Folgt auf den neuen Transatlantischen Datenschutzrahmen (TADPF) ein Schrems-III-Urteil?
Am 25.03.2022 gaben Europäische Kommission und die Vereinigten Staaten bekannt, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt hätten, mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im „Schrems-II-Urteil“ vom Juli 2020 geäußerten Bedenken ausgeräumt werden sollen.
Der neue Rahmen stellt angeblich eine bisher einmalige Selbstverpflichtung der USA zu Reformen dar, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der signalerfassenden Aufklärung durch die USA stärken würden. Nach dem Transatlantischen Datenschutzrahmen werden die Vereinigten Staaten neue Garantien einführen, um zu gewährleisten, dass die signalerfassende Aufklärung zur Verfolgung der festgelegten Ziele der nationalen Sicherheit erforderlich und angemessen ist, einen zweistufigen unabhängigen Rechtsbehelfsmechanismus einrichten, durch den Abhilfemaßnahmen verbindlich angeordnet werden können, und die signalerfassende Aufklärung einer strengen, mehrstufigen Aufsicht unterstellen, um die Einhaltung der Beschränkungen für Überwachungsmaßnahmen zu gewährleisten
Mit dem s.g. „Schrems II-Urteil“, dem Urteil des EuGH (Urteil v. 16. Juli 2020, C-311/18), wurde bereits der Vorgänger des TADPF (Transatlantic Data Privacy Framework), das Privacy Shield für unwirksam erklärt. Für die Bewertung der Wirksamkeit der Rechtsakte der EU Kommission sei allein das EU Recht einschlägig. Die Ausnahme von der Anwendbarkeit der DSGVO für den Bereich der nationalen Sicherheit (Art. 2 (2) DSGVO) greife nicht. Die Prüfung und Bewertung dieser geeigneten Garantien müsse daher folgende Umstände berücksichtigen: a) die Regelungen der geeigneten Garantien selbst, also z.B. die
Standardvertragsklauseln; b) alle relevanten Aspekte des Rechts des betreffenden Drittstaates im Hinblick auf den Zugriff auf die dorthin übermittelten personenbezogenen Daten durch Sicherheitsbehörden; c) die jeweiligen konkreten Umstände der Datenübermittlung inklusive ggf. vom Datenexporteur zu ergreifende zusätzliche Garantien.
Am 10. Juli hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA (TADPF) angenommen. Darin wird der Schluss gezogen, dass die USA ein angemessenes Schutzniveau – verglichen mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die aus der EU an die am Datenschutzrahmen EU-USA teilnehmenden US-Unternehmen übermittelt werden.
Die Nichtregierungsorganisation NYOB, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat und u.a. von Max Schrems gegründert wurde, behauptet nun, dass auch der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen würde. Das angeblich „neue“ transatlantische Datenschutzabkommen sei weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens. Anders als von der Europäischen Kommission behauptet, ändere sich am US-Recht wenig: Das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nachwievor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen.
Max Schrems hat am 10. Juli 2023 angekündigt: „Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satt haben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen. Im Sinne der Rechtssicherheit und der Rechtsstaatlichkeit werden wir dann eine Antwort darauf bekommen, ob die kleinen Verbesserungen der Kommission ausreichend waren oder nicht. In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt – jetzt einfach zwei weitere Jahre an Rechtsunsicherheit hinzugefügt.“
Nachdem der Rechtsrahmen für einen Transatlantische Datenverkehr eine lange Vergangenheit hat, die mit Safer Harbour und dem Schremss-I-Urteil begann, die Position der USA sich aber nicht grundlegend verändert und sich den Europäischen Datenschutz-Erfordernissen nicht ausreichend genähert hat, wird mit Spannung verfolgt, ob der neue Rechtsrahmen TADPF nicht mit einem Schrems-III-Urteil von EuGH erneut kassiert wird.
Viele weitere Details und Hintergründe findet der interessiert Leser auf der NYOB-Seite Europäische Kommission gibt EU-US-Datentransfer 3. Runde beim EuGH.
