Dieser Beitrag wurde am 17. Oktober 2022 aktualisiert.
Um was geht es?
Seit dem 16. Juli 2020 ist der Austausch von Daten mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im sogenannten Schrems-II-Urteil vom 16. Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Es war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Mit dem Entscheid war es nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.
Das Privacy Shield sowie das vorangehende Abkommen Safe Harbor fanden ein Ende aufgrund einer Klage des österreichischen Datenschutzaktivisten Max Schrems. Die entsprechenden Urteile werden deshalb als „Schrems I“ und „Schrems II“ bezeichnet.
Was ist bei der Übermittlung von Daten in ein unsicheres Land zu berücksichtigen?
Seit dem 15. Juni 2021 gelten darüber hinaus die neuen EU-Standardvertragsklauseln (EU Standard Contractual Clauses – SCC) für die Übermittlung von personenbezogenen Daten in sogenannte unsichere Drittsaaten, d. h. in Länder ausserhalb der EU bzw. des EWR, welchen von der EU-Kommission kein angemessenes Datenschutzniveau attestiert wird. Inhaltlich neu in den SCC ist insbesondere die Pflicht zur Erarbeitung eines Transfer Impact Assessments. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Das Transfer Impact Assessment muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln reichen nicht aus, um den Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil vom 16. Juli 2020 gerecht zu werden. Auch der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von Personen ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 6 Abs. 2 lit. a DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss.
Was ist das Trans-Atlantic Data Privacy Framework?
In einer gemeinsamen Mitteilung äussern sich die USA und die EU am 25. März 2022 dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das „Schrems II“-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.
Die USA und die EU versprechen eine „beispiellose Verpflichtung“, wenn es darum geht, Privatsphäre und Grundrechte vor amerikanischer Überwachung zu schützen. Eine derartige Überwachung sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismässig ist. Ein Data Protection Review Court soll als Beschwerdestelle für Europäer und Europäerinnen fungieren. Aufgrund von Auflagen bezüglich der Verarbeitung von Personendaten aus der EU müssen US-amerikanische Firmen eine Selbstzertifizierung absolvieren.
Wann tritt das Trans-Atlantic Data Privacy Framework in Kraft?
Am 7. Oktober 2022 unterzeichnete der US-Präsident die Durchführungsverordnung. Dabei handelt es sich um eine interne Richtlinie der US-amerikanischen Bundesregierung. Die Europäische Kommission hat nun an einem Angemessenheitsbeschluss zu arbeiten, der voraussichtlich im Frühjahr 2023 erwartet werden könnte. Ob und wenn ja, wie lange das damit das Problem des bisher unsicheren und risikobehafteten Datentransfers in die USA damit erledigt wäre, bleibt abzuwarten. Noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiert. Bereits heute werden zwei Themen kritisiert:
- Massenüberwachung
Der EuGH verlangt u.a., dass in den USA eine Überwachung und der damit verbundene Zugriff auf Daten europäischer Bürger/innen verhältnismässig sein müssen. Die neue Durchführungsverordnung enthalte zwar nun den entscheidenden Wortlaut „notwendig“ und „verhältnismässig“, die USA habe allerdings nicht dasselbe Verständnis von Verhältnismässigkeit.
- Rechtsbehelfe der Betroffenen
Obwohl eine der Stellen die Beschwerden entgegennehmen kann, „Data Protection Court“ genannt wird, handele es sich entgegen der Bezeichnung nicht um ein Gericht, sondern um eine Stelle der Exekutiven. Auch das Verfahren vor dem „Data Protection Court“ werfe erhebliche Zweifel an einem effektiven Rechtsschutz auf: Betroffene müssen indirekt über eine Datenschutzbehörde gehen. Ausserdem werden Betroffene weiterhin nicht informiert, ob sie tatsächlich von einer Überwachung betroffen waren:
Es bleibt abzuwarten, wie der neue Angemessenheitsbeschluss der Europäischen Kommission aussehen wird.