Experten-Blog im Datenschutz

EU-US Privacy Shield 2.0: Hat das Warten nun ein Ende?

EU-US Privacy Shield 2.0: Hat das Warten nun ein Ende?

Nach langem Warten wurde das neue EU-US Datentransfer-Abkommen am Freitag von der EU-Kommission und der US-Regierung angekündigt. Gerade noch rechtzeitig könnte man meinen. Denn zuletzt rumorte es, den EuGH-Entscheid „Schrems-II“ in der Praxis auch konsequent durchzusetzen. Doch ist die Gefahr für Unternehmen und Betroffene beim US-Datentransfer damit bereits gebannt? Mit diesem Artikel wollen wir eine erste Einschätzung abgeben.

Eine "noch nie dagewesene Verpflichtung" der USA

So heißt es in der gemeinsam veröffentlichten Erklärung vom 25. März. Man habe sich „prinzipiell“ auf ein transatlantisches Abkommen geeinigt. Zwar liegt ein Text des neuen Abkommens bisher nicht vor, doch wurden erste Details bekannt gegeben. Von US-Seite wurde zugesagt, weitreichende Reformen und Sicherheitsvorkehrungen zum Schutz der Privatsphäre und der Bürgerrechte vorzunehmen. Daten sollen fortan frei und sicher zwischen der EU und den USA fließen können, zumal auf dem freien Datenverkehr ein Handelsvolumen von 900 Milliarden Euro jährlich basiert. Doch hat das Warten nun ein Ende?

Die Rahmenbedingungen für das neue Framework sind im Grunde gesetzt. Man wolle mit dem EU-US Privacy Shield 2.0 (genannt „Transatlantischer Datenschutzrahmen“) durch verbindliche Sicherheitsvorkehrungen gewährleisten, dass Signalüberwachungstätigkeiten und Datenzugriffe zur Verfolgung definierter, nationaler Sicherheitsziele fortan auf erforderliche und verhältnismäßige Zugriffe begrenzt sind. Zudem soll ein zweistufiger Rechtsbehelfsmechanismus eingerichtet werden, um Verstöße des unbefugten Zugriffs auf Daten von EU-Bürgern zu untersuchen. Es soll zudem die Möglichkeit einer gerichtlichen Überprüfung in den USA geschaffen werden. Des Weiteren sollen US-Unternehmen strengere Verpflichtungen bei der Selbstzertifizierung unter dem Schirm des neuen Abkommens einhalten und die Aufsicht soll insgesamt verbessert werden.

Sind die Risiken mit der Neuauflage gebannt?

Für den US-Datentransfer gelten bis auf weiteres die rechtlichen Einschränkungen, die spätestens seit dem Schrems-II-Entscheid bestehen. Dadurch müsste eine ausdrückliche und transparente Einwilligung Betroffener vorliegen, die freiwillig, widerruflich und transparent erfolgt und sich zudem auf den Datentransfer in ein unsicheres Drittland bezieht. Streng genommen müsste der Transfer etwa durch eine geeignete Vollverschlüsselung erfolgen, um den unbefugten Zugriff per se auszuschließen. Letzteres erweist sich vor dem Hintergrund des zu betreibenden Aufwandes, der Einrichtungskosten sowie der praktischen Durchführung für die meisten Unternehmen nicht als realistisches Szenario.

Sobald der neue Angemessenheitsbeschluss vorliegt, muss dieser im nächsten Schritt den Europäischen Datenschutzausschuss (EDSA) passieren sowie durch eine Exekutiventscheidung der EU-Kommission abgesegnet werden. Dieser Prozess wird zumindest mehrere Monate in Anspruch nehmen. In den USA soll die Einhaltung der neuen Verpflichtungen dann über eine neue Durchführungsverordnung („Executive Order“) sichergestellt werden. Aus rechtlicher Sicht handelt es sich somit um eine Art Notpflaster, um wirtschaftliche Schäden durch einen gestoppten EU-US Datentransfer abzuwenden und den weitreichenden Datentransfer zu sichern.

Auf dem Weg zum Schrems-III-Entscheid?

Das erscheint ohne Weiteres realistisch. Denn die eigentliche und vom EuGH beschiedene Kernproblematik wird - soweit erkennbar - von den Neuerungen nicht erfasst, nämlich die anlasslose Erhebung und Verarbeitung durch umfassende und nicht näher definierte Überwachungstätigkeiten. Es bedürfte somit einer umfassenden Änderung nationaler Sicherheitsgesetze wie des FISA und des Cloud-Act und somit Reformen grundsätzlicher und weitreichender Natur. Die von Washington avisierte Durchführungsverordnung wird, der bisherigen Rechtsprechung folgend, somit nicht ausreichen die Anforderungen zu erfüllen. Dafür spricht auch, dass es sich bei der Executive Order um nicht einklagbare Zusicherungen der US-Seite handelt, mit deren Hilfe das neue Framework erfüllt werden soll.

 

Hier geht es zur Beratung im Datenschutz.


Mit Rocketlegal.de im Datenschutz durchstarten

Wer schreibt hier?

Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.

Externer Datenschutz-beauftragter

ab 150 EUR im Monat

inklusive DSMS und Webseiten-Audit

Externer Datenschutz

Stets aktuelle News in unserem Datenschutz Experten-Blog.

Rocketlegal | Datenschutz-Blogim Blogverzeichnis Bloggerei.de
Blogtotal
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Blogverzeichnis von Trusted Blogs
RSS-Feed für Abonnenten und Verzeichnisse

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB

Im