Schrems II: Timeline und Ausblick

Am 16.07 hat der Europäische Gerichtshof (EuGH) in einer Entscheidung den EU-US-Privacy Shield für ungültig erklärt. Die Standardvertragsklauseln (SCCs), die für die Datenübermittlung ein angemessenes Datenschutzniveau in einem Nicht-EU-Staat bescheinigen, sollen weiter gültig bleiben. In den letzten Wochen haben sich viele relevante Behörden und betroffene Unternehmen zu Wort gemeldet, um auf das Urteil zu reagieren. Die EU und die Vereinigten Staaten feilen derweil an einer Nachfolgeregelung zum Datenschutzschutzschild.

Bisherige Entwicklungen

Bei dem hin und her, was den transatlantischen Datenaustausch angeht, verliert man leicht den Überblick. Im Folgenden ein Abriss über die wichtigsten Etappen vor und seit der Schrems II-Entscheidung von Juli 2020.

  • 26.06.2000 – Safe Harbor-Abkommen

    Die EU und die USA schließen ein Abkommen, um personenbezogene Daten zwischen einem EU-Mitgliedstaat und den USA auszutauschen. Weil es in den USA keine vergleichbaren Datenschutzregeln gibt, sollen sich Unternehmen nach den Safe Harbor Principles richten und sich gemäß EU-Datenschutz verhalten.

  • Juni 2013 – Edward Snowden und PRISM

    Nach den Enthüllungen des ehemaligen CIA- und NSA-Mitarbeiters Edward Snowden über das Massenüberwachungsprogramm PRISM wird Kritik an Safe Harbor laut. PRISM wird zur Überwachung und Auswertung elektronischer Medien genutzt, US- und Nicht-US-Bürger sind gleichermaßen betroffen.

  • 06.10.2015 – EuGH-Urteil Schrems I: Safe Harbor unzulässig

    Die USA können durch den PATRIOT Act von 2001 Einblick in Daten von US-Firmen verlangen. Dazu gehören auch internationale Personendaten. Nach einer Klage des Datenschützers Max Schrems, erklärt der Europäische Gerichtshof (EuGH) das Safe Harbor-Abkommen für unzulässig.

  • 12.07.2016 – EU-US Privacy Shield

    Mit heißer Nadel haben die EU-Kommission und die USA nach Schrems I die Nachfolgeregelung, den EU-US-Privacy Shield, gestrickt. Diese orientiert sich an den Safe-Harbor-Prinzipien, soll aber vermeintlich konkreter und strikter sein. Die Weitergabe von EU-Daten an US-Behörden soll Beschränkungen und Aufsichtsmechanismen unterliegen.

  • 16.07.2020 – EuGH-Urteil Schrems II: EU-US Privacy Shield

    Nach Ansicht von Max Schrems stellte auch der Datenschutzschild keine Verbesserung der Lage dar. US-Recht habe Vorrang vor EU-Recht. Schrems ging abermals vor den EuGH. Am 16.07.2020 fiel das Urteil: Der EU-US Privacy Shield ist ab sofort, ohne Übergangsfrist, unzulässig.

  • 24.07.2020 – EU-Datenschutzausschuss veröffentlicht FAQ zu Schrems II

    Das Urteil hat für viel Unsicherheit gesorgt. Der EU-Datenschutzausschuss hat Antworten auf die wichtigsten Fragen zu den Konsequenzen aus dem Urteil Schrems II gegeben. Die wichtigsten Punkte: Keine Gnadenfrist und Standardvertragsklauseln (SCCs) nach Prüfung im Einzelfall. Konkret heißt das, dass Unternehmen, die Daten über den Atlantik transferieren, den Datenschutzstandard der EU garantieren müssen, was sie nicht können.

