TADPF bzw. Privacy Shield 2.0 - Cloudanwendungen und DSGVO - UPDATE - Aktueller Stand - Einschätzung von DURY LEGAL

Privacy Shield Biden Leyen 2.0[UPDATE 30,03.2022]

Stehen die EU und USA kurz vor Einigung zu einem Nachfolgeabkommen des EU-US-Privacy-Shields mit dem Namen "Trans Atlantic Data Privacy Framework - TADPF"? Welche Auswirkungen hätte der Abschluss dieses TADPF, also eines Privacy-Shields 2.0, für die Nutzung US-basierter Cloud-Anwendungen und den Datentransfer zwischen der EU und den USA?

Am 25.03.2022 gaben US-Präsident Biden und die Präsidentin der EU-Kommission, Ursula von der Leyen, bekannt, dass die EU und USA kurz vor einem Durchbruch für ein Nachfolgeabkommen für den weggefallenen Privacy-Shield stehen. Was bedeutet dies in Zukunft für den Datenverkehr zwischen der EU und den USA?

Geschichte / Hintergrund

Damit personenbezogene Daten in den USA verarbeitet werden können, bedarf es eines dem EU-Niveau entsprechenden Datenschutzniveaus in den USA. Dies war und ist per se nicht der Fall. Daher vereinbarten die EU und die USA im Jahr 2000 diverse Regelungen zum Schutz von personenbezogenen Daten von EU-Bürgern und manifestierten diese in dem Abkommen "Safe Harbor".

Dann verschärften die USA ihre Überwachungsgesetze nach den Terroranschlägen vom 11. September 2001 massiv und senkten das Datenschutzniveau erheblich ab.

Das Safe-Harbor Abkommen wurde dann im Jahr 2016 von dem EuGH gekippt (wir berichteten hier: https://www.dury.de/blog/datenschutzrecht-blog/update-03-02-2016-eugh-safe-harbor-abkommen-mit-den-usa-keine-ausreichende-rechtsgrundlage-fur-datenexport-in-die-usa-inkl-musteranschreiben-zur-kundeninformation).

Daraufhin schlossen die USA und die EU wenige Monate danach schnell ein neues Abkommen ab, das sog. EU-US-Privay-Shield-Abkommen (kurz: Privacy-Shield).

Alle uns bekannten Datenschutzexperten (so auch wir) waren sich einig, dass dieses Privacy-Shield-Abkommen "Dead on Arrival" war. Beim ersten Angriff vor dem EuGH musste es fallen! (wir berichteten u.a. hier: https://www.dury.de/datenschutzrecht-blog/privacy-shield-eugh). Im Sommer 2020 war es dann soweit und der EuGH sprach nach 4 Jahren sein Urteil, das besser bekannt ist unter dem Schlagwort "Schrems II".  Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten von Europäern.

Das Privacy-Shield-Abkommen wurde aufgehoben. Den Namen Schrems II trägt das EuGH-Urteil, da der Hauptklageführer der österreichische Jurist und Datenschutzaktivist "Max Schrems" war, dessen Datenschutzorganisation NOYB (www.noyb.eu) beharrlich daran arbeitet, dass das Thema "Datenschutz" in Europa ernst genommen wird.
DURY LEGAL ist Fördermitglied von NOYB.

Seit Sommer 2020 (Schrems II) existiert de facto keine Rechtsgrundlage mehr für die meisten Datenverarbeitungsvorgänge (bzgl. personenbezogener Daten) in Verbindung mit Services von US-Anbietern, denn sowohl das Safe-Harbor, als auch das Privacy-Shield Abkommen bildeten als sog. Teilangemessenheitsbeschlüsse gem. Art. 45 Abs. 3 DSGVO genau diese Rechtsgrundlage.

Mit einem Angemessenheitsbeschluss stellt die EU-Kommission fest, dass die Übermittlung personenbezogener Daten in den USA einen dem Europäischen Datenschutzrecht vergleichbaren angemessenen Schutz aufweisen. Besteht der Angemessenheitsbeschluss, dürfen personenbezogene Daten, ohne weitere Genehmigung in die USA übermittelt werden. Ein Angemessenheitsbeschluss entbindet jedoch nicht davon, die datenschutzrechtlichen Vorgaben an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben zu erfüllen.

Mit Aufhebung der Teilangemessenheitsbeschlüsse fehlte plötzlich die Rechtsgrundlage für alle Datentransfers von personenbezogenen Daten innerhalb von Datenverarbeitungsprozessen, die über IT-Systeme laufen, deren Betreiber von Unternehmen aus den USA beherrscht werden.

