Liebe Leser und Datenschutz-Interessierte,
wie Sie vielleicht wissen, sind seit dem EuGH-Urteil vom 16.07.2020 (Schrems II) rechtskonforme Datenübermittlungen in die USA (unsicherer Drittstaat) und damit auch die Einschaltung entsprechender US-Dienstleister (z.B. Cloud-Services) nur mit größerem Aufwand überhaupt noch möglich oder oft auch gar nicht (mehr) zulässig.
Hintergrund: Mit diesem Urteil hat der EuGH das zwischen der EU und den US bestehenden „Abkommen“, worauf Datenübermittlungen in die USA rechtlich gestützt werden konnten, für unwirksam erklärt, da es u.a. die Rechte der EU-Bürger nicht ausreichend berücksichtigt. Das gleiche Schicksal ereilte davor auch das vor einigen Jahren bestehende Safe-Harbor-Abkommen (EuGH, 06.10.2015 – C-362/14; Pressemitteilung) bei Datenübermittlungen in unsichere Drittstaaten.
1. EU-Kommission verhandelt mit den USA über ein Nachfolgeabkommen (EU-US-Privacy-Shield 2.0)
Im Anschluss daran hatte die EU-Kommission angekündigt, dass sie in Verhandlungen mit den USA über ein Nachfolgeabkommen steht. Dieses soll die rechtlich beanstandeten Punkte aus dem Urteil entsprechend berücksichtigen. Ob und inwiefern dieses Abkommen die hohen datenschutzrechtlichen Standards innerhalb der EU gewährleistet, ist unklar. Zum Stand der Verhandlungen gibt es nun aber wichtige Neuigkeiten.
2. Executive Order des US-Präsidenten – Weichen für Datenschutzabkommen gestellt?
Laut einer Informationen der DPA wird erwartet, dass das Weiße Haus in Washington in der kommenden Woche eine sog. Executive Order zum Privacy-Shield erlässt. Mit dieser Executive Order sollen die Datenschutz-Rechte der EU-Bürger wesentlich besser berücksichtigt und auch durchsetzbar sein. Über den konkreten Inhalt der Executive Order und des sich daran anschließenden Abkommens mit der EU ist nur wenig bekannt.
Aus US-Regierungskreisen heißt es aber bspw., dass das US-Justizministerium ein unabhängiges Gericht schaffen wird, das die nationalen Sicherheitsinteressen der USA beim Zugriff auf europäische personenbezogene Daten mit den Rechten der EU-Bürgern abwägt und entsprechende Urteile fällt, die für die US-Geheimdienste bindend sein sollen.
3. Wann wird das neue EU-US-Privacy-Shield kommen und was für Vorteile bietet es für Unternehmen?
Über das genaue Datum ist nichts Näheres bekannt. Das liegt u.a. an komplexen Abstimmungsprozessen auf EU-Ebene, die die Inhalte der Executive Order und deren Auswirkungen antizipieren müssen. Erst auf einer daraus folgenden soliden Basis kann ein Entwurf für ein neues Abkommen bzw. einen entsprechenden Angemessenheitsbeschluss (Art. 45 DSGVO) vorbereitet und schlussendlich auch verabschiedet werden. Sollte das neue Abkommen hinsichtlich der Voraussetzungen und der Rechtswirkung ähnlich wie das alte EU-US-Privacy-Shield sein, so wird dies die Unternehmen, die etwa US-Dienstleister (wie Google Analytics, Google Fonts, Google Maps o.Ä.) einsetzen , enorm bei der Einhaltung der datenschutzrechtlichen Vorgaben gemäß Art. 44 ff. DSGVO entlasten.
Bis es soweit ist, verbleibt es aber bei den bekannten und aufwendigen Schritten, die beim Einsatz von US-Dienstleister datenschutzrechtlich beachtet werden müssen (z.B. Abschluss der neuen EU-Standardvertragsklauseln, Durchführung eines Transfer-Impact-Assessments sowie die Implementierung zusätzlicher technischer/organisatorischer Sicherheitsmaßnahmen).
Wir werden Sie über die weitere Entwicklung auf dem Laufenden halten.
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
