Europäischer Datenschutz-Ausschuss: technische Zusatzmaßnahmen für EU-US-Datentransfers
01.07.2021
[IITR – 01.07.21] Der Europäische Datenschutz-Ausschuss hat seine finalisierte Stellungnahme zum vorläufigen Umgang mit dem Schrems-II-Urteil des Europäischen Gerichtshofs veröffentlicht. Danach bedarf es für Datentransfers mit den USA im Kern regelmäßig ergänzender technischer Sicherungsmaßnahmen.
Zugleich erhält Großbritannien entgegen des Votums des Europäischen Parlaments einen Angemessenheitsbeschluss durch die EU-Kommission.
Auch mehren sich die Anzeichen für eine politische Einigung auf ein überarbeitetes „Privacy Shield 2.0“-Konstrukt zwischen den USA und der EU noch im laufenden Jahr.
Angemessenheitsbeschluss für Großbritannien entgegen Votum des Europäischen Parlaments
Die Europäische Kommission hat am 28.6.2021 den Angemessenheitsbeschluss für Großbritannien veröffentlicht. Damit folgt die Kommission dem zum Jahresende 2020 gefundenen Verhandlungskompromiss zum „Brexit“ mit Großbritannien. Der Beschluss ist befristet und läuft am 27. Juni 2025 aus, es sei denn, er wird nach dem Verfahren nach Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 verlängert.
Die Bindung Großbritanniens an Vorgaben der EU werden somit aufrechterhalten
Das Europäische Parlament hatte zuletzt dagegen gestimmt, Großbritannien einen Angemessenheitsbeschluss zu erteilen und dies u.a. mit der mit den USA vergleichbaren unterliegenden Sicherheitsarchitektur begründet, die vom EuGH im „Schrems-II“-Urteil für unvereinbar mit den Vorgaben der DSGVO erklärt wurde.
Die Europäische Kommission ist in ihrer Entscheidung indes nicht durch das Mehrheitsvotum des Europäischen Parlaments formal gebunden.
Neue EU-Standardvertragsklauseln: kein alleiniges Heilmittel für „Schrems II“
Die neuen EU-Standardvertragsklauseln versprechen – so Äußerungen seitens Vertreter der EU-Kommission – kein Allheilmittel für Datentransfers in die USA. Dies unterstreichen auch der Europäische Datenschutzausschuss sowie die Deutschen Aufsichtsbehörden in einer begleitenden Pressemitteilung. Es seien in der Regel ergänzende technische Maßnahmen erforderlich. Diese technischen Zusatzmaßnahmen müssten geeignet sein, den geheimdienstlichen Zugriff durch US-Behörden im vom EuGH für rechtswidrig erkannten Umfang zu unterbinden (Position der US-Seite zu dieser Frage).
Dies mag für bestimmte Dienste im Cloud-Storage-Bereich sowie der Videokommunikation technisch möglich sein – bildet aber in der Breite keine taugliche Grundlage für die fortgesetzte Nutzung sämtlicher Anwendungsszenarien von US-Softwareprodukten.
Folgerichtig ist von Vertretern aus den Reihen der Aufsichtsbehörden verstärkt die Forderung nach dem Einsatz von Open-Source-Produkten die Rede. Dies indes findet aufgrund seiner begrenzten Umsetzbarkeit weder in der Privatwirtschaft noch der öffentlichen Verwaltung derzeit wirklich nennenswerte Resonanz.
Damit befindet sich ein Großteil der europäischen Unternehmen, welche zumeist auch auf US-Software aufbauen, aktuell in einem datenschutzrechtlich rechtswidrigen Zustand.
Die Forderung nach technischen Maßnahmen für US-Produkte lässt zudem unerwähnt, dass die in Europa ansässigen Geheimdienste zum einen nicht der DSGVO unterliegen und zum anderen – wie im Fall von Deutschland – deren Zusammenarbeit mit der US-Seite aktuell noch ausgeweitet wurde. Dies ist juristisch alles wohlbegründet, es führt aber zu mangelnder Akzeptanz des EuGH-Urteils in der Breite. Ein Umstand, auf den auch der Landesdatenschutzbeauftragte Baden-Württemberg, Herr Dr. Brink, bereits letztes Jahr hinwies.
Unternehmen und Aufsichtsbehörden im Schwebezustand
Die Datenschutz-Aufsichtsbehörden wissen um die politisch diffizile Situation. Gleichwohl sind diese aufgefordert, das geltende Recht zur Umsetzung zu bringen. In einer gemeinsamen Aktion haben sich die deutschen Datenschutz-Aufsichtsbehörden daher auf einen Fragebogen geeinigt, der von einigen Landesaufsichtsbehörden an Unternehmen verschickt wurde, dessen Beantwortung aber freiwillig ist.
Auch war von Vertretern aus dem behördlichen Umfeld zu vernehmen, dass man gezielt größere Unternehmen zum Umgang mit der „Schrems-II“-Rechtsprechung kontaktiert habe. In Beantwortung dessen habe man umfangreiche juristische Stellungnahmen erhalten, deren fundierte Behandlung noch einige zusätzliche Zeit in Anspruch nehmen werde.
Privacy Shield 2.0 noch in diesem Jahr?
Es mehren sich die Stimmen, die ein aktualisiertes „Privacy Shield 2.0“-Konstrukt noch in diesem Jahr erhoffen. Dies folgt Verhandlungen auf Regierungsebene im Rahmen des G7-Treffens.
Zudem äußerten sich Vertreter der US-Seite dergestalt, dass man für ein Nachfolgekonstrukt zum Privacy Shield dieselben Standards an die USA angesetzt sehen wolle, welche die Europäische Kommission an Großbritannien für den aktuellen Angemessenheitsbeschluss gestellt habe.
So wird der Europäische Kommissar für Justiz und Rechtsstaatlichkeit, Herr Didier Reynders, mit den Worten zitiert, dass noch im laufenden Jahr mit einem Nachfolgekonstrukt zum Privacy Shield gerechnet werden könnte. Und auch der Verhandlungsführer der US-Seite äußert sich in vergleichbarer Weise.
Um letztlich eine langfristig tragfähige Lösung herbeizuführen und ein solches Nachfolgekonstrukt zum Privacy Shield nicht in einem „Schrems III“-Verfahren erneut zu verlieren wird zudem darüber nachgedacht, einen multilateralen Staatsvertrag für Datentransfers zwischen den führenden demokratischen Gesellschaften abzuschließen.
