„US-EU Adequancy Agreement“: Nachfolgeabkommen zum EU-US Privacy Shield?
Die Ungültigerklärung des bisherigen transatlantischen Datenschutzabkommens (EU-US Privacy Shield) zwischen der EU und den USA durch den Europäischen Gerichtshof (EuGH) jährt sich bald bereits zum zweiten Mal. Die Folgen eines fehlenden Ersatzpakets sind für alle, die auf einen transkontinentalen Datenfluss nicht verzichten können oder wollen, massiv zu spüren. Medienberichten zufolge könnte endlich ein Nachfolgeabkommen, das „US-EU Adequancy Agreement“, bereits in den Startlöchern stehen (https://www.politico.eu/newsletter/digital-bridge/privacy-shield-update-3-0-semiconductor-subsidies-eu-us-policy-spat/).
Das Wichtigste in Kürze
1. Schrems II-Urteil des EuGH
Vor etwa eineinhalb Jahren hat der Europäische Gerichtshof in seiner Schrems II-Entscheidung den Angemessenheitsbeschluss für Datenübermittlungen zwischen der EU und den USA, auch als Privacy Shield bekannt, für unwirksam erklärt. Damit ist die bis zu diesem Zeitpunkt wichtigste Rechtsgrundlage der Datenübermittlung in die USA weggefallen.
2. Aktuelle Rechtslage
Seit der Ungültigerklärung des Datenschutzabkommens ist der Datentransfer in ein Drittland wie die USA nur noch eingeschränkt rechtssicher möglich und regelmäßig nur unter Verwendung der Standardvertragsklauseln (SCC) der EU-Kommission, der Durchführung eines Transfer Impact Assessments (TIA) und gegebenenfalls der Realisierung ergänzender Schutzmaßnahmen möglich. Dieses Vorgehen ist jedoch meist mit viel Aufwand verbunden und birgt oftmals trotzdem Restrisiken.
3. Verhandlungen eines neuen Datenschutzabkommens
Einem Online-Medienbericht zufolge könnte der Abschluss von Verhandlungen zwischen der US-Regierung und der EU-Kommission um eine Privacy Shield Nachfolge kurz bevorstehen. Inhaltlich soll das Abkommen auf die Verbesserung des Datenschutzes von EU Bürgern abzielen und diese insbesondere besser gegen rechtswidrige Datenzugriffe vonseiten der US-Behörden schützen.
4. Neues „US-EU Adequancy Agreement
Das neue Abkommen, das als „US-EU Adequancy Agreement“ bezeichnet werden soll, könnte bereits in diesem Jahr offiziell angekündigt werden. US-Beamte sollen geäußert haben, dass dessen Erarbeitung bereits abgeschlossen sei. Die Bezeichnung als "Angemessenheitsabkommen zwischen den USA und der EU" soll gezielt gewählt worden sein, um anzuerkennen, dass auf beiden Seiten des Atlantiks dasselbe Maß an Datenschutz bestehe. Es überrascht nicht, dass dieser Satz bei einigen EU-Datenschützern nicht gut ankam, die entgegneten, dass es die alleinige Entscheidung der EU sei, ob Drittländer ihre Datenschutzstandards erfüllen oder nicht.
Auch wenn ein starker gemeinsamer Wille vorhanden ist, Unterschiede der Rechtssysteme und Differenzen im Datenschutzverständnis zu überwinden, steht noch die Klärung der ein oder anderen komplexen Frage aus. Beispielsweise entspricht der Zugang europäischer Staatsbürger zu Rechtsmitteln nicht dem von der EU gewünschten Stand.
Um eine möglichst schnelle Einigung zu erzielen, soll die US-Regierung im Rahmen von Einigungsversuchen unter anderem angeboten haben, die US-Sicherheitsbehörden durch einer neu eingeführten „quasi-richterlichen Aufsicht“ zu kontrollieren. Auch dieser Versuch eine Einigung zu erzielen blieb bisher jedoch erfolglos. Wie die endgültige Abfassung des neuen Abkommens aussehen wird, bleibt daher spannend.
4. Keine Gesetzesänderungen zugunsten des Datenschutzes
Fest steht jedoch, dass die angestrebten Änderungen nicht auf neuen oder geänderten Gesetzen beruhen werden. Die Verhandlungsführer der EU und der USA sind sich der Tatsache bewusst, dass ein Abrücken von der bisherigen Haltung im Hinblick auf den Datenschutz im Kongress sehr unwahrscheinlich ist. Besonders wenn es darum gehen soll, ausländischen Staatsbürgern mehr Rechte einzuräumen, um amerikanische Sicherheitsbehörden vom Zugriff auf ihre Daten abzuhalten.
Daher ist davon auszugehen, dass sich der neue Vorschlag der USA ausschließlich auf die Anpassung oder Änderung bestehender Regeln der Aufsichtsbehörden stützen wird. Allerdings könnten bereits dadurch die von der EU geforderten datenschutzrechtlichen Standards erfüllt werden.
5. Ausblick
Auch wenn beide Seiten intensiv und konstruktiv an einem Nachfolgeabkommen zum Privacy Shield arbeiten, welches vor dem Europäischen Gerichtshof Bestand haben soll und die Verhandlung darüber vermeintlich fortschreiten, könnte es noch einige Zeit dauern, bis eine nachhaltige Lösung gefunden wird.