Entgegenstehende Beteuerungen von Google, Microsoft und Co. sind rechtlich unbeachtlich. Auch über das Entsetzen div. Layen aber auch von Fachkreisen, wenn wieder einmal ein Gericht oder eine Datenschutzaufsichtsbehörde entsprechende Datenexporte mit Bezug zu unsicheren Drittstaaten als klar rechtswidrig einstufen, kann man sich nur wundern. Der EuGH war in seinen Aussagen in Schrems II glasklar. Der Datenexport in einen unsicheren Drittstaat ist rechtswidrig, es sei denn der Verantwortliche sichert die Datenverarbeitung durch technische Schutzmaßnahmen (z.B. eine End-zu-End-Vollverschlüsselung) so ab, dass das Datenschutzniveau trotz des Bezugs zu einem unsicheren Drittstaat, wiederum dem europäischen Datenschutzniveau entspricht.

Für Unternehmen begann mit dem Schrems II Urteil ab Juli 2020 eine  Zeit der Rechtsunsicherheit.

Einerseits gehören amerikanische Webtools zu den effektivsten und kostengünstigsten am Markt. Andererseits fehlen jedoch für den Einsatz von amerikanischen Webtools und Diensteanbietern geeignete Rechtsgrundlagen.

Es besteht für den für den Datenverarbeitungsprozess Verantwortlichen immer ein datenschutzrechtliches Risiko bei der Verwendung entsprechender Drittstaaten-Tools.

Auch durch die Verwendung von Standarddatenschutzklauseln, den Abschluss von DPAs nebst der Vereinbarung von TOM kann das datenschutzrechtliche Risiko zur Zeit nur verringert werden. Die eigentlich erforderlichen „geeigneten Maßnahmen“ (wie z.B. eine Vollverschlüsselung) kann in vielen Fällen nicht umgesetzt werden.

Auch das Hosting der Daten / der Services auf Servern in der EU ist dann nicht ausreichend, wenn diese Server von Unternehmen betrieben werden, deren Eigentümerstruktur so aufgebaut ist, dass die wirtschaftlich Berechtigten in den USA ihren Sitz haben, z.B. wenn eine US-amerikanische Muttergesellschaft besteht. Aufgrund der weitreichenden Zugriffsbefugnisse amerikanischer Sicherheitsbehörden auf Daten von Firmen auch außerhalb des Territoriums der USA ist es - generell gesprochen - zur Zeit datenschutzrechtlich problemtisch - Datenverarbeitungsprozesse so zu organisieren, dass personenbezogene Daten auf Systemen verarbeitet werden, die durch US-Unternehmen oder deren (Europäischen) Tochterunternehem betrieben werden.

Wie ist der aktuelle Stand am 30.03.2022 bzgl. des Trans Atlantic Data Privacy Frameworks - TADPF aks Privacy-Shield 2.0-Abkommens?

Auch am 30.03.2022 gibt es noch kein neues Privacy-Shield 2.0 Abkommen. Der Vertragstext ist zur Zeit noch unbekannt.

Allerdings gibt es erste Medienberichte und Twitterbeiträge von der EU-Kommissionspräsidentin Urusula von der Leyen (https://twitter.com/vonderleyen/status/1507286853224914949 ), aus denen hervorgeht, dass es zeitnah ein neues Privacy-Shield 2.0 Abkommen geben soll.

Laut Frau von der Leyen soll dieses neue Privacy-Shield 2.0 Abkommen

einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA ermöglichen und den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten“.

vgl. Pressemitteilung der EU-Kommission der USA vom 25.03.2022 (abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087).

Diese Mitteilung hat viele Datenschutzexperten überrascht, da die EU-Kommissarin für Wettbewerb und Kommissions-Vizepräsidentin Vestager noch vor einem Monat die Erwartungen an eine schnelle Einigung mit USA hinsichtlich des Datentransfers gedämpft hat, da die Verhandlungen „nicht einfach“ seien „um es wirklich untertrieben zu sagen" (vgl. https://audiovisual.ec.europa.eu/en/video/I-218432 Minute 27:30).

