Blog

Nachfolger des „Privacy Shield“ weiter ungeklärt

Ein Nachfolgeabkommen des Privacy Shield scheint seit vergangener Woche noch nicht in Sicht, nachdem der EuGH das „EUUS Privacy Shield“ 2020 für ungültig erklärte.

Alexander Ritter
Alexander Ritter Veröffentlicht am 19.04.2022

Der Nachfolger des vom Europäischen Gerichtshof gekippten Privacy Shield für den Transfer personenbezogener Daten zwischen der EU und den Vereinigten Staaten könnte noch Monate dauern.

Beide Seiten einigten sich Ende vergangener Woche grundsätzlich auf eine neue Einigung, doch EU-Justizkommissar Didier Lendels verriet am Mittwoch, dass in Brüssel noch einige Hürden zu nehmen seien. Als mögliches Zieldatum nannte er Ende des Jahres.

Es ist voraussichtlich bis Ende des Jahres kein Nachfolger des „Privacy Shield“ zu erwarten und somit ein solches Projekt „nicht zeitnah“ zu realisieren.

Didier Lendels, EU- Justizkommissar

Der EuGH hat im Juli 2020 den Privacy Shield zur Übermittlung von Daten aus Europa über den Atlantik gekippt, weil das Datenschutzniveau in den USA nicht unseren EU-Standards entspricht.

Der Richter kritisierte insbesondere den weit verbreiteten Zugriff von US-Geheimdiensten auf europäische Daten. Daher sollen neue Regeln und Garantien den Zugang zu US-Geheimdiensten künftig auf solche beschränken, die „notwendig und verhältnismäßig zur Verfolgung definierter nationaler Sicherheitsziele“ sind.

Zudem brauche es den Angaben zufolge einen unabhängigen Rechtsschutz für die Belange des europäischen Datenschutzes.

Man erwarte derzeit ein gesetzlich valides Rechtsdokument Seitens der USA, das als Grundlage einer neuen Diskussion nutzen solle. Dies könnte etwa eine finale Verfügung sein, die von Präsident Joe Biden selbst unterzeichnet wurde.

Im Anschluss könnte der Prozess auf EU-Ebene zu dem sogenannten Angemessenheitsbeschluss starten. Dieses Verfahren beweist gleichwertige Datenschutzstandards zwischen der EU und den Vereinigten Staaten. Allein dieser Prozess des Angemessenheitsbeschlusses dauert 6 Monate wobei die Europäische Datenschutzkommission, die EU-Mitgliedstaaten und das Europäische Parlament dringend miteinbezogen werden müssen. Einen genauen Zeitrahmen hat Herr Lendels noch nicht, aber dieser Prozess könnte voraussichtlich bis Ende des laufenden Jahres abgeschlossen sein, insofern keine weiteren Probleme im Weg stehen.

Das ist der erste, grundsätzliche Schritt zu einer neuen einheitlichen Rahmenvereinbarung

Didier Lendels, EU- Justizkommissar

Privacy Shield 2.0

Bereits Ende März hat sich EU-Kommissionspräsidentin Ursula von der Leyen mit US-Präsident Joe Biden über verschiedene Möglichkeiten des transatlantischen Datenverkehrs ausgetauscht und eine „grundsätzliche Einigung“ erzielt.

Damit der Austausch von personenbezogenen Daten wieder einfacher wird, fand ein gemeinsamer Austausch beim Gipfeltreffen zum Austausch von neuen Ansätzen zum Datenaustausch von EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden statt.

Von der Leyen freue sich darauf „eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt zu haben“.

Dieses Abkommen werde „vorhersehbaren und vertrauenswürdigen“ Datenaustausch ermöglichen, bei dem sowohl die Privatsphäre als auch das persönliche Recht der Bürger geschützt werde. Biden dagegen zeigte sich über den „weiteren großen Durchbruch“ sehr „stolz“ beim Datenverkehr. Details wurden leider nicht genannt von den Spitzenpolitikern, ebenso wenig gab es ein konkretes Datum oder Ziel.

Derzeit leider weiterhin keine finale Lösung in Sicht

Ein Entwurf für eine neue regulatorische Rahmenvereinbarung liegt offenbar noch nicht vor. Die Anforderungen an ein weiteres „Datenschutzschild“ sind hoch: Im Sommer 2020 erklärte der Europäische Gerichtshof (EuGH), dass das Transatlantic Privacy Shield  und damit einer der wichtigsten Gründe für die Übermittlung von Kundendaten in die Vereinigten Staaten sei durch das "Schrems II"-Urteil  außer Kraft gesetzt.

