Privacy Shield 2.0: Viele offene Fragen zum Datenverkehr mit den USA

Vor wenigen Tagen haben die Präsidentin der EU-Kommission, Ursula von der Leyen, und der US-Präsident, Joe Biden, mit einer gemeinsamen Ankündigung über eine „politische Einigung“ zu Fragen des internationalen Transfers personenbezogener Daten für Aufsehen gesorgt. Seit der Entscheidung des Europäischen Gerichtshofs im sogenannten Schrems-II-Verfahren im Juni 2020 existiert für einen solchen Datentransfer zwischen der EU und den USA kein wirksames und regelndes Abkommen mehr.

Keine Rechtsgrundlage geschaffen

An diesem Schwebezustand wird sich trotz der Ankündigung von der Leyens und Bidens so schnell auch nichts ändern. Zum einen besteht die Einigung nach ihren Worten zunächst nur „im Grundsatz“. Zum anderen bedarf es auf beiden Seiten noch der Schaffung der entsprechenden Rechtsgrundlagen. Hierzu hat sich jüngst der EU-Kommissar für Justiz, Didier Reynders, geäußert. Danach kann er sich vorstellen, dass die neue Rechtslage bis Ende des Jahres in Kraft gesetzt sein könnte. Aber eben auch nicht früher.

Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und der Organisation noyb stellt sich auch Reynders auf Klagen vor den EU-Gerichten ein, sobald die EU-Kommission eine erneute Angemessenheitsentscheidung des Datenschutzniveaus in den USA getroffen hat. Die hierfür erforderlichen Voraussetzungen müssten im nächsten Schritt seitens der USA geschaffen werden, so Reynders. Man erwarte den Vorschlag einer vom US-Präsidenten zu unterzeichnenden Exekutivorder. Sie soll die vom EuGH in seinem Schrems-II-Urteil angesprochenen Bedenken im Hinblick auf einen wirksamen, effektiven und vor allem durchsetzbaren Datenschutz in den USA durch Gesetzesänderungen in angemessener Weise ausräumen. Anschließend starte dann der Prozess mit dem Ziel einer Angemessenheitsentscheidung auf Ebene der EU-Kommission.

Nur wenige Optionen für Firmen

Bis es so weit ist, bleiben Unternehmen bei einer Übermittlung von personenbezogenen Daten aus der EU nur wenige Optionen, um sich rechtskonform zu verhalten. Grundsätzlich ist eine Einwilligung der jeweils Betroffenen in den Datentransfer denkbar. Allerdings sind die Anforderungen an solche Einwilligungen sehr hoch, denn sie müssen freiwillig und informiert erfolgen. Dies nachzuhalten und sicherzustellen, ist oftmals nicht darstellbar. Es müsste in datenverarbeitenden Prozessen beispielsweise gewährleistet werden, dass keine entsprechenden Daten zur Weiterverarbeitung in die USA übermittelt werden, wenn eine Einwilligung verweigert wird. Die Geschäftsmodelle von Unternehmen setzen hier oftmals Grenzen.

Meist greifen Unternehmen auf die sogenannten EU-Standardvertragsklauseln zu. „Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart.“ So beschreibt die Niedersächsische Landesbeauftragte für den Datenschutz das Verfahren.

Die Standardvertragsklauseln dürften für Unternehmen der am meisten verwendete Ansatz sein, um den internationalen Datentransfer zu regeln. Daneben gibt es für Konzernstrukturen noch die Möglichkeit sogenannter „Binding Corporate Rules“. Sie müssen als verbindlicher Rechtsrahmen in einem Konzern vereinbart werden, hohen Datenschutzanforderungen genügen und zudem von den zuständigen Datenschutzbehörden innerhalb der EU genehmigt werden. Aufgrund dieser Komplexität kommen sie in der Regel nur für größere Konzerne in Betracht.

(fo)