Im Juli 2020 hat der Europäische Gerichtshof (EuGH) die EU-US-Privacy Shield-Vereinbarung gekippt. Jetzt haben sich die Europäische Union (EU) und USA auf ein neues Abkommen verständigt, das regeln soll, wie sich persönliche Daten an US-Digitalkonzerne weitergeben lassen. Was Cloud-Anwender:innen wissen sollten, erklärt EuroCloud-Vorstand Dr. Jens Eckhardt.
eurocloud.de: Herr Dr. Eckhardt, wie bewerten Sie als Fachanwalt für IT-Recht die Entwicklung?
Dr. Jens Eckhardt: Europäische Union und USA haben sich grundsätzlich auf ein neues Abkommen zum Transfer personenbezogener Daten aus der EU in die USA verständigt. Zwar sind Details noch nicht bekannt. Aber schon jetzt hat der Schritt eine wichtige Signalwirkung: Datentransfers in der Digitalwirtschaft sollen in Zukunft wieder leichter werden.
Wie schnell wird das Abkommen umgesetzt?
Ein Zeitplan für die Verabschiedung und das Inkrafttreten neuer Regelungen ist noch nicht bekannt. Mit Blick auf die Rechtsprechung des EuGH schätze ich die Hürden für ein solches Abkommen jedoch als sehr hoch ein.
Warum wurde das neue Abkommen überhaupt nötig?
Der EuGH hatte die bestehende EU-US-Privacy Shield-Vereinbarung im Juli 2020 gekippt. Damit durften Cloud-Anbieter und andere Unternehmen personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übertragen.
Wo lag das Problem?
In der sogenannten „Schrems I“-Entscheidung hat der EuGH zunächst kritisiert, dass die EU-Kommission bei ihrem Angemessenheitsbeschluss die Zugriffsbefugnisse von US-Sicherheitsbehörden nicht (ausreichend) geprüft habe und deshalb die sogenannte Safe Harbor Principles für unwirksam erklärt. In der sogenannten „Schrems II“-Entscheidung hat der EuGH auf der Grundlage der Feststellungen der EU-Kommission im Beschluss zum EU-US-Privacy Shield festgestellt, dass die Befugnisse der US-Sicherheitsbehörden und die unzureichenden Rechtsbehelfe von EU-Bürger:innen nach einem Datentransfer kein angemessenes Datenschutzniveau gewährleisten und das EU-US-Privacy Shield für unwirksam erklärt. Seitdem sind zusätzliche vertragliche und technische Absicherungen für einen Datentransfer in die USA zu prüfen und umzusetzen.
Was folgt daraus für das neue Abkommen?
Das neue Abkommen muss den Anforderungen des EuGH konkret Rechnung tragen. Wie schwierig das ist, erleben beispielswiese europäische Wirtschaftsunternehmen tagtäglich. Eine bloße Neuauflage der Elemente des EU-US-Privacy Shields wäre wohl zum Scheitern verurteilt.
Wie kann es dennoch gelingen?
Wenn das neue Abkommen die Kritik des EuGH berücksichtigt, dann wird es für Erleichterung sorgen. Andernfalls wäre es nach meiner Meinung nur eine Frage der Zeit, bis der EuGH auch das neue Abkommen für unwirksam erklärt. Meine Erfahrung zeigt: Viele Kläger:innen stehen sicherlich bereits in den Startlöchern.
Wir danken für das Gespräch!
Zur Person
Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht sowie ECSA Legal Auditor, Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV). Er ist für Derra, Meyer & Partner Rechtsanwälte PartGmbB tätig und berät seit 2001 bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz, Informationstechnologie, Telekommunikation und Marketing.