen und kontrollieren. Wie sich die in Aussicht gestellten Schutzmaßnahmen für EU-Bürger schlussendlich konkret darstellen werden, bleibt dem noch zu verhandelnden endgültigen Regelwerk vorbehalten. Damit ist noch offen, ob dieses Regelwerk ein den Anforderungen der DSGVO angemessenes Schutzkonzept darstellen wird.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor
Roland C. Kemper, Rechtsanwalt, Attorney-and-Counselor-at law (New York), Master of Laws in International and Comparative Law (George Washington), Master of Science in Management (London School of Economics), Zertifizierter Mediator