Privacy Shield 2.0: USA und EU machen kleinen ersten Schritt

Seit Mitte 2020 ist der Austausch von Daten in mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im Juli entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten und war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens.

Beide Abkommen - Privacy Shield und Safe Harbor - fanden ein Ende aufgrund einer Klage des österreichischen Datenschutzaktivisten Max Schrems. Die entsprechenden Urteile werden deshalb als "Schrems I" und "Schrems II" bezeichnet.

Lesen Sie hier mehr zum Ende des Privacy-Shield-Abkommens.

Das Trans-Atlantic Data Privacy Framework

In einer gemeinsamen Mitteilung äussern sich die USA und die EU nun dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das "Schrems II"-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.

Die USA und die USA versprechen eine "beispiellose Verpflichtung", wenn es darum geht, Privatsphäre und Grundrechte vor amerikanischer Überwachung zu schützen. Eine derartige Überwachung sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismässig ist. Ein Data Protection Review Court soll als Beschwerdestelle für Europäer und Europäerinnen fungieren. Aufgrund von Auflagen bezüglich der Verarbeitung von Personendaten aus der EU müssen US-amerikanische Firmen eine Selbstzertifizierung absolvieren.

Lesen Sie hier mehr zum TADPF im Factsheet der EU dazu (PDF).

Die Schweizer Sicht

"Die rechtliche Umsetzung der politischen Einigung erscheint anspruchsvoll, denn die Anforderungen des EuGH gemäss 'Schrems II'-Urteil sind hoch", schreibt Rechtsanwalt und Digitalexperte Martin Steiger. Es würde der europäischen Wirtschaft aber in jedem Fall bereits helfen, wenn der Datenexport in die USA wieder für einige Zeit abgesichert werden könne.

Martin Steiger, Rechtsanwalt, Steiger Legal. (Source: zVg)

Steiger betrachtet in seinem Beitrag zum TADPF auch die Situation in der Schweiz. Die Frage sei, ob sich die Schweiz - wie bereits bei Safe Harbor und Privacy Shield - mit einer parallelen Lösung anschliessen könne. "Wenn eine solche parallele Lösung nicht möglich wäre, würden Unternehmen und andere Verantwortliche in der Schweiz gegenüber ihrer europäischen Konkurrenz erheblich benachteiligt", schreibt Steiger.

Schrems äussert sich kritisch

Eine weitere offene Frage ist, ob Schrems den Hattrick anstrebt. Safe Harbor und Privacy Shield sind aufgrund seiner Beschwerde bereits gefallen. Zum TADPF äusserte er sich ebenfalls bereits kritisch.

"Wir hatten bereits 2015 ein rein politisches Abkommen, das keine Rechtsgrundlage hatte. Nach allem, was man hört, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen", schreibt Schrems.

Der Datenschutzaktiv und Jurist werde den finalen Text gründlich analysieren. "Wenn das Abkommen nicht im Einklang mit dem EU-Recht steht, werden wir oder eine andere Gruppe es wahrscheinlich anfechten. Am Ende wird der Gerichtshof ein drittes Mal entscheiden." Schrems gehe davon aus, dass auch diese Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung erneut vor dem Europäischen Gerichtshof verhandelt wird.

Max Schrems, Datenschutzaktiv und Jurist, in 2016. (Source:nManfred Werner - Tsui / Wikimedia Commons / CC BY-SA 3.0)