Am 25. März 2022 haben die EU und die USA sich im Grund­satz auf einen Nach­fol­ger des vom Eu­ro­päi­schen Ge­richts­hof ge­kipp­ten „Pri­va­cy Shield“ ge­ei­nigt. Somit soll ein neues System für den Datenaustausch zwischen der EU und den USA  angekündigt werden. Das wurde von der Kom­mis­si­ons­che­fin Ur­su­la von der Leyen und US-Prä­si­dent Joe Biden am Frei­tag in Brüs­sel be­kannt gegeben. „Dies wird einen vor­her­seh­ba­ren und ver­trau­ens­wür­di­gen Da­ten­ver­kehr zwi­schen der EU und den USA er­mög­li­chen und den Schutz der Pri­vat­sphä­re und der bür­ger­li­chen Frei­hei­ten ge­währ­leis­ten“, sagte von der Leyen.

Die Suche nach Rechtssicherheit

Bislang sind jedoch noch keine genauen Details zu dem neuen Abkommen auf beiden Seiten der Parteien bekannt. Bereits in den vergangenen Jahren gab es ein Abkommen zwischen den USA und der EU, welches den Datenverkehr zwischen den beiden Parteien sicher regeln sollte. Nach einer Klage des Datenschutzaktivisten Max Schrems wurde der „Privacy Shield“ für die Übermittlung von Daten aus Europa über den Atlantik im Juli 2020 mit der Begründung gekippt, dass das Datenschutzniveau in den USA nicht den Standards und Anforderungen der EU entspreche. Dabei wurden von den Richtern vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern kritisiert. So entstanden große Lücken im Rechtsverkehr, die eine weitgehende Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU für Unternehmen aufzeigte. Bislang gab es noch keine Nachfolgeregelung für einen Datenaustausch zwischen den USA und der EU. Lediglich galt bislang, dass Unternehmen am besten auf den Kontakt zwischen europäischen und amerikanischen Konzernen verzichten sollten und nur bei wirklich notwendigen geschäftlichen Beziehungen auf sog. Standardvertragsklauseln zurückzugreifen, die den Datenverkehr wenigstens in einer gewissen Hinsicht schützen sollten. Der Facebook-Konzern Meta warnte bereits seit dem Herbst vergangenen Jahres, dass dieses Unternehmen und auch ihr Tochter-Konzern Instagram in Europa voraussichtlich eingestellt werden müssten mangels einer Nachfolgeregelung. So soll mit dem neuen System für den Datenaustausch zwischen der EU und den USA für ein grundsätzliches Verständnis von verbesserter Rechtssicherheit gesorgt werden.

Privacy-Shield-Kläger Max Schrems: „politische Ankündigung nicht ausreichend“

Der „Privacy Shield“ war 2016 entstanden, nachdem auch die Vorgänger-Regelung „Safe Harbor“ vom EuGH gekippt worden war. Gegen beide Datenschutzabkommen klagte der Datenschutzaktiv Max Schrems und bekam in beiden Fällen mit den Urteilen „Schrems-I“ und „Schrems-II“ Recht. Dieser sieht die neue Nachfolgeregelung kritisch. Auf der Webseite seines Unternehmens „Noyb“ gab der Datenschutzjurist folgende Statements ab:

Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte. Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen. Der Deal war offenbar ein Symbol, das von van der Leyen gewollt war aber keinen Rückhalt der Experten in Brüssel hat, da sich die USA nicht bewegt haben. Besonders empörend ist, dass die USA angeblich den Krieg gegen die Ukraine genutzt haben, um die EU in dieser Wirtschaftsfrage unter Druck zu setzen.„

„Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird“.

„Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem ‚No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit.“

Schrems beklagte somit, dass es sich nun lediglich um eine politische Ankündigung handele und ein konkreter Text immer noch bevorstünde. Im Falle einer Unvereinbarkeit des Abkommens mit EU-Recht wird Schrems sehr wahrscheinlich mit seinem Unternehmen Noyb wohl auch dieses anfechten und vor den Gerichtshof bringen.

Quellen:

Spies, EU-US-Privacy-Shield – eine schwierige Reparatur, ZD 2021, 478

EuGH, Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Schrems II, GRUR-RS 2020, 16082

Bildquelle: geralt auf pixabay