Schrems II: Wie es nun weitergeht

Im Anschluss an das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache „Schrems II“ wurden dessen Auswirkungen auf die grenzüberschreitende Datenübermittlung diskutiert. Anfangs war nicht klar, ob die bisherige Praktik ihre Gültigkeit behalten würde. Eine eingehendere Analyse ergab jedoch, dass Daten weiterhin übermittelt werden können – allerdings unter Vorbehalt.

Mehrere Wochen sind vergangen, seit der EU-US Privacy Shield durch das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache „Schrems II“ für ungültig erklärt wurde. Nehmen wir uns also einen Moment Zeit, um uns zu vergegenwärtigen, was dieses Urteil bedeutet und welche Folgen es haben wird. Gleich im Anschluss an das Urteil wurden dessen Auswirkungen auf die grenzüberschreitende Datenübermittlung diskutiert. Anfangs war nicht klar, ob die bisherige Praktik ihre Gültigkeit behalten würde. Eine eingehendere Analyse ergab jedoch, dass Daten weiterhin übermittelt werden können – allerdings unter Vorbehalt. Überdies zeigen der schiere Umfang und hohe Stellenwert der Handelsbeziehungen zwischen EU und USA (mit einem Handelsvolumen von insgesamt über 700 Milliarden US-Dollar) wie wichtig es ist, dass wir gemeinsam nachhaltige Lösungen für den angemessenen Datentransfer finden – zum Wohle der Gesellschaft und der Wirtschaft.  

Folgende drei Annahmen gelten nach wie vor:

  • Datentransfers in die USA sind weiterhin zulässig. Die Privacy-Shield-Absprache wurde für ungültig erklärt, da Zweifel an den Schutzvorkehrungen für personenbezogene Daten nach US-Recht sowie der Möglichkeit für EU-Bürger, Beschwerde einzulegen, aufkamen. Doch personenbezogene Daten können weiterhin in die Vereinigten Staaten übermittelt werden. Beim Privacy Shield handelte es sich um einen Angemessenheitsbeschluss: Die Übermittlung personenbezogener Daten in die USA galt als rechtmäßig, solange das empfangende Unternehmen unter dem Privacy Shield zertifiziert war. Die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) hingegen regeln Transfers zwischen bestimmten Unternehmen. Die Binding Corporate Rules (BCR) wiederum ermöglichen die Übermittlung von Daten an eine Unternehmensgruppe. 

  • Datentransfers unterliegen einer Einzelfallanalyse. Da die SCCs wie auch die BCRs die Übermittlung spezifischer Kategorien von personenbezogenen Daten zwischen bestimmten Unternehmen bzw. innerhalb einer Unternehmensgruppe regeln, muss ihre Anwendbarkeit auf Einzelfallbasis geprüft werden. Auskunftsgesuche US-amerikanischer Behörden richten sich in der Regel an Verbraucherservices. Bei anderen Datenarten – z. B. Personaldaten – ist die Wahrscheinlichkeit für behördliche Auskunftsgesuche wesentlich geringer, da sie nicht so relevant sind. Viele US-Unternehmen empfangen seit Jahren Daten aus der EU, ohne jemals eine behördliche Aufforderung zur Datenauskunft erhalten zu haben. Zur Bewertung des Schutzniveaus eines Unternehmens können überdies dessen Vorkehrungen zum Schutz der Daten während der Übermittlung (z. B. starke End-to-End-Verschlüsselung) sowie das firmeneigene Konzept zum Umgang mit behördlichen Auskunftsaufforderungen zu Rate gezogen werden.

