Was ist passiert?

Vor fast genau 3 Jahren, am 16.07.2020, hatte der EuGH im „Schrems II“ Urteil den Angemessenheitsbeschluss der Kommission zum EU-US Privacy Shield mit sofortiger Wirkung aufgehoben. Die USA waren seitdem kein sicherer Datenempfänger mehr. Die Entscheidung führte in den kommenden Jahren zu erheblicher Rechtsunsicherheit, denn der EuGH - aber auch die Datenschutzbehörden - verpassten jede Gelegenheit, den Verantwortlichen wirksame Werkzeuge für einen sicheren transatlantischen Datentransfer in die Hände zu geben. Auch als 2021 die Kommission neue EU-Standardvertragsklauseln entwarf, sahen viele den Datentransfer in die USA weiterhin für zu unsicher. Ein unmöglicher Zustand, wenn man bedenkt, wie sehr europäische Unternehmen auf US-Tech-Giganten wie Microsoft oder Google angewiesen sind.

Anders als nach dem „Schrems I“ Urteil, bei dem der EuGH den Vorgänger des Privacy Shield aufhob, ließ sich die Politik diesmal viel Zeit, einen Nachfolger auf die Beine zu stellen. Das wird zum einen an der zwischenzeitlich schwierigen Zusammenarbeit mit der Trump-Regierung gelegen haben, aber auch an der hohen Messlatte, die es zu überwinden galt: Der EuGH hatte zwei wesentliche Kritikpunkte an den USA als Datenempfängerstaat geäußert: 

1. US- Nachrichtendienste haben nach dem Cloud-Act umfassende Zugriffsrechte auf Daten von US-Unternehmen, einschließlich Daten der EU
2. EU-Bürger haben keine ausreichenden Möglichkeiten, sich hiergegen zu wehren.

Beides soll nun durch die US-Regierung behoben worden sein. Die Executive Order 14086 “Enhancing Safeguards for United States Signals Intelligence Activities”, welche Präsident Beiden bereits am 07. Oktober 2022 erließ, soll gleichzeitig die Zugriffsrechte der Behörden eindämmen und EU-Bürgern geeignete Rechtsmittel geben. Als erste Anlaufstelle für EU-Bürger soll nun der Civil Liberty Protection Officer gelten, der für die Einhaltung von Grund- und Datenschutzrechten bei den US-Nachrichtendiensten zuständig ist. Dessen Entscheidungen können nun vor einem gänzlich neu eingerichteten, unabhängigen Gericht angefochten werden, dem Data Protection Review Court.

Diese Maßnahmen genügten den EU-Mitgliedsstaaten zur Absicherung. Nach mehreren Abstimmungsrunden ging die EU mit dem heutigen Angemessenheitsbeschluss der Kommission den letzten nötigen Schritt zur Vervollständigung des Abkommens (Link zur Pressemitteilung).

Welche Auswirkungen hat der Angemessenheitsbeschluss?

Wie auch nach dem Privacy Shield Abkommen, müssen US-Unternehmen die Einhaltung bestimmter Datenschutzvorgaben nachweisen und sich entsprechend zertifizieren lassen, bevor sie unter den EU-US DPF fallen. Zuständig hierfür soll das United States Department of Commerce („DOC“) sein. Es ist damit zu rechnen, dass das DOC zeitnah reagieren und den Zertifizierungsprozess offenlegen wird.

Ist ein Unternehmen dann nach dem EU-US DPF zertifiziert, ist es nach Art. 44, 45 DS-GVO ein sicherer Datenempfänger. Eine Datenübermittlung an diesen Empfänger bedarf dann keiner weiteren Sicherheitsmaßnahmen. Insbesondere müssen mit dem Unternehmen dann auch keine EU-Standardvertragsklauseln abgeschlossen werden.

Gerade die großen US-Unternehmen, Alphabet, Microsoft, Meta aber auch aufsteigende Akteure wie OpenAI, die Betreiber von ChatGPT, werden von der Zertifizierungsmöglichkeit sicherlich schnell Gebrauch machen.

Aber: Keine endgültige Klärung!

Wer jetzt anfängt, seine Verträge zu prüfen und die Standardvertragsklauseln auf Kündigungsmöglichkeiten durchforscht, handelt allerdings womöglich etwas voreilig. Zwar sind die EU und US-Regierungen zuversichtlich, einen rechtssicheren Rahmen für den Datentransfer geschaffen zu haben, das waren sie vor dem Schrems I Urteil 2015 und vor dem Schrems II Urteil 2020 aber auch.

Und nicht nur die Kommission hat sich heute zu Wort gemeldet. Auch die von Max Schrems gegründete Datenschutz-Plattform „NOYB“, hat bereits zum Angemessenheitsbeschluss Stellung genommen. Der EU-US DPF erfüllt aus Sicht von NYOB, welche sich als Mix aus Verbraucherschutzorganisation und Datenschutz-Aktivisten versteht, nicht die Voraussetzungen der DS-GVO. Der Angemessenheitsbeschluss soll darum „in wenigen Monaten wieder vor dem EuGH landen“ (Link zur Stellungnahme).

Ob der EU-US DPF einer gerichtlichen Kontrolle standhalten wird, dürfte in den kommenden Wochen Gegenstand hitziger Debatten in der Datenschutz-Community sein. Fakt ist aber: wer zur Absicherung die EU-Standardvertragsklauseln beibehält, ist für eine mögliche „Schrems III“ Entscheidung gewappnet.