Die luxemburgischen Richter stellten erneut fest, dass US-Gesetze wie FISA  oder der Cloud Act  eine Massenüberwachung durch Sicherheitsbehörden erlauben und damit der Datenschutzstandard in den USA nicht dem Standard der EU entspricht. 2015 kündigte der österreichische Aktivist Max Schrems vor dem EuGH das bisherige Safe Harbor“-Abkommen. Ohne grundlegende US-Reformen wird daher ein dritter Versuch wahrscheinlich nicht ausreichen, um einen angemessenen Datenschutz für EU-Bürger zu gewährleisten.  Schrems stand der Ankündigung von der Leyens skeptisch gegenüber: „Wir hatten 2015 einen rein politischen Vergleich ohne rechtliche Grundlage“, betonte der Anwalt. "Wenn sich alles beruhigt hat, können wir das gleiche Spiel ein drittes Mal spielen." Die Vereinbarung sei eindeutig ein symbolischer Schritt gewesen, der „keine Unterstützung von den Experten in Brüssel hatte, weil die Vereinigten Staaten nicht nachgaben“.

Bisher keine Kompromisse Seitens der USA

Nach Angaben der von Schrems gegründeten Datenschutzorganisation Noyb (Europäisches Zentrum für digtiale Rechte) haben die USA "keine Pläne, irgendwelche ihrer Überwachungsgesetze zu ändern, sondern nur die Strafverfolgung zu gewährleisten" gemäß den entsprechenden Anordnungen. Sie hätten „keinen Einfluss von außen und können nicht strafrechtlich verfolgt werden“. Eine wirkliche Lösung als „No Spionage Agreement“ mit „grundlegenden Absicherungen unter gleichgesinnten Demokratien“ bleibt unklar. Kunden und Unternehmen drohe „neues Jahr der Rechtsunsicherheit“.

Beobachtern zufolge hat eine kürzlich ergangene Entscheidung des Obersten Gerichtshofs der USA die Schwierigkeit von Privacy Shield 2.0 noch erhöht. Infolgedessen geben die Richter des Obersten Gerichtshofs der US-Regierung mehr Befugnisse, sich in Spionagefällen auf "Staatsgeheimnisse" zu berufen. Für US-Bürger und Europäer wird es schwieriger, die verdeckte Überwachung durch US-Sicherheitsbehörden vor lokalen Gerichten anzufechten.

Schließlich erfordert ein neues Abkommen einen Exekutivbeschluss der Europäischen Kommission, der zunächst vom Europäischen Datenschutzausschuss (EDPB) geprüft werden muss. Dieses Verfahren kann erst nach Vorliegen eines Entwurfs eines solchen Rechtsakts eingeleitet werden. Daher dauert eine wirklich „relevante Entscheidung“ der Brüsseler Regierungsinstitution mindestens noch ein paar Monate. Bis dahin können sich Unternehmen nicht auf reine Werbung verlassen, um Daten rechtssicher in die Vereinigten Staaten zu übermitteln.

Quelle: Statista Technology Market Outlook; https://de.statista.com/infografik/22251/geschaetzter-public-cloud-umsatz-in-den-top-5-maerkten/

Über 152 Milliarden Euro Umsatz werden laut Statista Technology Market Outlook 2021 in den USA mit Public Cloud-Anwendungen umgesetzt - das ist ungefähr die Hälfte des weltweiten Marktvolumens. Über die Hälfte des Umsatzes entfallen auf das Segment Software-as-a-Service. Das ist ein Vertriebsmodell für die Bereitstellung von Software-Anwendungen über den Webbrowser. 33,7 Milliarden Euro entfallen auf den Bereich Infrastructure-as-a-Service. Ähnlich viel wird mit Plattform-as-a-Service-Angeboten erwirtschaftet. Die Größten Anbieter von Cloud-Angeboten sind Amazon, Microsoft, Salesforce und Google. Der deutsche Markt hat mit 12,2 Milliarden Euro ein vergleichsweise bescheidenes Volumen - das reicht aber trotzdem für den 5. Platz im Ranking der größten Public Cloud-Märkte.

Welchen Einfluss haben die gesetzlichen Änderungen auf Deutschland als IT-Standort?

Durch eine fortbestehende ungewisse Gesetzeslage, die einen Zugriff auf persönliche Daten weiterhin erlaubt und keine Garantien für die Datensouveränität von Staaten belegen kann, ist es rechtlich kaum zu akzeptieren mit einem rein-amerikanischen Unternehmen im Technologie-Bereich zusammenzuarbeiten.

