Was folgt auf das Privacy Shield - ein Privacy Framework oder Schrems III?

Professor Dr. Alexander Roßnagel

ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Seniorprofessor an der Universität Kassel und Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

 

ZD 2022, 305      Am 25.3.2022 haben US-Präsident Joe Biden und die Präsidentin der EU-Kommission Ursula von der Leyen auf einer Pressekonferenz in Brüssel eine politische Grundsatzeinigung zum Datenschutz beim Austausch personenbezogener Daten zwischen den USA und der EU verkündet. Vereinbart werden soll ein neues „Transatlantic Data Privacy Framework“. Dieses ist der dritte Versuch, eine allgemeine rechtliche Grundlage für den Datentransfer über den Atlantik zu vereinbaren, nachdem die ersten beiden Vereinbarungen zu Safe Harbor und Privacy Shield 2015 und 2020 vom EuGH für unionsrechtswidrig und nichtig erklärt worden sind.

Bisher liegt nur eine politische Absichtserklärung beider Seiten vor. Dies ist ein „erster Schritt“ auf einem Weg zu einer befriedigenden Vereinbarung, auf dem noch einige Hürden zu nehmen sind, erläuterte EU-Justizkommissar Didier Reinders am 30.3.2022. Die EU-Kommission warte nun auf einen Rechtstext der US-Seite, über den sie mit den USA beraten könne. Hinsichtlich der Inhalte gibt es nur Vermutungen: So sollen neue Regeln und Garantien den Zugriff der US-Geheimdienste auf die Daten aus Europa auf das beschränken, was „zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig“ sei.

Zudem soll es Rechtsschutz für Beschwerden aus Europa vor einer zweistufigen gerichtsähnlichen Instanz bei der amerikanischen Regierung geben. Dies soll in einer Executive Order des Präsidenten angeordnet werden. Bis sich die Verhandlungsdelegationen auf einen gemeinsamen Text geeinigt haben werden, dürfte es Herbst werden.

Anschließend kann in der EU das Verfahren für einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DS-GVO beginnen. In diesem Verfahren hat die Kommission nach Art. 70 Abs. 1 lit. s DS-GVO dem Europäischen Datenschutzausschuss (EDSA) alle erforderlichen Unterlagen einschließlich des Schriftwechsels mit der Regierung der USA vorzulegen und der EDSA hat in einer Stellungnahme die Angemessenheit des in den USA gebotenen Schutzniveaus zu beurteilen. Danach sind die Mitgliedstaaten im Rahmen des Komitologieverfahrens nach Art. 45 Abs. 3, 93 Abs. 2 DS-GVO sowie Art. 5 VO (EU) 182/2011 zu beteiligen.

Die Kommission erlässt den Angemessenheitsbeschluss als Durchführungsrechtsakt nach Art. 291 AEUV, Art. 5 Abs. 3 VO (EU) 182/2011 nicht, wenn die gewichtete Mehrheit im Ausschuss zum Entwurf eine ablehnende Stellungnahme abgibt. Sie muss in diesem Fall nachverhandeln und das neue Ergebnis erneut dem Ausschuss vorlegen oder von der weiteren Verfolgung des Entwurfs absehen. Nach diesem „Fahrplan“ ist mit einer verbindlichen Entscheidung über die Angemessenheit des Datenschutzniveaus in dem spezifischen Bereich der USA, in dem die Vereinbarung gelten soll, frühestens im ersten Halbjahr 2023 zu rechnen.

Die Verhandlungspartner haben es in der Hand, durch einen adäquaten Grundrechtsschutz in der transatlantischen Datenverarbeitung einen Zustand hoher Rechtsunsicherheit und großer Benachteiligungen zu beenden. Leidtragende der bisher unzureichenden Vereinbarungen zwischen den USA und der EU sind die Verantwortlichen, die personenbezogene Daten nur mit „zusätzlichen Schutzmaßnahmen“ oder gar nicht in die USA übertragen dürfen, und die betroffenen Personen, deren Daten ohne ausreichenden Grundrechts- und Rechtsschutz in den USA verarbeitet werden.