  • Die Aufsichtsbehörden erkennen an, dass erhebliche Unterschiede bei der Datenübermittlung bestehen. Die kürzlich herausgegebenen Leitlinien des Europäischen Datenschutzausschusses tragen der Tatsache Rechnung, dass verschiedene Datentransfers unterschiedliche Risiken bergen. So schreibt der Ausschuss in seinen häufig gestellten Fragen zum „Schrems II“-Urteil, dass von Unternehmen die „Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen, die [eingesetzt werden], zu berücksichtigen sind“. Auch muss „nach einer Einzelfallanalyse der Umstände der Übermittlung“ ermittelt werden, ob ein ausreichendes Schutzniveau gewährleistet ist. Die Art der übermittelten Daten, die technischen Schutzvorkehrungen, etwaige bisherige behördliche Datenzugriffe in diesem Unternehmen und dessen Richtlinien zum Umgang mit solchen Zugriffen – all diese Überlegungen sollten in die Analyse einfließen.

Es ist wichtig, dass politische Entscheidungsträger auf beiden Seiten des Atlantiks in gutem Glauben zusammenarbeiten, um ein rechtliches Rahmenwerk zu erarbeiten, das für beide akzeptabel ist.

Fazit

Die wichtigste Frage ist, wie es nun weitergeht. EU und USA haben sich verpflichtet, gemeinsam an einem Nachfolgeabkommen des Privacy Shield zu arbeiten. Workday unterstützt dieses Bestreben nachdrücklich. Es ist wichtig, dass politische Entscheidungsträger auf beiden Seiten des Atlantiks in gutem Glauben zusammenarbeiten, um ein rechtliches Rahmenwerk zu erarbeiten, das für beide akzeptabel ist. Die Ausübung von Druck auf eine der Seiten oder der Einsatz von handelsorientierten Durchsetzungsmechanismen führt lediglich zu verhärteten Fronten und Verzögerungen.

Wie ein Nachfolgeabkommen angesichts der Zweifel des Europäischen Gerichtshofs aussehen könnte, ist zu diesem Zeitpunkt schwer zu sagen. Hierzu sind in jedem Fall fruchtbare Verhandlungen zwischen EU und USA nötig. Vor diesem Hintergrund könnten einige Maßnahmen ergriffen werden, um die Differenz zwischen dem Urteil des EuGH und den US-amerikanischen Rechtspraktiken zu überbrücken. So könnte etwa der in der Privacy Shield benannten Ombudsperson, die für Beschwerden wegen unnötiger Datenzugriffe zuständig ist, größere Unabhängigkeit zugesprochen werden. Als Vorbild hierfür könnten die unabhängigen Behörden innerhalb des US-amerikanischen Regierungsapparats dienen. Die Befunde der Ombudsperson im Hinblick auf die Rechte Einzelner könnten dementsprechend einen verbindlichen Charakter erhalten. Bestehende administrative Schutzmaßnahmen in Bezug auf die Datennutzung könnten kodifiziert werden. Die Anforderungen für die Verschlüsselung von Daten während der Übermittlung könnten verschärft werden. Auch könnte es hilfreich sein, einige Kategorien personenbezogener Daten – jene, die eher nicht von behördlichem Interesse sind – gesondert zu behandeln. Letztendlich könnte eine Kombination dieser oder anderer Maßnahmen und Schutzvorkehrungen den Weg zu einem beständigen, nachhaltigen Mechanismus für Datentransfers zwischen der EU und den USA ebnen. 

Laut McKinsey lag der Anteil grenzüberschreitender Datentransfers am weltweiten BIP 2014 bei 2,8 Billionen US-Dollar. Tendenz steigend. Auch investiert die USA laut Aussagen der Europäischen Kommission insgesamt dreimal so viel in die EU wie in Asien. Die EU wiederum investiert achtmal so viel in den US-amerikanischen Markt wie in Indien und China zusammen. In einer zunehmend digitalisierten Welt sind grenzüberschreitende Datentransfers für die enge wirtschaftliche Beziehung zwischen den beiden Regionen unerlässlich. Aus diesem Grund ist eine stabile, nachhaltige Lösung von entscheidender Bedeutung.

Weiteres Lesematerial