Zwischenzeitlich haben die EU und die USA noch am 25.03.2022 sogenannte Fact-Sheets zu dem TADPF im Internet veröffentlicht:

Daraus geht hervor, dass das Trans Atlantic Data Privacy Framework folgende Eckpunkte beinhalten wird:

  • Personenbezogene Daten sollen rechtssicher zwischen der EU und US-Unternehmen ausgetauscht werden können, wenn sich diese den Anforderungen des TADPF unterworfen haben.
  • Innerhalb des TADPF sollen Regeln und verbindliche Garantien festgeschrieben werden, die den Zugriff der US-Geheimdienste und sonstiger staatlicher Stellen auf personenbezogene Daten von EU-Bürgern, die im Zugriffsbereich von US-Geheimdiensten verarbeitet werden, auf das zum Schutz der nationalen Sicherheit der USA notwendige und verhältnismäßige Maß beschränken.
  • US-Unternehmen, die personenbezogene Daten verarbeiten, die der DSGVO unterfallen, müssen sich strenger Verhaltenpflichten bzgl. der Datenverarbeitung unterwerfen, die in dem TADPF etabliert werden. Zudem müssen sie die Einhaltung dieser Verpflichtungen gegenüber dem  US-Handelsministerium durch eine Selbstzertifizierung bestätigen.
  • Die US-Geheimdienste müssen Prozesse etablieren, die eine wirksame Einhaltung der neuen Standards für Datenschutz und Bürgerrechte von EU-Bürgern gewährleisten.
  • Durch das TADPF soll ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Lösung der Beschwerden von EU-Bürgern über den Zugriff auf personenbezogenen Daten von EU-Bürgern durch US-Nachrichtendienste geschaffen werden. In der zweiten Stufe soll eine gerichtliche Überprüfung durch den neu zu schaffenden „Data Protection Review Court“ gewährleistet werden.

Was würde sich mit einem Privacy-Shield 2.0 - TADPF-Abkommen für Unternehmen ändern, wenn amerikanische Tools wie z.B. Cloud-Services von AWS, GCP oder MS-Azure genutzt werden, um personenbezogene Daten zu verarbeiten, die der DSGVO unterfallen?

Sofern die EU mit den USA ein Nachfolgeabkommen zum EU-US-Privacy-Shield wirklich abschließen sollten, besteht wieder eine neue Rechtsgrundlage, auf die sich europäische Firmen hinsichtlich des Datenschutzrechts erst einmal stützen können. Ein Datentransfer in die USA wäre dann zumindest hinsichtlich des Datenschutzniveaus nicht mehr von vornherein ausgeschlossen. Durch einen entsprechenden Teilangemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO soll also erneut sichergestellt werden, dass das datenschutzrechtliche Niveau dem der DSGVO entspricht.

Wir gehen davon aus, dass die EU-Kommission ein Privacy-Shield 2.0 Abkommen wieder in Form eines (Teil-)Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO erlassen werden wird.

Unternehmen müssten sich, Abkommen und Angemessenheitsbeschluss vorausgesetzt, somit beim Datentransfer in die USA nicht mehr wie bisher auf rechtlich unsichere Standarddatenschutzklauseln und weitere geeignete technische Maßnahmen, die für die Unternehmen nicht oder nur schwer umsetzbar sind, stützen. Das Compliance-Risiko wird sich beim Einsatz amerikanischer Webtools entsprechend verringern. Auch auf rechtlich umstrittene Maßnahmen wie Einwilligungen nach Art. 49 Abs. 1 S. 1 lit. a DSGVO müsste dann nicht mehr zurückgegriffen werden.

Ausblick: Welche Chancen hat das Trans Atlantic Data Privacy Framework (TADPF) als Nachfolgeabkommen des bisherigen "EU-US-Privacy-Shield"? Wird es vor dem EuGH Bestand haben?

Zunächst einmal ist festzustellen, dass noch überhaupt kein Vertragstext des TADPF vorliegt, noch nicht einmal im Entwurf.

Trotzdem gehen wir - allein auf Basis der TADPF-Fact-Sheets - erneut - davon aus, dass es das TADPF schwer haben wird, vor dem EuGH zu bestehen, denn dafür müssten die USA ihren Cloud-Act so aufweichen, dass für die Verarbeitung personenbezogener Daten in den USA das gleiche Datenschutzniveau gilt, wie in Europa mit der DSGVO.

