Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Einschätzung zum Privacy Shield 2.0: Firmen bleiben ohne rechtliche Sicherheit

Das Dekret von US-Präsident Biden sieht beim Thema Datenschutz einige Neuerungen vor. Experten zweifeln jedoch, ob ein neues Abkommen Bestand haben wird.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 4 Min.
iX Magazin
Von
  • Tobias Haar
Inhaltsverzeichnis

Der US-amerikanische Präsident Joe Biden hat ein Dekret unterzeichnet, das den EU-US-Datenschutzrahmen umsetzen soll. Es geht hierbei um nichts weniger als die von vielen lange erwartete verbindliche Zusage der USA, den EU-Anforderungen an den Schutz personenbezogener Daten bei deren Übermittlung von der EU in die USA gerecht zu werden. Auch wenn die formale Einigung noch aussteht: Es handelt sich um einen wichtigen Schritt in Richtung der seit dem Ende des ersten Privacy Shield erwarteten Einigung – aber was bedeutet das Dekret konkret?
Eine Analyse von Tobias Haar

Tobias Haar ist Rechtsanwalt mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe. Er hat zudem Rechtsinformatik studiert und hält einen MBA.

Zunächst sieht es vor, dass US-Geheimdienste künftig stärker die Interessen von Betroffenen berücksichtigen müssen, wenn sie auf entsprechende Daten zugreifen wollen. Erforderlich ist zudem die „Verfolgung von definierten nationalen Sicherheitszielen“. Der Entwurf „erweitert die Zuständigkeiten von Rechts-, Aufsichts- und Compliance-Beamten, um sicherzustellen, dass bei Verstößen gegen die Vorschriften geeignete Maßnahmen ergriffen werden“, heißt es in einer Pressemitteilung des Weißen Hauses. US-Geheimdienste müssen zudem ihre Datenschutzrichtlinien an die Vorgaben im Dekret anpassen.

Mehr Beschwerdemöglichkeiten

Ein besonderes Augenmerk liegt auf den Beschwerdemöglichkeiten betroffener Bürger und bestimmter Organisationen, wenn sie eine Verletzung des durch das Dekret verschärften US-Rechts im Hinblick auf den Zugriff und Umgang mit personenbezogenen Daten aus der EU vorbringen wollen. In einer ersten Stufe soll sich ein „Beauftragter für den Schutz der bürgerlichen Freiheiten im Büro des Direktors der nationalen Nachrichtendienste (CLPO)“ mit den Beschwerden beschäftigen und für die Geheimdienste verbindliche Maßnahmen anordnen können.

Zur Überprüfung der Entscheidungen des CLPO soll ein „Gericht für die Überprüfung des Datenschutzes“ eingeführt werden. Klagebefugt sind die betroffenen Geheimdienste oder der Betroffene. Die Richter müssen eine gewisse Fach- und Sachkunde im Datenschutz aufweisen. Schließlich wird das „Privacy and Civil Liberties Oversight Board“ aufgefordert, die Vorgehensweisen der US-Geheimdienste im Bereich des Datenschutzes auf Einklang mit dem Dekret sowie jährlich die geschaffenen Rechtsbehelfe zu überprüfen.

Unsicherheit für Unternehmen bleibt

Für Unternehmen hat das Dekret des US-Präsidenten keine unmittelbaren Folgen. Die EU-Kommission wird das Dekret nun prüfen und eine rechtliche Regelung ausarbeiten, in die die darin enthaltenen Regelungen aus EU-Sicht eingebettet werden. Anschließend wird es ein Abkommen zwischen den USA und der EU über den Datentransfer in die USA geben. Bis dieses in Kraft tritt, dürfte noch einige Zeit vergehen. Fachleute gehen davon aus, dass dies nicht vor Frühjahr oder Sommer 2023 der Fall sein wird.

Bis dahin bleibt die derzeit für viele Unternehmen unbefriedigende Rechtslage bestehen. Sie verbietet den Transfer von personenbezogenen Daten in die USA, es sei denn, es greifen aufwändige Ausnahmen. Hierzu zählen die von der EU herausgegebenen Standardvertragsklauseln für solche Transfers. Allerdings verlangen Datenschützer und Gerichte eine individuelle Bewertung der Datenschutzrisiken durch die sie verwendenden Unternehmen. Eine unkritische Übernahme der Standardtexte reicht nicht aus.

Des Weiteren kann ein Datentransfer auf Einwilligungen der Betroffenen beruhen. Auch hier sind die Anforderungen an deren Wirksamkeit sehr hoch. Innerhalb von Unternehmensgruppen kommen schließlich noch die sogenannten „Binding Corporate Rules“ in Betracht. Sie sollen innerhalb eines Konzerns ein angemessenes Datenschutzniveau schaffen.

Weiter Verhandlungen vor dem EuGH?

Die neuen Regelungen zum Datentransfer in die USA werden Gegenstand weiterer Gerichtsverfahren sein. Am Ende könnte ein „Schrems-III-Urteil“ des EuGH stehen, in Anlehnung an den österreichischen Datenschützer Max Schrems, der bereits die ersten beiden Versuche für ein US-EU-Abkommen vor Gericht gebracht hatte. Darauf lässt seine Einschätzung schließen: „Auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtliche Basis“. Und weiter: „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“

Unterm Strich bleiben die rechtlichen Unsicherheiten weiter bestehen und mit weiteren Rechtsstreitigkeiten ist zu rechnen. Sollte das derzeit diskutierte neue Verfahren in einer Schrems-III-Entscheidung des EuGH eines Tages kassiert werden, ginge der Prozess von vorn los. Es drohen Schrems IV, Schrems V…

(jvo)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Datenschutz

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten