Einschätzung zum Privacy Shield 2.0

US-Präsident Joe Biden hat nun ein Dekret unterzeichnet, das die Umsetzung von EU-Datenschutzanforderungen in den USA garantieren soll. Ist damit ein Datenschutzabkommen wieder in greifbarer Nähe?

Bislang ist die transatlantische Datenverarbeitung ein großes Problem. Die Nutzung US-amerikanische Dienste von Giganten wie Google und Microsoft ist in der EU nicht datenschutzkonform, ebenso wie in den meisten Fällen die Übermittlung personenbezogener Daten in die USA. Die Datenverarbeitung zwischen den USA und der EU stellt also eine rechtliche Grauzone dar und europäische Unternehmen haben bislang gut daran getan, andere Lösungen für einen DSGVO-konformen Datenschutz zu finden. Gehört dieses datenschutzrechtliche Chaos jetzt endlich der Vergangenheit an? Die Unterschrift des US-Präsidenten ist immerhin ein kleiner Fortschritt, denn sie zeigt, dass die Politik jenseits des Atlantiks sich nun endlich wieder mit dem Thema Datenschutz beschäftigt. Eine offizielle Einigung steht jedoch noch aus.

Laut Dekret sollen US-Geheimdienste bei der Datenverarbeitung verstärkt die Interessen von Betroffenen berücksichtigen und ihre Datenschutzrichtlinien entsprechend anpassen. Ob die Geheimdienste sich an die im Dekret festgehaltenen Vorgaben halten, soll vom „Privacy and Civil Liberties Oversight Board“ überprüft werden.

Betroffenen aus der EU wird die Möglichkeit eingeräumt, sich über Datenschutzverletzungen bei der Verarbeitung ihrer personenbezogener Daten zu beschweren. Für die Bearbeitung solcher Beschwerden soll ein „Civil Liberties Protection Officer (CLPO)“ zuständig sein. Dieser soll Maßnahmen für die betroffenen Geheimdienste anordnen können, die wiederum von einem unabhängigen Datenschutzgericht geprüft werden sollen.

Der Fokus des Dekrets liegt also ausschließlich auf den US-Geheimdiensten und einer genaueren Kontrolle ihrer Überwachungsaktivitäten. Für Unternehmen ändert sich durch das Dekret erst einmal nichts. Nach einer Prüfung des Dekrets durch die EU-Kommission sollen dessen Inhalte ausgerichtet auf das EU-Recht ausgearbeitet werden. Danach soll es ein weiteres Abkommen zwischen den USA und der EU bezüglich der Datenübermittlung geben. Mit einem solchen lang ersehnten Abkommen ist jedoch, wenn überhaupt, frühestens in ein paar Monaten zu rechnen.

Erst mit einem Datenschutzabkommen zwischen der EU und den USA wird es für Unternehmen endlich Klarheit bezüglich der Rechtslage geben. Bis es so weit ist, müssen Unternehmen mit Sitz in der EU sich jedoch weiterhin mit der konfusen rechtlichen Situation zufriedengeben und in den meisten Fällen auf eine Übermittlung personenbezogener Daten in die USA verzichten. Ein Datentransfer ist in Ausnahmefällen möglich, die Anforderungen hierfür sind jedoch sehr hoch und die Klärung aller Rechtsfragen mit hohem Aufwand verbunden.

Ein Datenschutzabkommen zwischen der EU und den USA wäre das dritte Abkommen nach zwei gescheiterten Versuchen. Safe Harbor war das erste Datenschutzabkommen zwischen der EU und den USA, das immerhin zwischen 2000 und 2015 aktiv war. Es sah jedoch keine Prüfung US-amerikanischer Unternehmen durch Aufsichtsbehörden bezüglich der Einhaltung der datenschutzrechtlichen Regelungen vor, weshalb das Abkommen 2015 nach einer Klage des Datenschutzaktivisten Maximilian Schrems vom Europäischen Gerichtshof außer Kraft gesetzt wurde. Im Jahr darauf folgte dann das Privacy Shield. Anders als beim Vorgänger drohten Unternehmen bei einem Verstoß gegen die Regelungen nun Sanktionen. Dieses Abkommen scheiterte jedoch schon 2020 am Schrems-II-Urteil, nach welchem es ebenfalls nicht den Anforderungen der Datenschutzgrundverordnung entsprach. Nun steht also der Privacy Shield Nachfolger vor der Tür. Ob es Erfolg bringen oder wie seine Vorgänger scheitern wird, bleibt abzuwarten.

Allzu viele Hoffnungen auf ein Gelingen des neuen Privacy Shield Abkommens sollten Unternehmen sich nicht machen. Zu hoch ist die Wahrscheinlichkeit, dass das Abkommen beim Europäischen Gerichtshof durchfällt. Auch dieses Mal ist Maximilian Schrems der Ansicht, dass das US-amerikanische Dekret die in der EU geltenden rechtlichen Anforderungen nicht erfüllt.

Zwar ist es schon ein Schritt in die richtige Richtung, dass der US-Präsident ein Dekret zu einer Anpassung des Datenschutzniveaus in den USA an die Datenschutzregelungen in der EU unterzeichnet hat. Eine stabile Rechtsgrundlage ist damit jedoch noch nicht geschaffen und bislang fehlt jeder Hinweis darauf, dass ein Datenschutzabkommen beim dritten Anlauf gelingen wird.