Jedenfalls werden Fragen dazu, wie Grundrechtsschutz und Rechtssicherheit im Datenaustausch zwischen der EU und den USA gewährleistet werden kann, wieder politisch verhandelt. Je nach Ergebnis kann dies als ein großes Verdienst des EuGH (ZD 2020, 511 mAnm Moos/Rothkegel) und der datenschutzpolitischen Diskussion seit seinem Schrems-II-Urteil verstanden werden, aber auch als eine Folge des übergroßen wirtschaftlichen Drucks, Übertragungen personenbezogener Daten wieder rechtssicher zu ermöglichen.

Jedenfalls wird der EuGH den Angemessenheitsbeschluss und das Privacy Framework relativ bald nach seinem Inkrafttreten überprüfen. Hierzu könnte er durch den Vorlagebeschluss eines Gerichts der Mitgliedstaaten Gelegenheit erhalten. Für diesen ist eine Erschöpfung des Rechtswegs in dem Mitgliedstaat nicht notwendig. Aber auch eine Datenschutzaufsichtsbehörde könnte vom EuGH (ZD 2020, 511 mAnm Moos/Rothkegel) eine Entscheidung erwirken.

In Deutschland kann jede Datenschutzaufsichtsbehörde nach § 21 BDSG beim BVerwG eine Klage auf Feststellung der Rechtswidrigkeit des Angemessenheitsbeschlusses einreichen. Das BVerwG wird diese Frage bei Entscheidungsrelevanz dem EuGH (ZD 2020, 511 Rn. 120 mAnm Moos/Rothkegel) vorlegen, damit dieser in einer Vorabentscheidung über die Gültigkeit des Angemessenheitsbeschlusses entscheidet.

Maßstäbe für die Entscheidung des EuGH, aber auch für die Stellungnahme des EDSA und die Verhandlungen im Ausschuss der Mitgliedstaaten sowie für die kritische Öffentlichkeit werden Art. 8, 47 GRCh und Art. 44 S. 2, 45 Abs. 3 DS-GVO sowie das Schrems-II-Urteil und die Empfehlungen des EDSA 1 und 2/2020 sein. Danach ist die Feststellung der Angemessenheit nur möglich, wenn „die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten“ in dem Drittland gewährleistet wird. Das erfordert bei Datenzugriff von US-Behörden für Zwecke der nationalen Sicherheit, dass dieser bestimmt und verbindlich auf das absolut Notwendige beschränkt wird.

Diese Anforderung gilt nicht nur für Rechtstexte, sondern auch für die „Anwendung der Rechtsvorschriften“ in der alltäglichen Praxis. Den betroffenen Personen müssen „wirksame und durchsetzbare Rechte“ auf Information, Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch zustehen sowie „wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe“ vor unabhängigen Gerichten gewährleistet sein. Die Einhaltung der Vorschriften muss wirksam durch eine unabhängige Aufsichtsbehörde überwacht werden, die auch gegenüber den US-Nachrichtendiensten verbindliche Anordnungen treffen kann (EDSA, Statement 1/2022 v. 6.4.2022). Schließlich darf die Feststellung der Angemessenheit des Schutzniveaus nach Art. 44 S. 2 DS-GVO insgesamt nicht „das durch“ die DS-GVO „gewährleistete Schutzniveau für natürliche Personen ... untergraben“.

Sollte die zu verhandelnde Vereinbarung diese Anforderungen erfüllen, wäre dies ein großer Gewinn an Rechtssicherheit und Grundrechtsschutz. Die zentralen Probleme im Datenverkehr mit den USA wären durch ein Einlenken der USA gelöst. Die USA hätten ihre Datenschutzregelungen und rechtsstaatlichen Verfahren so verändert, dass ihr Datenschutzniveau mit dem Niveau in Europa vereinbar wäre. Die Verantwortlichen in Europa müssten nicht mehr die fehlende Rechtsstaatlichkeit in den USA verantworten. Vielmehr wäre die Datenübermittlung ohne Kontrollen und Genehmigungen rechtssicher möglich. Die Grundrechte der betroffenen Personen wären geschützt, ihr Rechtsschutz wäre gewährleistet und eine unabhängige Aufsicht wäre gesichert. Die Aufsichtsbehörden in Europa wären von einer schwierigen Aufsichtsaufgabe befreit.