  • 11.08.2020 – EU und USA verhandeln über Nachfolgeregelung zum EU-US Privacy Shield

    Der EU-Justizkommissar Didier Reynders und US-Handelsminister Wilbur Ross befinden sich in Verhandlungen zu einer neuen Rahmenregelung für den transatlantischen Datenaustausch, so das US-Handelsministerium in einer Pressemitteilung. Max Schrems äußerte sich bereits auf Twitter und kündigte Schritte gegen eine etwaige Regelung an. Denn: An der grundsätzlichen Problematik eines asymmetrischen Datenschutzniveaus in den USA und der EU ändere sich nichts.

Ausblick und Konsequenzen

Natürlich lässt sich schwer voraussagen, wie die weitere Entwicklung der nächsten Monate sein wird, gerade auch vor dem Hintergrund eines möglichen Personalwechsels im Weißen Haus. Die Fakten lassen aber zumindest vier Szenarien realistisch erscheinen:

Privacy Shield 2.0 und Schrems III

Szenario: In den nächsten Monate wird über eine mögliche neue Rahmenvereinbarung verhandelt. Es wird zu einer Einigung zwischen Kommission und den Vereinigten Staaten kommen. Trotzdem hat die Regelung – ähnlich wie Safe Harbor oder der Privacy Shield – den gleichen Geburtsfehler: Bis zur Abschaffung des USA PATRIOT Act und weiterer Spionageregelungen kann kein Abkommen die USA davon abhalten, die Daten von Europäern auszuspähen. Datenschützer wie Max Schrems werden klagen, der EuGH wird erneut gegen den „Privacy Shield 2.0“ entscheiden.

Standardvertragsklauseln und Stillstand

Die durch das Schrems II-Urteil nicht beanstandeten Vertragsklauseln (SCCS) werden weiterhin Bestand haben und weiterhin angewendet werden. Dies aber mit dem Caveat der Einzelfallprüfung durch die Unternehmen und der nationalen Datenschutzbehörden. Diese sind aber chronisch unterfinanziert und personell überfordert, legen zudem Standardvertragsklauseln je nach Land unterschiedlich aus. Die Unternehmen werden das Risiko aber nicht auf sich nehmen wollen, denn sie sind im Zweifel Abmahnungen und rechtlichen Gefahren ausgesetzt. Klartext: Der Datenaustausch ist rechtlich unsicher und wird durch die langwierigen case-by-case-Prüfungen abgebremst.

Bekehrung der neuen Welt durch die alte

Die Datenschutzgrundverordnung (EU-DSGVO) hat es vorgemacht: Die ursprüngliche EU-Regelung ist weltweit zum Vorbild für Datenschutzgesetzgebung geworden. So auch in den USA: Der kalifornische California Consumer Privacy Act (CCPA) ist den Regelungen der DSGVO nachempfunden und regelt den Datenschutz in Kalifornien (wo im Silicon Valley ja auch die allermeisten Tech-Firmen angesiedelt sind). Eine Biden-Regierung könnte ein entsprechendes Bundesgesetz erlassen. Dann wäre das angemessene Datenschutzniveau, das die Standardvertragsklauseln momentan scheinbar garantieren, auch künftig Realität. Die Asymmetrie des Datenschutzes wäre somit vorerst beendet.

Zwang zur europäischen Datensouveränität

Schrems II ist möglicherweise ein Segensfall für den Datenschutz. Vielleicht wird nun der schwierige Weg einer tatsächlichen Datensouveränität beschritten. Denn: Gab es bis hierher keinen Impetus für rein in Europa gehostete Lösungen abseits der Hyperscaler, werden nun europäische Firmen dazu gezwungen sein, mittelfristig Kompetenzen aufzubauen, etwa im Rahmen des neuen GAIA-X-Programms. Die Alternative ist eine Zwickmühle: Die USA werden ihre Datenschutzbestimmungen nicht anheben, Regelungen und Rahmenvereinbarungen werden immer an der Datenschutzasymmetrie (und am EuGH) scheitern.