Privacy Shield II: Ist das in einer DSGVO-Welt noch möglich?

Mit den jüngsten Entscheidungen zur Datenschutzgrundverordnung, die der Datenverarbeitung durch Unternehmen, wie wir sie kennen, grundsätzlich ein Ende setzen, gibt es nun einen großen Druck für eine bessere Angleichung zwischen der EU und den USA beim Datenschutz. Lange Zeit fühlten sich Unternehmen und andere Institutionen im Rahmen von Safe Harbor und Privacy Shield sicher, doch als Daten immer mehr zu einer Ware wurden und die Praxis des Sammelns und Verkaufens von Daten immer lukrativer und unsichtbarer wurde, wurden die Menschen hellhörig. Jetzt sind wir an einem Punkt angelangt, an dem wir neue Datenschutzvereinbarungen brauchen.

Alle wollen das, aber wie sind wir hierher gekommen und sind wir schon weiter?

Was war das Privacy Shield?

Im Oktober 2015 hat der Europäische Gerichtshof die internationalen Datenschutzgrundsätze von Safe Harbor für ungültig erklärt.

Safe Harbor wurde zwischen 1998 und 2000 entwickelt und sollte verhindern, dass private Organisationen die personenbezogenen Daten von EU- und US-Bürgern offenlegen oder verlieren. Nach zahlreichen Beschwerden, auch über Facebook-Daten, entschied die EU, dass die USA und Safe Harbor nicht mit der EU-Datenschutzrichtlinie übereinstimmen.

Diese Safe-Harbor-Entscheidung ist auch als Schrems I bekannt. In dem Bemühen, die negativen Auswirkungen der Außerkraftsetzung von Safe Harbor zu begrenzen, schufen die EU und die USA im Jahr 2016 einen neuen Datenrahmen, Privacy Shield.

Dieses neue Abkommen sollte einige der Mängel von Safe Harbor beheben, aber laut dem Europäischen Datenschutzbeauftragten (EDSB) gab es immer noch einige Probleme im Zusammenhang mit der Löschung von Daten, der Sammlung großer Datenmengen und dem neuen Ombudsmannmechanismus. Ungeachtet dieser Punkte hat die Europäische Kommission das Privacy Shield im Juli 2016 angenommen.

Privacy Shield und Schrems II

Die im Jahr 2016 entdeckten potenziellen Probleme, eine sich drastisch verändernde Technologielandschaft und politische Veränderungen auf beiden Kontinenten führten zum Scheitern von Privacy Shield im Jahr 2020.

Der österreichische Datenschutzaktivist Max Schrems argumentierte, dass das Datenabkommen nicht genug zum Schutz der personenbezogenen Daten von EU-Bürgern bei der Übermittlung in die USA beiträgt.

Das Hauptproblem, an dem das Abkommen scheiterte, war die Massenüberwachung durch die USA.

"Der Datenschutzschild war nicht das Hauptproblem; das Problem ist, dass der Datenschutzschild den US-Überwachungsgesetzen weichen musste", sagte Schrems.

Johnny Ryan, Senior Fellow beim Irish Council for Civil Liberties, fügte hinzu, dass es bei Privacy Shield und Safe Harbor nie um die Prüfung von Daten aus Sicherheitsgründen gegangen sei, sondern vielmehr um transparente Verfahren und den Rechtsschutz für EU-Bürger: "Der wichtigste Punkt ist, dass ein Richter jemandem, der sich außerhalb der USA aufhält, einen Rechtsschutz gewähren kann, dass er seine Rechte einklagen kann, wenn seine Rechte verletzt werden", sagte Ryan. Ohne diese Schutzvorkehrungen und ohne eine echte Möglichkeit, diese Bedenken schnell auszuräumen, wurde Privacy Shield im Juli 2020 in einer Entscheidung, die jetzt als Schrems II bekannt ist, für ungültig erklärt.

Die Zukunft von Privacy Shield

Ohne einen rechtlichen Rahmen für die Verarbeitung von Daten, die zwischen Europa und den USA fließen, haben Länder in ganz Europa viele Arten von Datenübertragungen für illegal erklärt: Österreich und Google Analytics, Belgien und IAB, Frankreich und Google Analytics, usw. Inzwischen gibt es höchstwahrscheinlich weitere Länder, die diese Liste ergänzen.

Solche Fälle machen die Notwendigkeit eines Privacy-Shield-Ersatzes noch wichtiger - für die Verantwortlichen auf beiden Seiten des Atlantiks.

Ganz zu schweigen von der Tatsache, dass viele EU-Länder und -Behörden die Datenpraktiken großer Technologieunternehmen wie Facebook, Microsoft, Amazon und Google immer genauer unter die Lupe nehmen.

Seit Präsident Joe Biden im Amt ist, arbeitet er zusammen mit der Präsidentin der Europäischen Kommission, Ursula von der Leyen, an einem Ersatz, aber bisher haben diese Treffen nur optimistische Worte hervorgebracht.

Auf dem Treffen des Handels- und Technologierates (TTC) im September 2021 boten die USA einen quasi-richterlichen Aufsichtsmechanismus über die nationalen Sicherheitsbehörden an, um die Unterzeichnung eines neuen Abkommens vor Ende des Jahres zu erreichen, aber der Deal wurde nicht angenommen. Es besteht die Hoffnung, dass die jüngsten Verhandlungen bei der nächsten TTC-Sitzung im Mai 2022 zu einem besseren Ergebnis führen werden.

Viele hoffen, dass beide Parteien eine Einigung erzielen können, die es den amerikanischen Geheimdiensten erlaubt, weiterhin auf die Daten der Menschen zuzugreifen, und gleichzeitig die Rechte der EU-Bürger schützt.

Eine Lösung könnte die Einrichtung einer unabhängigen Justizbehörde sein, die Beschwerden von EU-Bürgern prüft, die der Meinung sind, dass die US-Behörden unrechtmäßig mit ihren Daten umgegangen sind.

Die Einzelheiten dieses Plans - wie z. B. die Frage, woher jemand überhaupt weiß, dass er eine Beschwerde einreichen soll, und ob sie vor Gericht überhaupt Bestand haben wird - sind noch nicht geklärt.

Eines ist jedoch klar: Welche Entscheidung auch immer getroffen wird, sie wird nicht im Kongress getroffen werden - eine Tatsache, die jede Einigung zunichte machen könnte, bevor sie überhaupt begonnen hat.

Da eine politische Einigung und Fortschritte heutzutage nur schwer zu erzielen sind, müsste jede Änderung mit den bestehenden US-Vorschriften und -Verordnungen vereinbar sein.

Die meisten Experten sind sich einig, dass wesentliche Fortschritte nur durch Gesetzesänderungen in den USA erzielt werden können, die den Zugriff nationaler Sicherheitsbehörden auf EU-Daten einschränken und den EU-Bürgern eine klare und transparente Möglichkeit geben, diesen Zugriff vor Gericht anzufechten.

Wie lange wird es ohne diese Dinge dauern, bis wir ein Schrems III haben?