Privacy Shield 2.0: Europäische Kommission und USA einigen sich auf Trans-Atlantic Data Privacy Framework

Foto: Amerikanische FlaggeSeit Mitte 2020 kann der Daten-Export aus Europa in die USA nicht mehr mit dem «Privacy Shield» abgesichert werden. Nun haben sich die Europäische Kommission und das Weisse Haus auf ein Trans-Atlantic Data Privacy Framework als «Privacy Shield»-Nachfolger geeinigt.

Europäische Personendaten dürfen grundsätzlich nur in andere Länder bekannt gegeben bzw. exportiert werden, wenn deren Recht einen angemessenen Datenschutz gewährleistet (Art. 6 Abs. 1 DSG und Art. 44 DSGVO).

Wenn in einem Land kein angemessener Datenschutz gewährleistet ist, muss der Daten-Export in einen solchen unsicheren Drittstaat mit anderen Mitteln abgesichert werden, zum Beispiel mit Standardvertragsklauseln (Art. 6 Abs. 1 lit. a DSG und Art. 45 DSGVO).

Für die USA, deren Recht aus europäischer Sicht keinen angemessenen Datenschutz gewährleistet, genügen Standardvertragsklauseln mehr schlecht als recht. Das Grundproblem der amerikanischen staatlichen Überwachung können vertragliche Vereinbarung zwischen privaten Parteien nicht übersteuern.

Am Vorrang von staatlichem Recht scheiterten die früher möglichen Absicherungen, die als «Safe Harbor» (bis 2015) und dem Nachfolger «Privacy Shield» (2016–2020) bekannt waren:

Beide Möglichkeiten wurden vom Europäischen Gerichtshof (EuGH), dem höchsten Gericht der Europäischen Union (EU), für ungültig erklärt. Die Urteile gingen auf Beschwerden von Datenschutz-Aktivist Max Schrems zurück und werden deshalb als «Schrems I»-Urteil sowie «Schrems II»-Urteil bezeichnet.

Die heutige Absicherung mit Standardvertragsklauseln ist aufwendig und mit viel Rechtsunsicherheit verbunden. So müsste in vielen Fällen vor dem Daten-Export ein Transfer Impact Assessment (TIA) erstellt werden und es wären zusätzliche Schutzmassnahmen erforderlich. Kleine und mittlere Unternehmen (KMU) müssen den Daten-Export häufig ohne genügend Absicherung riskieren.

Nun besteht mit der Einigung auf ein neues Trans-Atlantic Data Privacy Framework die Hoffnung, dass der Daten-Export aus Europa in die USA bald wieder effizient und mit einer gewissen Rechtssicherheit abgesichert werden kann.

Worauf haben sich die EU und die USA mit dem neuen Privacy Framework geeinigt?

Die Europäische Kommission und das Weisse Haus veröffentlichten am 25. März 2022 eine gemeinsame Medienmitteilung. In der Medienmitteilung heisst es unter anderem:

«The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.»

Und:

«The Trans-Atlantic Data Privacy Framework […] will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens› rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.»

Dokument: «Fact Sheet» der Europäischen Kommission vom März 2022 über das Trans-Atlantic Data Privacy Framework

Gemäss der Medienmitteilung sowie den jeweils veröffentlichten «Fact Sheets» stehen beim neuen Trans-Atlantic Data Privacy Framework insbesondere folgende Punkte im Zentrum:

  • Die EU und die USA «adressieren» das «Schrems II»-Urrteil sowie gewährleisten (wieder) dauerhaft den freien und sicheren Datenfluss zwischen dem Europäischen Wirtschaftsraum (EWR) und den USA
  • Die USA gehen eine «beispiellose Verpflichtung» ein, um mit Reformen den Schutz der Privatsphäre und von (sonstigen) Grundrechten im Zusammenhang mit amerikanischer Überwachung zu stärken
  • Amerikanische Überwachung soll nur erfolgen, wenn sie für die Verfolgung bestimmter nationaler Sicherheitsinteressen notwendig und verhältnismässig ist, und die bestehende «strenge und mehrstufige Aufsicht» soll ausgebaut werden
  • Die USA schaffen eine mehrstufige und verbindliche Beschwerdemöglichkeit für Europäerinnen und Europäer im Zusammenhang mit der Überwachung durch amerikanische Sicherheitsbehörden, wozu ein unabhängiger «Data Protection Review Court» gehören soll
  • Amerikanische Unternehmen, die Personendaten aus dem EWR bearbeiten, unterliegen strengen Auflagen, wozu eine Selbstzertifizierung gemäss dem bisherigen «Privacy Shield» gehören soll

Wie geht es weiter mit dem Trans-Atlantic Data Privacy Framework?