Dies ist aus den nachfolgenden beiden Gründen äußerst zweifelhaft:

  1. Das TADPF müsste effektive Rechtsschutzmöglichkeiten für Bürger der EU in den USA gegen Überwachungsmaßnahmen von staatlichen US-Sicherheitsbehörden schaffen. Zwar sehen die beiden TADPF-Fact-Sheets vor, dass ein zweistufiges Rechtsschutz-System und sogar ein gesondertes Gericht geschaffen werden wird, aber auch dies wird kaum helfen, denn um Rechtsschutz erhalten zu können, müssten EU-Bürger erst einmal erfahren, dass ihre personenbezogenen Daten von Geheimdiensten der USA oder sonstigen staatlichen Stellen verarbeitet wurden.  Es steht auch zu befürchten, dass man erst einmal eine gut gefüllte Kriegskasse benötigt, um in den USA vor den neu geschaffenen TADPF-Gerichtshof zu ziehen. Zudem hat der US-Supreme-Court in dem Fall FBI vs. FAZAGA erst am 20.03.2022 festgestellt, dass kein effektiver Rechtsschutz in den USA gegen Überwachungsmaßnahmen durch staatliche Behördern (hier: FBI) möglich ist (vgl. https://www.scotusblog.com/wp-content/uploads/2022/03/20-828.pdf bzw. https://thehill.com/opinion/judiciary/598899-the-supreme-court-just-made-a-us-eu-privacy-shield-agreement-even-harder). Das TADPF bzw. der neu zu schaffende TADPF-Gerichtshof müssten diese Rechtsprechung also aushebeln bzw. sich über den Supreme-Court der USA stellen. Ob dies möglich ist, müssen US-Juristen bewerten.  

  2. Es ist vollkommen unbestimmt, was "das zum Schutz der nationalen Sicherheit der USA notwendige und verhältnismäßige Maß" von Datenzugriffen durch staatliche Stellen der USA sein soll. Letztlich steht zu befürchten, dass doch wieder nur ein politisch gewolltes Abkommen abgeschlossen wird, ohne dass sich in den USA effektiv etwas an der nach dem 11. September 2001 etablierten Massenüberwachung ändert, die Edward Snowden aufgedeckt hat. Wenn sich diese Gummiparagraf-artige Formulierung in dem TADPF wiederfinden sollte, wird es das TADPF vor dem EuGH schwer haben.

Wie geht es nun weiter?

Außer die konkreten Regelungen des TADPF abzuwarten, kann man als Datenverarbeiter derzeit nicht viel in Bezug auf die geschilderten Entwicklungen tun.

Die Datenschutzorganisation NOYB, die auch bereits die beiden Vorgänger-Abkommen "Safe-Harbor" und "EU-US-Privacy Shield" vor dem EuGH zu Fall gebracht hatte, kündigte bereits  am Freitag, 25.03.2022 an, dass es sich bei den Aussagen der EU-Kommissionsvorsitzenden und dem US-Präsidenten erst einmal nur um eine nicht rechtsverbindliche politische Absichtserklärung handele und ein konkreter Vertragsinhalt noch nicht veröffentlicht worden sei.

Falls das neue TADPF-Abkommen nicht in Einklang mit EU-Recht stehe, werde man wohl auch gegen das neue Abkommen mit Rechtsmitteln vorgehen (https://noyb.eu/de/privacy-shield-20-erste-reaktion-von-max-schrems).

Was ist derzeit zu tun? Welche Auswirkungen haben die geschilderten Entwicklungen rund um das TADPF nun für Unternehmen in Europa?

Wir raten allen unseren Mandanten, wenn immer möglich, weiterhin auf Europäische Anbieter von IT-Lösungen zu setzen und Software und (Cloud)-Services von US-Anbietern immer dann zu vermeiden, wenn über diese personenbezogene Daten von EU-Bürgern verarbeitet werden.

Dies sollte man auch nach Verabschiedung eines neuen Privacy-Shield - TADPF-Abkommens so halten, denn - ohne einen Entwurf zu kennen - steht zu vermuten, dass auch das Trans Atlantic Data Privacy Framework wieder "Dead-On-Arrival" ist und nach ein paar Jahren vom EuGH wieder "kassiert" werden wird.

Wer nicht Lust und das notwendige Kapital hat, alle paar Jahre seine Datenverarbeitungsprozesse DSGVO-konform umzubauen, fährt mit dem Beratungsansatz von DURY LEGAL sicherer, auch wenn klar ist, dass es im Einzelfall ggf. keine Europäische Alternative gibt und US-Services eingebunden werden müssen.

In einem solchen Fall können wir von DURY LEGAL oder unsere Kollegen und Kolleginnen von DURY CONSULT (www.datenschutz-compliance.de) Ihnen sicher helfen, Ihr Risiko zu bestimmen und Ihre Datenverarbeitungs-Prozesse idealerweise ohne unnötigen Aufwand rechtskonform aufzustellen.

Falls Sie Support von uns in diesem Zusammenhang benötigen, melden Sie sich einfach unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Beitrag erstellt von: Diplomjurist Benjamin Schmidt, Thomas Hess und RA Marcus Dury LL.M.

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.