Die EU-Kommission hat im Rahmen ihrer Angemessenheitsentscheidung festgelegt, wie aus ihrer Sicht der künftige Datenaustausch zwischen Europäischer Union und den USA stattfinden soll. Möglicherweise befinden wir uns damit auf der Zielgeraden auf dem Weg zum neuen Privacy Shield.
Kommt endlich der neue Privacy Shield?
Seit dem Ende des Privacy Shield vor einigen Jahren, werden US-Tech-Konzerne wie Meta und Google regelmäßig mit Bußgeldern von der EU überhäuft. Dabei ist es nicht nur das Wettbewerbsrecht, das im Fokus der Behörden steht. Vielmehr geht es um die Datenauswertung von EU-Bürgern auf US-Amerikanischen Servern. Um wieder für mehr Einheitlichkeit zu sorgen hat US-Präsident Joe Biden eine Neuauflage des Privacy Shield zur Chefsache gemacht. Dabei setzen die beiden potentiellen Vertragsparteien auf Kommunikation. So hat man sich bereits im März diesen Jahres getroffen, um eingehend über die Inhalte eines Nachfolgers des Datenschutzabkommens zu reden.
Nun darf die Öffentlichkeit einen ersten Blick auf die Ausfertigung werfen, welche die EU-Kommission zusammengestellt hat. Über den Entwurf setzte die Kommission die Öffentlichkeit am 13. Dezember 2022 in Kenntnis. Im Rahmen einer Mitteilung gab das Gremium an, dass man durch die Erneuerung nicht nur „sichere transatlantische Datenströme“ fördern möchte. Obendrein sollen die im sogenannten „Schrems II Urteil“ beanstandeten Inhalte überarbeitet worden sein. Das Urteil des Gerichtshofs der Europäischen Union (GHdEU) war das Todesurteil des Privacy Shield in seiner ursprünglichen Ausformulierung.
Einstimmigkeit mit den USA
Die Ausfertigung der EU-Kommission ist auf einer Linie mit einem Dekret, das US-Präsident Biden im Oktober unterschrieb. Folglich scheint man nun eine gemeinsame Auffassung über das Datenschutzniveau zu haben, das beim Datenaustausch zwischen EU und USA herrschen soll. Über den gemeinsamen Nenner dürften sich vor allem US-Unternehmen freuen. Schließlich fordern unter anderem Meta und Google seit geraumer Zeit, dass endlich wieder ein Privacy Shield ins Leben gerufen werden müsse. Eine wichtige Veränderung zum Vorgänger ist die Löschpflicht, die in der neuen Ausfertigung Platz finden soll. Personenbezogene Daten sollen fortan gelöscht werden, wenn der Zweck, für den sie erhoben wurden, nicht mehr gegeben ist. Weiterhin soll der Datenschutz auch dann Bestand haben, wenn die Daten an einen Dritten weitergegeben werden sollten.
Startschuss für Angemessenheitsbeschluss
Der Entwurf der EU-Kommission ist gleichsam auch der Startschuss der Angemessenheitsprüfung innerhalb der EU. Dabei geht der Entwurf zunächst einmal zum Europäischen Datenschutzausschuss (EDSA). Parallel dazu muss man das Mitspracherecht aller EU-Mitglieder einbeziehen. Diese müssen der Ausfertigung der EU-Kommission zustimmen. Am Ende des Verfahrens steht der sogenannte Angemessenheitsbeschluss, der seinerseits den Kompromiss zwischen den EU-Gremien darstellt. Steht dieser im Raum, ist es dann wieder an der EU-Kommission, zuzustimmen.
So könnte womöglich noch 2023 der „Privacy Shield 2.0“ in Kraft treten. Darüber freut sich unter anderem auch Eco, ein Verband der IT-Branche. Aus dessen Aussage geht hervor, dass es eben nicht nur Meta und Google sind, die von einer einheitlichen Regelung des sicheren Datenaustauschs profitieren. Auch „für viele kleine und mittelständische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle und eine gelingende digitale Transformation“.
Neues Beschwerdeverfahren für EU-Bürger
Ein Problem, das eine weitere Anwendung des ersten Privacy Shield unmöglich machte, waren die Zugriffsmöglichkeiten der US-Geheimdienste. Wenn Daten von EU-Bürgern auf die Server von US-Unternehmen geschickt wurden, konnten diese beispielsweise von der Central Intelligence Agency (CIA) genutzt werden. Wirklich ausgeschlossen wird ein Zugriff aber auch in der Neufassung nicht. Schließlich gilt ein Recht auf eine Datennutzung im Rahmen der Massenüberwachung.
Allerdings muss der Datenzugriff in angemessener Weise und zu einem rechtfertigenden Zweck erfolgen. Weiterhin soll EU-Bürgern fortan eine neue Beschwerdemöglichkeit zugestanden werden, bei der sie sich gegen die Datensammlung wehren können. Hierbei möchten die USA spezielle Beschwerdestellen und -gerichte einrichten, die über die Fälle entscheiden sollen. Wurden Daten zu Unrecht gesammelt, wird dies von diesen Stellen in einem zweistufigen Verfahren festgestellt.
Droht ein weiteres Schrems-Urteil?
Das eingangs erwähnte Schrems II Urteil trägt seinen Namen nicht ohne Grund. Namensgeber ist der österreichische Jurist und Datenschutzexperte Max Schrems. Dieser und weitere Aktivisten wehrten sich bereits erfolgreich gegen die ursprüngliche Fassung des Privacy Shield. Im Oktober äußerte sich Schrems in Funktion als Vorsitzender der Organisation Nyob bereits kritisch zum Dekret von US-Präsident Biden. Seines Erachtens kann ein neuer Privacy Shield einem erneuten Negativ-Urteil durch den EuGH nur dann standhalten, wenn man als Grundlage eben nicht den US-Erlass nutzt. Wir sind gespannt, ob wir im nächsten Jahr wirklich schon mit einem neuen Privacy Shield rechnen dürfen. Feststeht, dass es Zeit wird für eine zuverlässige und faire Regelung über den Datenaustausch zwischen EU und USA.