Im März 2022 haben die europäische Union und die Vereinigten Staaten den Nachfolger für das Privacy-Shield-Abkommen vorgestellt: das Trans-Atlantic Data Privacy Framework. Das neue Abkommen, das auch als „Privacy Shield 2.0“ bezeichnet wird, soll den freien und sicheren Datenaustausch zwischen der EU und den USA gewährleisten.
Mit dem am 7. Oktober 2022 unterzeichneten Erlass, der Executive Order, hat der US-amerikanische Präsident Joe Biden einen langersehnten Schritt in Richtung einer neuen Lösung gemacht. Denn seit mehr als zwei Jahren steht der Datenaustausch über den Atlantik auf einem wackeligen Fundament und der dringend benötigte neue Rechtsrahmen für die Übermittlung von Daten fehlt bisher.
Politik und Wirtschaft sowie Datenschützer wünschen sich einen freien und vor allem sicheren Datentransfer und den dazugehörigen Rechtsrahmen. Dennoch ist Bidens Erlass, seine Durchführungsverordnung, nur einer von vielen noch notwendigen Schritten. Denn auf Basis dieses Dekrets muss die EU-Kommission erneut eine sogenannte Angemessenheitsentscheidung treffen.
Mit dieser auf Artikel 45 der Datenschutz-Grundverordnung (DSGVO) basierenden Entscheidung wird festgestellt, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Die EU-Kommission darf diesen Beschluss jedoch nicht allein treffen, sondern muss den Europäischen Datenschutzausschuss (EDSA) und die europäischen Mitgliedstaaten hinzuziehen.
Bei der Prüfung der Angemessenheit des Datenschutzniveaus stehen besonders Rechtsstaatlichkeit sowie die Anwendungen der Rechts- und Datenschutzvorschriften im jeweiligen Drittland im Fokus. Und genau hier liegt das Problem. Denn ob ein sinnvolles Datenschutzabkommen mit den USA möglich ist, ist fraglich.
US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act ermöglichen eine Massenüberwachung durch Sicherheitsbehörden wie die NSA und der USA Patriot Act erlaubt dem FBI oder der CIA, Zugriff auf Server von US-Unternehmen und deren Tochterfirmen.
Zwar gab es zwischen den Jahren 2000 und 2015 das Safe-Harbor-Abkommen, ein Beschluss der EU-Kommission, der den Datenschutz in den USA unter den Safe-Harbor-Bedingungen als adäquat zu den europäischen Regelungen ansah. Gleichzeitig stand das Abkommen aufgrund der mangelnden Rechtsgrundlage und den oben genannten US-Gesetzen häufig in der Kritik. Zudem war die Safe-Harbor-Vereinbarung eine freiwillige Verpflichtung.
Spätestens mit den Enthüllungen Edward Snowdens im Sommer 2013 wurde sehr deutlich, dass der Datenschutzstandard in den Vereinigten Staaten nicht dem der EU entspricht. Die Klage des österreichischen Datenschützers Max Schrems und das darauffolgende Schrems-I-Urteil gegen Facebook ebnete den Weg für das Ende des Safe-Harbor-Abkommens im Oktober 2015.
Der europäische Gerichtshof (EuGH) urteilte, dass personenbezogene Daten grundsätzlich nicht an die USA übermittelt werden dürfen, da es keinen ausreichenden Schutz für diese Daten auf US-amerikanischen Servern gibt, womit die Safe-Harbor-Vereinbarung für ungültig erklärt wurde.
Um die Rechtssicherheit für den regen Datenaustausch zwischen den USA und der EU wieder herzustellen, trat 2016 das EU-US Privacy Shield in Kraft. Der hastig von der EU-Kommission geschaffene Nachfolger des Safe-Harbor-Abkommens ist ebenfalls lediglich eine Absprache. Auf deren Basis US-Unternehmen eine Selbstverpflichtung eingehen, dass sie DSGVO-konform mit den Daten der EU-Bürger umgehen.
Zudem wurde eine unabhängige Beschwerde- bzw. Schlichtungsstelle (Ombudsstelle) im US-Außenministerium eingerichtet, um aufkommende Beschwerden aus Europa zu bearbeiten.
Wie die Safe-Harbor-Vereinbarung wurde das Privacy Shield von Beginn an von Datenschützern und NGOs heftig kritisiert. Obwohl die Anforderungen an den Datenschutz verschärft wurden, hatten US-Behörden weiterhin umfangreichen Zugriff auf die gespeicherten Daten von EU-Bürgern und auch Maßnahmen der Massenüberwachung waren immer noch zulässig.
Wieder war es der österreichische Jurist und Datenschutzaktivist Max Schrems, der das Privacy Shield im Sommer 2020 endgültig zu Fall brachte. Im sogenannten Schrems-II-Urteil wurde das Abkommen über den Transfer persönlicher Daten von Europäern in die USA für unrechtmäßig erklärt.
