Im März 2021 traten der EU-Justizkommissar Didier Reynders und die US-Handelsministerin Gina Raimondo vor die Presse und verkündeten die Absicht, die Verhandlungen über ein rechtlich bindendes Abkommen zum Datenschutz zwischen den USA und der EU zu intensivieren. Ob und wann diese Gespräche erfolgreich sein werden, ist heute noch ungewiss. Es ist offensichtlich, dass aufgrund der unterschiedlichen Gesetzgebungen in den USA und der EU eine Einigung im transatlantischen Datenschutz nicht einfach zu erreichen ist. Wie sieht aktuell die Nachfolge von Safe Harbour und Privacy Shield aus?
Ein kurzer historischer Abriss
Am 26. Juli 2000 trat das Safe-Harbour-Abkommen zwischen den USA und der EU in Kraft. Es sollte ein angemessenes Datenschutzniveau von EU-Bürgern bei US-amerikanischen Unternehmen sicherstellen. Personenbezogene Daten von EU-Bürgern konnten unter Auflagen in den USA gespeichert und verarbeitet werden. Allerdings offenbarten die Enthüllungen von Edward Snowden, dass die US-Nachrichtendienste diesen Auflagen nicht unterlagen und das Abkommen keinen Schutz vor Datenmissbrauch durch die Geheimdienste bot.
Der EuGH stellte dann mit seinem Urteil vom 06. Oktober 2015 fest, dass Regelungen und Gesetze der USA bspw. zu Erfordernissen zur nationalen Sicherheit oder öffentliches Interesse, Vorrang haben vor den Anforderungen des Safe-Harbour-Abkommens. Dadurch wären Eingriffe in die Datenschutz-Grundrechte von EU-Bürgern möglich und ein angemessenes Schutzniveau somit nicht gewährleistet.
Als Konsequenz aus dem Urteil von 2015 trat am 01. August 2016 das Privacy-Shield-Abkommen in Kraft. Es enthielt eine Selbstverpflichtung zum Datenschutz, der sich US-amerikanischen Unternehmen bei der Verarbeitung von personenbezogenen Daten von EU-Bürgern unterwarfen. Die Unternehmen mussten sich in eine Liste eintragen, die eine Selbstzertifizierung darstellte und zur Einhaltung entsprechender europäischer Datenschutzregelungen verpflichtet. Zudem war eine unabhängige Stelle zu benennen, an die sich Personen wenden konnten, wenn sie eine Beschwerde aufgrund eines Verstoßes gegen dieses Datenschutz-Abkommen einreichen wollten. Führte die Beschwerde nicht zum Erfolg, so stand betroffenen Personen der Gang zu einem Schiedsgericht offen.
Das Privacy-Shield-Abkommen wurde von Anfang an von Datenschützern sehr kritisch gesehen und dann folgerichtig auch mit dem EuGH-Beschluss vom 16. Juli 2020 gekippt. In seiner Begründung führt der EuGH an, dass die Weitergabe von personenbezogenen Daten an Behörden in Drittländern zum Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates nicht dazu führen dürfen, dass die Bestimmungen der DSGVO verletzt werden. Diese Datenübermittlungen waren aber durch das Privacy-Shield-Abkommen erneut nicht ausreichend geschützt.
Wie sieht es heute aus?
Seitdem das Privacy-Shield-Abkommen für ungültig erklärt wurden müssen Unternehmen wieder Standardvertragsklauseln in ihre individuellen Verträge einbinden, wenn personenbezogene Daten in Drittländer übermittelt werden. Hierbei handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden und europäische Datenschutzstandards zwischen EU-Unternehmen und Unternehmen aus Drittländern vertraglich vereinbaren. Es besteht daher aktuell keine Möglichkeit, sich auf ein allgemein gültiges Datenschutz-Abkommen zu berufen. Ob und wann ein solches Abkommen für den Datentransfer zwischen den USA und der EU in Kraft treten kann ist ungewiss.
Zudem müssen international tätige Unternehmen den Datenschutz von EU-Bürgern auch in Staaten außerhalb der USA gewährleisten. Welche Regelungen in den einzelnen Ländern gültig sind, wie der Schutz vor eventuellem Datenmissbrauch aussehen muss und welchen rechtlichen Verpflichtungen sich die Vertragsparteien unterwerfen erfordert ein intensives Datenschutz-Informationsmanagement in den Unternehmen. Da der Austausch von personenbezogenen Daten weiterhin sehr stark an Bedeutung gewinnt, würde ein international gültiges Abkommen – und sei es „nur“ mit den USA – eine erhebliche Erleichterung für die beteiligten Unternehmen darstellen.
Auf unserer Themenseite zum Datenschutz finden Sie weitere interessante Informationen zum Umgang mit personenbezogenen Daten.