Trans-Atlantic Data Privacy Framework

Mrz 30, 2022

Hintergrund

Seit 16. Juli 2020 ist der Austausch von Daten mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im sogenannten Schrems-II-Urteil vom 16. Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Es war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Mit dem Entscheid war es nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.

Das Privacy Shield sowie das vorangehende Abkommen Safe Harbor fanden ein Ende aufgrund einer Klage des österreichischen Datenschutzaktivisten Max Schrems. Die entsprechenden Urteile werden deshalb als „Schrems I“ und „Schrems II“ bezeichnet.

2021 Transfer Impact Assessments

Seit dem 15. Juni 2021 gelten darüber hinaus die neuen EU-Standardvertragsklauseln (EU Standard Contractual Clauses – SCC) für die Übermittlung von personenbezogenen Daten in sogenannte unsichere Drittsaaten, d. h. in Länder ausserhalb der EU bzw. des EWR, welchen von der EU-Kommission kein angemessenes Datenschutzniveau attestiert wird. Inhaltlich neu in den SCC ist insbesondere die Pflicht zur Erarbeitung eines Transfer Impact Assessments. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Das Transfer Impact Assessment muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln reichen nicht aus, um den Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil vom 16. Juli 2020 gerecht zu werden. Auch der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von Personen ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 6 Abs. 2 lit. a DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss.

 

Trans-Atlantic Data Privacy Framework

In einer gemeinsamen Mitteilung äussern sich die USA und die EU am 25. März 2022 dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das „Schrems II“-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.

Die USA und die EU versprechen eine „beispiellose Verpflichtung“, wenn es darum geht, Privatsphäre und Grundrechte vor amerikanischer Überwachung zu schützen. Eine derartige Überwachung sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismässig ist. Ein Data Protection Review Court soll als Beschwerdestelle für Europäer und Europäerinnen fungieren. Aufgrund von Auflagen bezüglich der Verarbeitung von Personendaten aus der EU müssen US-amerikanische Firmen eine Selbstzertifizierung absolvieren.

Ob und inwiefern das Abkommen den strengen Anforderungen des EuGH genügen wird, bleibt abzuwarten. Mit dem neuen Abkommen ist allerdings nicht vor Ende Jahr zu rechnen.

To be continued ….