Lange war es still um das transatlantische Datenschutzabkommen – heute (Stand 10.07.22023) hat die EU-Kommission den Angemessenheitsbeschluss (Pressemitteilung hier abrufbar) für den Datenschutzrahmen EU-USA angenommen. Fahren die Daten wieder auf einer Datenschutz-Titanic oder endlich in sicherem Fahrwasser über den Atlantik?
Was das neue Abkommen bringt
Das neue Abkommen erlaubt nun Datentransfers in die USA, die seit dem Schrems II-Urteil nur mit hohem Aufwand möglich waren. Das Abkommen bringt dreierlei Vorteile:
- Die lange ersehnte Rechtssicherheit nach dem Schrems II-Urteil. Der Angemessenheitsbeschluss führt dazu, dass aus Sicht der EU-Kommission in den USA nun ein angemessenes Datenschutzniveau besteht. Damit sind Übermittlungen in die USA ohne zusätzliche (rechtliche, technische und organisatorische) Maßnahmen möglich.
- Dies führt zu einer erheblichen Verringerung des Aufwands bei der Durchführung von Datentransfers. Bisher mussten solche Transfers nicht nur aufwändig dokumentiert werden. Es mussten auch eigene Datenschutzverträge (sog. Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer) mit dem Datenimporteur in den USA geschlossen werden. Und dann bedurfte es auch noch „zusätzlicher Maßnahmen“, deren Umfang nicht nur hochumstritten war. Sie waren teilweise auch schlicht unerfüllbar.
- Und nicht zuletzt führt das Abkommen zu einer erheblichen Risikominderung für den Datenexporteur in der EU. Dieser darf nun davon ausgehen, dass die Daten in den USA den gleichen Datenschutzgarantien unterliegen, wie es in der EU der Fall ist.
Die Angst vor Schrems III
Max Schrems hat bereits Widerstand angekündigt. Er will auch den neuen Datenschutzrahmen erneut vom EuGH überprüfen lassen. Schrems kritisiert, dass das vom EuGH gekippte Privacy Shield in kaum veränderter Form erneut erlassen werde. Die rechtliche Situation in den USA haben sich kaum verändert und beschränkt sich nach seiner Auffassung auf eher kosmetische Korrekturen. „Ursula [von der Leyen] und Joe [Biden] greifen in die Trickkiste.“, so Schrems.
Wird das Abkommen erneut vom EuGH gekippt? Das wäre zum jetzigen Zeitpunkt reine Spekulation.
Was Unternehmen jetzt tun sollten
Ab jetzt dürfen sich Unternehmen auf das neue Abkommen verlassen, wenn die Datenimporteure in den USA eine entsprechende Selbst-Zertifizierung aufweisen. Bei kritischen oder umfangreichen Übermittlungen ist es aber dennoch empfehlenswert, weiterhin zusätzlich die Standardvertragsklauseln für internationale Datenübermittlungen zu vereinbaren. Denn sollte der EuGH auch dieses neue Abkommen für nichtig erklären, besteht zumindest ein weiterer rechtlicher Anker für den Datentransfer.
Bleibt zu hoffen, dass das Abkommen dieses Mal hält und keine virtuellen transatlantischen Eisberge im Wege sind.