Ist dieses Ergebnis zu erwarten? Die USA haben in den vorherigen Verhandlungen zu Safe Harbor und Privacy Shield nur Scheinlösungen angeboten. Die Kommission hat zwei Mal Grundrechtsverluste um wirtschaftlicher Vorteile willen akzeptiert und die Adäquanz mit dem Datenschutzniveau der EU in unzulässiger Weise festgestellt. Daher hat der EuGH ihre Entscheidung zwei Mal für nichtig erklärt. Wenn sie nicht ein drittes Mal scheitern will, muss die Kommission dieses Mal viel strenger prüfen und erheblich mehr erreichen als bei den letzten beiden Malen.

Ansonsten droht erneut, dass der EuGH die Adäquanzentscheidung der Kommission aufhebt. Dann wäre auch das neue Abkommen nichtig, müssten die Verantwortlichen in der EU das Datenschutzniveau der USA wieder selbst prüfen und geeignete zusätzliche Schutzvorkehrungen gegen Grundrechtsverluste treffen. Datenübertragungen ohne diese Garantien werden wieder unzulässig. Die Aufsichtsbehörden hätten wieder schwierige Prüf- und Umsetzungsaufgaben. Für die Rechtssicherheit im transatlantischen Datenverkehr wäre nichts gewonnen.

Für die Verantwortlichen ebenso wie für die Aufsichtsbehörden wird es sinnvoll sein, sich bei den jeweiligen Zukunftsplänen, der Entwicklung und Gestaltung von Techniksystemen und der Beratung über Datenschutzfragen an den Schrems-II-Kriterien zu orientieren. Denn entweder wird die Vereinbarung zwischen den USA und der EU diese berücksichtigen oder die Adäquanzentscheidung der Kommission wird durch ein „Schrems-III-Urteil“ aufgehoben. Für die zeitlichen Perspektiven ist daher zu beachten:

Für alle Adressaten des Datenschutzrechts gilt vorerst das bestehende Recht weiter. Solange kein Text vorliegt, hat die Ankündigung politischer Absichten v. 25.3.2022 keine Auswirkung auf die Praxis. Auch wenn ein Textvorschlag für eine Vereinbarung vorliegt, verändert dieser das geltende Recht noch nicht, sondern initiiert nur einen politischen Kampf über die Zulässigkeit der beabsichtigten Kommissionsentscheidung.

Erst wenn ein Angemessenheitsbeschluss der Kommission in Kraft getreten ist, hat dieser nach Art. 288 Abs. 4 AEUV für die Aufsichtsbehörden Bindungswirkung, soweit darin festgestellt wird, dass die USA ein angemessenes Schutzniveau gewährleisten, und die Übermittlung personenbezogener Daten im Ergebnis genehmigt wird (EuGH ZD 2020, 511 Rn. 117 mAnm Moos/Rothkegel).

Hat die Kommission aber in Washington wieder zu wenig erreicht, gilt dies nur bis zur Aufhebung des Angemessenheitsbeschlusses - also vielleicht für einen Zeitraum von zwei oder drei Jahren. Es macht also wenig Sinn, ein Geschäftsmodell, eine Technikentwicklung, eine Verwaltungspraxis oder eine Investition auf diese unsichere Grundlage einer nicht vom EuGH gebilligten Angemessenheitsentscheidung zu stützen.

Die nächsten Jahre werden weiterhin von Unsicherheit geprägt sein. Verantwortliche sollten daher mindestens zwei Strategien verfolgen, die sie nach ihrer realistischen Einschätzung gewichten sollten: Zum einen könnten sie hoffen, dass es durch substanzielle Zusicherungen der USA zu Erleichterungen im Austausch von personenbezogenen Daten kommt, die der EuGH als ausreichend akzeptiert. Zum anderen aber müssen sie auch damit rechnen, dass diese Zusicherungen unzureichend sind und der EuGH die Angemessenheitsentscheidung der Kommission wieder aufhebt. Verlässlich ist ausschließlich, dass der EuGH das letzte Wort hat.