Der EuGH hat sich in seinem Urteil insbesondere auf die Überwachungsprogramme US-amerikanischer Geheimdienste bezogen. Dadurch wird nicht nur deutlich, dass das Datenschutzniveau in den USA nicht gleichwertig mit dem in der EU ist, sondern dass ein dringender Handlungsbedarf besteht.
Seit dem Ende des Privacy Shields im Juli 2020 dürfen personenbezogene Daten von EU-Nutzern nicht mehr ohne Weiteres in den USA gespeichert werden. Das hat vor allem für die Nutzung von Cloud-Diensten erhebliche Folgen, denn der überwiegende Teil der Server steht in den USA. Dort dürfen die europäischen Daten nur sehr eingeschränkt gespeichert werden.
Oftmals berufen sich die beteiligten Unternehmen auf die sogenannten Standarddatenschutzklauseln. Diese sind zwar zulässig, gleichzeitig bieten sie mitnichten ein mit der EU vergleichbares Datenschutzniveau. Zwar müssen die Informationen im Rahmen dieser Standardklauseln verschlüsselt übertragen werden.
Da die US-amerikanischen Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Cloud Act oder der USA Patriot Act weiterhin ihre Gültigkeit haben, ist das geforderte Datenschutzniveau in den USA jedoch nicht im erforderlichen Maße umsetzbar.
Diesen Missstand und die fehlende Rechtssicherheit wollen die EU und die USA mit dem Trans-Atlantic Data Privacy Framework, also dem Privacy Shield 2.0 beheben.
Zu den im März 2022 veröffentlichten ersten Grundprinzipien des neuen Abkommens, dem Trans-Atlantic Data Privacy Framework oder dem Privacy Shield 2.0, gehören folgende Punkte:
Während die USA in ihrem dazugehörigen offiziellen Statement von „beispiellosen Verpflichtungen“ sprechen, sind viele Datenschutzorganisationen und Max Schrems ganz anderer Meinung. In der ersten Stellungnahme zu Bidens Exekutivanordnung kritisiert Schrems, dass die USA weiterhin ihre Massenüberwachungssysteme nicht einschränken würden und dass der „Data Protection Review Court“ im eigentlichen Sinne kein Gericht, sondern lediglich ein Verwaltungsorgan sei.
Zudem moniert er, dass die US-Unternehmen sich nicht an die DSGVO halten müssen, da die EU-Kommission deren Einhaltung nicht explizit verlangt hat. Der Österreicher zweifelt daran, dass die USA eine Zukunft als weltweiter Cloud-Anbieter haben, wenn internationale Kunden nach US-Gesetzen keine Rechte hätten. Im Grunde sieht er wenig Chancen für das neue Abkommen.
Demgegenüber äußerte sich der IT-Branchenverband Bitkom positiv zur Durchführungsverordnung Bidens, da sie ein klarer Fortschritt für die Absicherung internationaler Datenübertragungen sei und Unternehmen belastbare rechtliche Rahmenbedingungen und die dazugehörige Rechtssicherheit bräuchten.
Mit dem Privacy Shield 2.0 wäre für Unternehmen dahingehend zumindest eine deutliche Erleichterung in Sicht. Doch es bleibt abzuwarten, wie der Angemessenheitsbeschluss der EU-Kommission aussieht und ob es bei aktuell gültigen US-Gesetzen zu datenschutzfreundlicheren Anpassungen kommen wird.
Neben den bereits erwähnten Cloud-Diensten könnten US-amerikanische Anbieter von Cyber-Sicherheitsdiensten wie DDoS-Schutz oder Web Application Firewall (WAF) ebenfalls betroffen sein. Viele dieser Unternehmen nutzen für ihre Schutzlösungen ein Content Delivery Networks (CDN) als eine Art Datenautobahn. CDNs sind komplex und lassen sich nur schwer taktisch an solche weitreichenden regulatorischen Anforderungen wie die bisher beschriebenen anpassen.
Die Daten auf dieser Datenautobahn finden völlig losgelöst vom Datenschutz den Weg zum Nutzer. In Sekundenschnelle befindet sich der Datenverkehr auf Überseekabeln bzw. außerhalb der EU-Datenschutzzone.
Unternehmen, die auf Nummer sicher gehen wollen, sollten ihre Daten und IT-Sicherheit einem Anbieter aus Deutschland bzw. Europa anvertrauen und damit eine unzulässige Datenverwendung in den USA von vornherein ausschließen. Die strengen Vorgaben des europäischen und des deutschen Gesetzgebers zum Datenschutz und der Datensicherheit bieten die erforderliche Sicherheit für eine Datenübermittlung.
Neben diesem hohen Schutzlevel wird durch die DSGVO-Konformität der „Made in Germany“-Sicherheitslösungen auch die Einhaltung von Compliance-Anforderungen erleichtert.
Sie wollen mehr zu DSGVO-konformen IT-Sicherheitslösungen wissen? Nehmen Sie gern zu uns Kontakt auf: