Update vom 02.04.2022: Und, sind Sie uns auf den Leim gegangen? Der untenstehende Blogbeitrag war natürlich nur unsere Version eines Aprilscherzes… Manchmal haben sogar Datenschützer Humor 😉 Unsere tatsächliche Einordnung zum Thema „Neues Privacy Shield?“ können Sie im nächsten Blogbeitrag lesen.
Ein mancher Datenschützer hat es prophezeit, aber so recht glauben konnte man es nicht. Jetzt ist es Wirklichkeit geworden – das neue Privacy Shield kommt. Sogar schon in Kürze. Mai 2022 soll es so weit sein. Standardvertragsklauseln und Datentransferfolgenabschätzung ade!
Nachdem im Juli 2020 das Privacy Shield gekippt wurde (wir berichteten hier und hier), stellte man Datentransfers in die USA mit einem Schlag vor hohe datenschutzrechtliche Hürden. Datenverarbeitungen durch US-amerikanische Anbieter waren ohne diesen Angemessenheitsbeschluss kaum noch realisierbar, geschweige denn zulässig. Unternehmen waren gezwungen mit jedem amerikanischen Auftragsverarbeiter, sei es der Cloud Anbieter, der Newsletter-Dienst oder das Trackingtool auf der Webseite, auf einmal sog. Standardvertragsklauseln abzuschließen. Irgendwann reichten auch die nicht mehr aus und es mussten neue Standardvertragsklauseln her. Die Datentransfer-Folgenabschätzungen setzten dem datenschutzrechtlichen Wahnsinn die Krone auf.
Bei so vielen neuen Eingebungen der Europäischen Kommission kommt doch keiner mehr mit. So ein Brimborium um bloße Datenverarbeitungen? – das dachte sich auch die Europäische Kommission.
Das neue Privacy Shield kommt schneller als gedacht
Gesagt, getan. Präsidentin der Europäischen Kommision Ursula von der Leyen und der amerikanischen Präsident Joe Biden entschieden sich bei einem Gipfeltreffen am 25.03.2022 in Brüssel für ein neues Privacy Shield. In einem Punkt waren sich die Politiker von vorneherein einig: Eine weitere Einstufung der USA als unsicheres Drittland auf einer Stufe mit Russland ist undenkbar. Die vertrauensvolle und enge Zusammenarbeit im Rahmen der NATO müsse nun auch wieder für transatlantischen Datentransfers gelten.
Und es soll auch ganz schnell gehen. Zu lange wurde ein Datentransfer unnötig verhindert. Am 25. Mai, pünktlich zum 4. Geburtstag der DSGVO, soll das neue Privacy Shield veröffentlicht werden. Gleichzeitig ist geplant, die aktuellen Standardvertragsklauseln für unzulässig zu erklären und durch ein neues Vertragsmuster zu ersetzen. Eine Umsetzungsfrist für die Unternehmen ist allerdings noch nicht bekannt. Es ist jedoch anzunehmen, dass auch hier eine schnelle Anpassung erfolgt und die „alten“ neuen Standardvertragsklauseln schon in Kürze eingetauscht werden müssen.
Fachausschuss für Entwurf des neuen Abkommens ins Leben gerufen
Damit das Abkommen schnellstmöglich auf die Beine gestellt werden kann, wurde bereits am Montag ein Fachausschuss für die Entwurfserstellung des neuen Abkommens gebildet. Experten aus unterschiedlichen Bereichen sollen bis zum ersten Mai einen Entwurf verfassen, der sodann in einem Eilverfahren durch die Europäische Kommission geprüft und bewertet wird. Ziel ist es, am 25. Mai die finale Fassung des Abkommens zu veröffentlichen. Um das Abkommen möglichst rechtssicher und praxisnah zu gestalten, kommen die Mitglieder des Ausschusses aus breitgefächerten Fachgebieten. Ziel ist, ein erneutes Schrems-Urteil unbedingt zu verhindern. Neben Juristen und Datenschützern befinden sich ebenfalls Vertreter der Big Player Google, Amazon und Microsoft im Ausschuss. Vorsitzender des Ausschusses soll Medienberichten zufolge Elon Musk sein.
Ohne Zugeständnisse geht es nicht
Dass ein solches Abkommen nicht ohne Zugeständnisse funktioniert, ist den beteiligten Parteien ebenfalls klar. Hier hatte Präsident Biden wohl den längeren Atem. Er machte deutlich, dass ein Abweichen vom politischen Kurs seines Vorgängers Trump, insbesondere vom damals verabschiedeten CLOUD Act, für ihn nicht in Frage kommt. Daraufhin lenkte Präsidentin von der Leyen ein. Bidens Hauptargument war, dass die geheimen Überwachungen durch die US-Behörden – deren Spielraum zuletzt vom obersten Gerichtshof der USA noch einmal erweitert wurde – die Welt insgesamt zu einem friedlicheren Ort machen. Dass somit auch Europa gedient sei, überzeugte schlussendlich. Von der Leyen deutete bereits am Freitag an, dass nun wohl Europa an der Reihe sei, auf die USA zuzugehen. Vor diesem Hintergrund erscheint eine Anpassung der DSGVO an die US-amerikanische Gesetzgebung als höchst wahrscheinlich.
Selbst Maximilian Schrems, Namensgeber der früheren Schrems-Urteile, die zum Sturz der bisherigen Datentransfer-Abkommen führten, zeigte sich auf seinem Facebook-Account begeistert über die erzielte Einigung. Der passionierte Datenschützer verwies einmal mehr auf die Notwendigkeit zulässiger Datentransfers. Wenn die USA nicht ihre Überwachungsgesetze einschränken wollen, dann müssen wir eben die DSGVO entsprechend anpassen, um Datentransfers rechtskonform zu ermöglichen. Er lobte, dass es nun endlich eine gesetzliche Regelung und nicht nur ein politisches Bekenntnis geben werde, denn ein gänzlicher Verzicht auf US-Anbieter komme selbst für ihn nicht in Frage. Wenn der Prophet nicht zum Berg kommt, komme eben der Berg zum Propheten.
Wir behalten selbstverständlich alle Entwicklungen rund um dieses Thema genauestens im Auge und halten Sie auf dem Laufenden.
[…] haben Sie es geglaubt oder haben Sie unseren kleinen Aprilscherz entlarvt? Obwohl manchen Datenschützern ein neues Privacy Shield für die nahe Zukunft erhoffen, […]