In einem nächsten Schritt soll das neue Trans-Atlantic Data Privacy Framework in die erforderliche Rechtsform gegossen werden («The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents […]»).

Danach soll der amerikanische Präsident einen entsprechenden Executive Order erlassen, der als Grundlage für einen neuen Angemessenheitsbeschluss der Europäischen Kommission dienen kann. Der Entwurf für einen solchen Beschluss müsste vom Europäischen Datenschutzausschuss (EDSA) geprüft werden.

Im besten Fall steht das neue Trans-Atlantic Data Privacy Framework in einigen Monaten.

Die rechtliche Umsetzung der politischen Einigung erscheint anspruchsvoll, denn die Anforderungen des EuGH gemäss «Schrems II»-Urteil sind hoch. Max Schrems hat sich in einer ersten Reaktion – wenig überraschend – kritisch geäussert.

In jedem Fall würde es der europäischen Wirtschaft bereits helfen, wenn der Daten-Export in die USA wieder für einige Zeit – bis zu einem allfälligen «Schrems III»-Urteil – mit dem «Privacy Shield 2.0» abgesichert werden könnte. Insofern müsste das amerikanische-europäische Ziel für das neue Framework sein, dass mindestens schnelle rechtliche Schritte wie beispielsweise einstweiliger Rechtsschutz am EuGH nicht mit Erfolg möglich sind.

Widerstand ist allerdings nicht nur von Max Schrems und anderen Datenschutz-Aktivisten sowie von einigen Datenschutz-Aufsichtsbehörden zu erwarten, sondern auch von europäischen Unternehmen.

Die bisherige Tendenz zu einem abgeschotteten digitalen Raum in Europa («DSGVO-Internet») kommt den vielen Unternehmen in Europa entgegen, die auf Heimatschutz setzen, weil sie mit der amerikanischen Konkurrenz- und Innovationsfähigkeit nicht mithalten können. Solche Unternehmen – auch in der Schweiz – werben gerne mit ihrem Standort in Europa, «vergessen» aber jeweils zu erwähnen, dass sie in ausgebauten und wachsenden europäischen Überwachungsstaaten sitzen.

Kann sich die Schweiz wiederum der amerikanisch-europäischen Lösung anschliessen?

Aus schweizerischer Sicht stellt sich die Frage, ob sie sich – wie schon bei «Safe Harbor» und «Privacy Shield» – der Einigung zwischen der EU und den USA mit einer parallelen Lösung anschliessen kann.

Wenn eine solche parallele Lösung nicht möglich wäre, würden Unternehmen und andere Verantwortliche in der Schweiz gegenüber ihrer europäischen Konkurrenz erheblich benachteiligt.

Viele Unternehmen in der Schweiz sind darauf angewiesen, Personendaten in die USA direkt oder indirekt rechtssicher exportieren zu können, zum Beispiel für die Nutzung von amerikanischen Cloud-Diensten und sonstigen «… as a Service»-Angeboten.

Mit dem neuen Datenschutzgesetz wäre denkbar, dass der Bundesrat mit den USA vereinbart, dass auf Grundlage der Einigung mit der EU ein weiterer Executive Order erlassen wird.

Dieser Executive Order könnte die Grundlage dafür bilden, dass der Bundesrat für den Datenschutz in den USA die Angemessenheit feststellt, sofern das neue Trans-Atlantic Data Privacy Framework eingehalten wird (Art. 16 Abs. 1 nDSG). Ein völkerrechtlicher Vertrag wäre nicht erforderlich.

Dabei hilft, dass das neue Datenschutzgesetz (nDSG) in der Schweiz den Datenschutz auf natürliche Personen beschränkt (Art. 2 Abs. 1 nDSG). Der Datenschutz juristischer Personen muss nicht mehr berücksichtigt werden.

Wichtig wäre bei einer solchen Lösung, dass möglichst viele amerikanische Unternehmen ihre Selbstzertifizierung gemäss dem bisherigen «Privacy Shield» auf die Schweiz ausdehnen.

Bislang liessen sich viele Unternehmen nur für die EU zertifizieren, obwohl der Zusatzaufwand für die Zertifizierung auch für die Schweiz gering ist. Dieses Problem zeigt sich auch bei den europäischen Standardvertragsklauseln, die für die Verwendung in der Schweiz in einigen wenigen Punkten angepasst oder ergänzt werden müssten, wozu viele amerikanische Unternehmen aber keine Hand bieten.

Bild: Pixabay / TechPhotoGal, Public Domain-ähnlich.

Ein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.