Natürlich sind die Unternehmen (z.B. Google, Microsoft und Amazon) per se nicht böse, sondern müssen sich an der Gesetzeslage orientieren, die Ihnen durch den Staat vorgegeben wird. Mit einer gewissen Seriosität betrachtet ist es ein schmaler Grat, den man zwischen der technischen Notwendigkeit der amerikanischen Marktführer und den rechtlichen Anforderungen gehen muss.

Genau in diese Grauzone könnte der deutsche IT-Standort profitieren, denn dieser kann die rechtlichen Grundlagen anbieten und bei fachlichen und technischen Kenntnissen ebenso sehr potente Produkte anbieten (z. B. Inventory360), wenn nicht sogar deutlich attraktivere Angebote für den europäischen Markt zur Verfügung stellen.

Was ist eigentlich das EU-US Privacy Shield (1.0)?

Der offizielle Titel des Durchführungsbeschlusses (EU) von 2016/1250 lautet: Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes oder kurz nicht-amtlich unter der Bezeichnung: EU-US-Datenschutzschild

Das EU-US Privacy Shield umfasst seit 2015 formlose Vereinbarungen im Bereich des Datenschutzrechts zwischen der Europäischen Union und den Vereinigten Staaten. Dies sind Zusicherungen der US-Bundesregierung und eine zufriedenstellende Entscheidung der Europäischen Kommission. Am 12. Juli 2016 entschied die Kommission, dass die Anforderungen des Privacy Shield dem Datenschutzniveau in der Europäischen Union entsprechen.

Das Abkommen umfasst den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die Vereinigten Staaten übermittelt werden. Sie wurde notwendig, als der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin geltende Safe-Harbor-Entscheidung der Europäischen Kommission für nichtig erklärte. 

Am 16. Juli 2020 hat der EuGH durch das Schrems-II-Urteil auch die vollständige Entscheidung der Europäischen Kommission zum EU-US Privacy Shield für ungültig erklärt.

Der EU-US-Datenschutzschild gilt zwischen dem Durchführungsbeschluss der Kommission von 2016 und dem Beschluss des EuGH von 2020.

Das Privacy Shield stand von Anfang an in der Kritik

Die Vereinbarung, dass in der amerikanischen Presse von "Deal" gesprochen wird, ist von Anfang an auf heftige Kritik gestoßen. Maximilian Schrems, der Kläger in einem großen Prozess, der das Safe-Harbor-Regelung störte, sagte beispielsweise, die Zusage der US-Bundesregierung kurz vor der US-Präsidentschaftswahl 2016 stelle „in keiner Weise eine ausreichende Grundrechtsgarantie für Hunderte Millionen Europäer dar“.

Im Juli 2016 machte er seine Kritik in einem Interview mit Deutschlandfunk deutlich. Nach Inkrafttreten der EUUS-Datenschutzschild-Entscheidung besteht keine wesentliche abweichende Rechtslage unter Safe Harbor.

Ich sage dasselbe. US-Recht hat Vorrang. Wenn US-Recht besagt, dass Daten abgefangen werden können, können sie abgefangen werden. (…) Es wird klar gesagt, dass es sich um eine Massenüberwachung handelt in sechs Fällen!

Der Privacy Shield wurde auch von 27 Bürgerrechtsgruppen und Datenschützern abgelehnt. Hauptkritikpunkt war, dass das Abkommen rechtlich nicht bindend sei. Es ist kein Vertrag, es ist nur eine Ansammlung von Briefen. Massenüberwachung durch die US-Regierung wird weiterhin ohne verhältnismäßige Tests toleriert, die gegen europäisches Recht verstoßen. Betroffene Menschen konnten ihre Rechte noch immer nicht wirksam durchsetzen, weil ihnen die Überwachung nicht bewusst war. Deshalb setzen wir keine Ombudsleute ein, die sowieso nicht die nötige Macht haben.

Die Artikel-29-Arbeitsgruppe äußerte in einer Erklärung vom 13. April 2016 Bedenken hinsichtlich des Datenschutzschilds. Datenschutzbeauftragte erklärten, dass eine umfassende und provokative Überwachung von EU-Bürgern noch im Gange sei. Zudem wird der Grundsatz der Vorratsdatenspeicherung nicht anerkannt. Dem vorgesehenen Ombudsmann fehlt als Mitarbeiter des US-Außenministeriums die notwendige Unabhängigkeit.

Am 24. Mai 2016 erhielt das Europäische Parlament bei einem gemeinsamen Entschließungsantrag 501 zu 119 Stimmen und forderte das Europäische Parlament auf, bekannte Mängel des Datenschutzschilds mit einem gemeinsamen Antrag zu beheben.

