Datentransfers in die USA

Am 25. März veröffentlichten die EU-Kommission und die USA eine von vielen Unternehmen sehnlichst erwartete Erklärung: Es gibt eine Einigung über die Prinzipien des Trans-Atlantic Data Privacy Framework (TADPF). Vor knapp zwei Jahren hatte das „Schrems II“-Urteil des EuGH transatlantische Datentransfers massiv erschwert. Die Richter kippten den Privacy Shield, ein Abkommen, auf dessen Grundlage Daten von der EU in die USA übermittelt wurden. 2015 war bereits das Vorgänger-Abkommen Safe Harbor vom EuGH für nichtig erklärt worden. Derzeit müssen Unternehmen deshalb auf andere Transfermechanismen zurückgreifen, etwa die von der EU vorgegebenen Standarddatenschutzklauseln (SDK). Es besteht aber weiter große Rechtsunsicherheit, da sich aus den Vorgaben des „Schrems II“-Urteils und den Anforderungen der Aufsichtsbehörden teils hohe Hürden ergeben.

Große Hoffnungen liegen deshalb auf dem sich abzeichnenden TADPF. Über den konkreten Inhalt ist noch wenig bekannt, aber das Ziel ist: endlich Einklang zwischen den Sicherheitsinteressen der USA und europäischen Datenschutzstandards und der Rechtsstaatlichkeit. Wesentliche Inhalte können der Pressemitteilung der US-Regierung entnommen werden. Das TADPF soll auf dem bisherigen Privacy Shield aufsetzen. Neu ist, dass ein quasigerichtliches, zweistufiges Gremium etabliert werden soll, das über Beschwerden Betroffener aus der EU entscheidet. Ergänzend sollen Maßnahmen bei US-Geheimdiensten dafür sorgen, dass etwa die Überwachung auf ein verhältnismäßiges Maß reduziert wird. Die angestrebten Änderungen werden die USA über eine neue Verwaltungsvorschrift (Executive Order) des Präsidenten umsetzen. EU-Justizkommissar Didier Reynders nannte als mögliches Zieldatum einer Ratifizierung Ende des Jahres.

Doch Max Schrems, dessen Klagen die vorherigen Abkommen zu Fall gebracht hatten, kritisiert das TADPF als „rein politisches“ Abkommen „ohne Rechtsgrundlage“. Er gehe davon aus, dass jedes Abkommen, das dem Datenschutzniveau der EU nicht entspreche, zeitnah vor dem EuGH angefochten werde. Die Frage ist, wie schnell mit einem „Schrems III“-Urteil zu rechnen ist. Safe Harbor war 15 Jahre in Kraft, die erste Klage gegen den Privacy Shield wurde anderthalb Monate nach Veröffentlichung erhoben, die Aufhebung erfolgte rund vier Jahren später.

Die Ankündigung des TADPF sorgt noch nicht für Rechtssicherheit bei Unternehmen. Es ist weiter nötig, transatlantische Datenübermittlungen mit den bestehenden Mitteln (etwa SDK) abzusichern. Die letztes Jahr veröffentlichten, nun modular aufgebauten SDK beschäftigen derzeit viele Unternehmen – für Verträge mit Dienstleistern und Kunden oder bei konzerninternen Datentransfers. Bereits seit Herbst 2021 dürfen für Neuverträge nur noch die neuen SDK verwendet werden, für Altverträge noch bis 27. Dezember 2022. Diese Frist sollte im Kopf behalten werden, denn unabhängig von der Implementierung des TADPF ist es für EU-Unternehmen ratsam, SDK mit US-Unternehmen abzuschließen – denn das Risiko eines „Schrems III“-Urteils ist hoch und mit den SDK ist man besser gewappnet.