(Hamburg, den 13.04.2022) Etwas untergegangen in der aktuellen Tages- und Weltpolitik haben sich der amerikanische Präsident Joe Biden und die EU-Kommissionspräsidentin Ursula von der Leyen am 25. März 2022 nicht nur über aktuelle Konflikte unterhalten, sondern auch einen dritten Anlauf für ein Datenschutzabkommen zwischen der EU und den USA verkündet, den sog. „Transatlantischen Datenschutzrahmen“.
Auf Grund der aktuell recht brüchigen und äußerst unbefriedigenden derzeitigen datenschutzrechtlichen Situation bei der transatlantischen Datenverarbeitung personenbezogener Daten von EU-Bürgern durch US-Unternehmen wäre eine rasche Einigung, die auch den Grundlagen der DSGVO standhält, sehr zu wünschen. Knackpunkte jeglicher zukünftigen Vereinbarung wäre eine rechtliche Durchsetzbarkeit von Betroffenenrechten und der Umgang des intransparenten Zugriffs der US-Sicherheitsbehörden.
Hierzu sollen mittels eines zweistufigen Rechtsbehelfssystems, das Untersuchung und Beilegung von Beschwerden von EU-Bürgern gegenüber US-Geheimdiensten ermöglicht, „… Verfahren eingeführt werden, die eine wirksame Kontrolle der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten.“ Somit soll ein „vorhersehbarer und vertrauenswürdiger Datenverkehr zwischen der EU und den USA ermöglicht und der Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleistet“ sein.
Rechtlich soll dies im aktuellen Entwurf mittels „Executive Orders“ umgesetzt werden, die allerdings nach amerikanischem Recht nicht eingeklagt werden können. Die US-Unternehmen selbst sollen sich ähnlich wie beim Vorgänger „Privacy Shield“ durch Selbstzertifizierung der Datenschutzregelung unterwerfen. Aktuell handelt es sich um eine politische Einigung, eine solide rechtliche Grundlage auf den Weg zu bringen, was zu begrüßen ist. Allerdings liegt noch kein abschließender Text zum Abkommen vor, der zudem auch noch seitens EU geprüft werden müsste.
Was heißt das nun für mein Unternehmen?
Dass gehandelt werden muss und die aktuelle Situation für alle Betroffenen äußerst unbefriedigend ist, ist allen Beteiligten klar. Ebenso, dass US-Geheimdienste auf in der Vergangenheit erworbene Möglichkeiten und Rechte wie den Foreign Intelligence Surveillance Act (FIAS) oder den Cloud Act nicht verzichten werden.
In diesem Spannungsfeld wird sich also der neue Versuch des transatlantischen Datenschurzrahmens beweisen und den sicher genauen Prüfungen des Datenschutzaktivisten Schrems mit seiner Organisation „NOYB“ unterziehen müssen.
Insofern ist davon auszugehen, dass das transatlantische Datenschutzabkommen nach bestandener Prüfung tatsächlich die notwendige Rechtssicherheit geben wird. Schützenhilfe könnte auch von der EU selbst kommen, die auf Grund des transatlantischen Datenschutzrahmens die USA als „sicheres Drittland“ nach Art. 45 Abs. 1 DSGVO mit angemessenem Schutzniveau einstuft. Ob dann auch eine in der Praxis bewährte und funktionierende Datenschutzsicherheit gegeben ist, steht auf einem anderen Blatt. Zumindest aber wäre ein belastbarer rechtlicher Rahmen gegeben, alles weitere könnte man auch technisch lösen, bzw. mit modernen Verschlüsselungsmethoden. Die Problematik des Missbrauchs bei der Selbstzertifizierung könnte durchaus der Markt regeln. Wer hier falsch spielt, wird auf Grund der Prüfungspflicht der EU-Unternehmen langfristig keinen betriebswirtschaftlichen Erfolg verbuchen können.
Einen anderen Weg bestreitet aktuell Microsoft, die noch in 2022 planen, einen rechtlich völlig losgelösten „EU-Ableger“ zu gründen, der weder FISA noch dem Cloud Act verpflichtet ist. Das Inkrafttreten des transatlantischen Datenschutzrahmens kann – so er denn ernsthaft und fehlerfrei gemacht wird und keine juristische Augenwischerei betrieben wird – durchaus noch in 2022 geschehen.