Nachdem der neu gewählte Präsident Donald Trump am 25. Januar 2017 eine Präsidialverfügung unterzeichnet hatte, schloss er die Anwendung von Datenschutzgesetzen auf US-Bürger oder nicht dauerhaften Einwohner der Vereinigten Staaten aus. Ein angemessenes Datenschutzniveau für EU-Bürger sei damals vorstellbar gewesen.

Am 6. April 2017 hat das Europäische Parlament eine wichtige Resolution zum Privacy Shield angenommen. Die Mehrheit des Kongresses hat einen schwerwiegenden Mangel im Datenschutz festgestellt und ist der Ansicht, dass die Überwachungspraktiken in den Vereinigten Staaten nicht mit EU-Recht vereinbar sind.

Bei der ersten Sitzung der Europäischen Datenschutzkommission im Januar 2019 wurde kritisiert, dass der Ombudsmann-Status nicht dauerhaft erfüllt sei. Es gibt auch keine Offenlegung seiner Befugnisse gegenüber den Sicherheitsbehörden. Die Bundesdatenschutzkommission bezweifelte stark, dass „die Ombudsstelle tatsächlich den erforderlichen Rechtsschutz bieten würde" und bat um Abhilfe.

Fazit

Die Entscheidung des EuGH zu Safe Harbor, wie auch die aktuelle Lage zu einem neuen Privacy Shield bieten derzeit noch keine Fakten, durch die man sich beruhigt zurücklehnen kann. Vor allem Unternehmen, die auf Grundlage von Datenschutzverträgen personenbezogene Daten in die USA transferieren, müssen genau auf die anstehenden Änderungen schauen – und es wird sehr spannend wie beispielsweise Anbieter wie Facebook & Meta, deren EU-Tochter Nutzerdaten an die USA-Muttergesellschaft übermittelt, diesen Spagat schaffen wird. Aber auch viele andere US-Unternehmen, deren Geschäft der Datenverkehr mit der EU ist, werden wirtschaftlich beeinträchtigt werden und müssen sich für das neue Zeitalter des Datenschutzes wappnen.

Auch die letzten Urteile sind eine Antwort auf die aus unserer EU-Sicht unzulässigen Datenschutzpraktiken der US-Unternehmen und der handelnden US-Regierung zu werten, es bleibt abzuwarten wie sich von der Leyen und Biden letztlich zu diesem Thema final positionieren und nicht nur warme Worte ausgetauscht werden, sondern echte Regierungspapiere in Auftrag gegebenen werden. So ist es aus unserer Sicht auch notwendig, dass ein wirtschaftlicher Druck dazu führt, dass sich die USA den EU-Vorstellungen des Datenschutzes nähern und es nicht bei reinen, unmittelbaren politischen Mitteln bleibt. Gerade unter der Prämisse des ungehinderten Informationsflusses ist ein solches Abkommen (Privacy Shield 2.0) wünschenswert, weswegen eine schnelle Einigung zu begrüßen ist.

Alle Unternehmen, die aktuell auf vertraglicher Ebene personenbezogene Daten an Dienstleister der USA übermitteln, haben aktuell einen Grund zu handeln. In den meisten Fällen waren die Datenübermittlungen ohne Datenschutz-Verträge jedoch ohnehin offiziell rechtswidrig, laut EuGH, und auch daran wird sich zukünftig kaum etwas ändern.

Der große Unterschied liegt jedoch in den Details, dass der rechtliche Fokus auf den Datenschutz stärker wird und man mehr als je zuvor auf eine möglichst genaue Einhaltung der Datenschutzvorschriften achten sollte. Die große Zeit der Auftragsdatenverarbeitung-Verträge steht unmittelbar bevor.

Alexander Ritter
Alexander Ritter Autor

Head of Sales & Marketing

Herr Ritter verantwortet bei der EntekSystems die Bereiche Sales & Marketing, vom Management der Teams, bis hin zu Marketingkampagnen, Markenstrategien und Wachstumsplänen.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Weitere Artikel und Beiträge

17.05.2022 Kreislaufwirtschaft – Was ist das Prinzip?

Lernen Sie was die Kernaspekte der Kreislaufwirtschaft sind. Muss ich meine Einstellung in der Wegwerfgesellschaft ändern?

10.05.2022 Was muss alles inventarisiert werden?

Die zentrale Frage in Inventarisierungsprojekten. Wir zeigen Ihnen neben den rechtlichen Anforderungen worauf es wirklich ankommt.

03.05.2022 Brave New Digital World – Welt ohne Datenschutz

Datenschutz und Datensicherheit nehmen in unserem Arbeitsalltag eine immer größere Rolle ein, aber wie sähe eigentlich eine Welt ohne Datenschutz aus?