US-EU-Datentransfer wieder Fall für EuGH?: Kommt bald "Sch­rems III"?

Mit seiner Entscheidung im Juli 2020 hatte der Europäische Gerichtshofs (EuGH) die Datenschutzszene und europäische Unternehmen, die regelmäßig Daten über den Atlantik übermitteln, aufgerüttelt. Nach seiner "Schrems II"-Entscheidung" blieb für sie die große Frage: Wie lässt sich der internationale Datentransfer retten?

Erleichterungen zeichnen sich jetzt zumindest für den Datentransfer in die USA ab. Präsident Joe Biden hat am 7. Oktober 2022 eine "Excecutive Order" erlassen, die den Datenschutz von Europäern gegen Abhöraktivitäten der US-Geheimdienste verbessern soll. Nach mehr als einem halben Jahr am Verhandlungstisch ist nun die EU-Kommission am Zug: Sie muss den Erlass formal bewerten und kann die USA per Angemessenheitsbeschluss wieder zum "sicheren Drittland" erklären. Beobachter erwarten, dass dies in etwa einem halben Jahr der Fall sein könnte.

Kann der US-Erlass die Bedenken des EuGH ausräumen?

Angesichts der Überwachungspraxis bleiben allerdings Zweifel, ob die "Executive Order" die gravierenden Bedenken des EuGH an Datentransfers in die USA ausräumen kann. Hintergrund: Das "Privacy Shield"-Abkommen, mit dem Datentransfers in die USA bis dahin legitimiert werden konnten, wurde vom EuGH in seiner "Schrems II"-Entscheidung 2020 für nichtig erklärt. Neben den quasi schrankenlosen Befugnissen der US-Geheimdienste monierte der EuGH die fehlenden Rechtsschutzmöglichkeiten für betroffene EU-Bürger. Beide Punkte werden in dem neuen Präsidialerlass jetzt adressiert: So ist die Auswertung nur noch auf Basis bestimmter festgelegter legitimer Zwecke zulässig und muss verhältnismäßig sein. Zudem erhalten EU-Bürger die Möglichkeit, einen eigens hierfür eingerichteten "Data Protection Review Court" in den USA anzurufen. 

Neue Klage bereits am Horizont

Europäische Datenschutzaktivisten zeigten sich in ersten Reaktionen allerdings skeptisch. Laut Max Schrems, der mit seinen Klagen bereits für die Aufhebung des "Privacy Shield" und auch dessen Vorgänger "Safe Harbor" verantwortlich war, könne der Präsidialerlass aus den USA das Problem der Massenüberwachung nicht lösen. Er befürchtet eine unterschiedliche Auslegung des Begriffes "verhältnismäßig" diesseits und jenseits des Atlantik. Zudem sei der mit dem neuen Erlass eingeführte "Data Protection Review Court" ein irreführendes Signal, denn in Wahrheit handele es sich nicht um ein Gericht, sondern um eine Verwaltungsbehörde. Schrems hat daher bereits die nächste Klage in Aussicht gestellt, er sagte: "Wir prüfen das nun genauer, aber auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtliche Basis. Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird."

Ob der EuGH in einem möglichen Fall "Schrems III" auch den neuen Übermittlungsmechanismus kassieren würde, erscheint aber keineswegs gewiss. So weist der neue Erlass mit Prinzipien wie Verhältnismäßigkeit, Speicherbegrenzung, Datenminimierung und einem beschränkten Katalog von Verarbeitungszwecken etliche Elemente auf, die sich so oder ähnlich auch in der europäischen Datenschutzgrundverordnung (DSGVO) finden. Zwar mögen in der Auslegung der Verhältnismäßigkeit Unterschiede zwischen EU und USA bestehen. Dass die Anwendung dieses Prinzips aber hinter dem in der EU geltenden Schutzmaßstab zurückbleiben wird, lässt sich jedenfalls jetzt noch nicht feststellen. Hier bleibt die praktische Anwendung abzuwarten. Zudem wird das Datenschutzrecht auch innerhalb der EU keineswegs überall einheitlich interpretiert.

Der Einwand, dass es sich beim "Data Protection Review Court" nicht um ein Gericht handelt, fokussiert sich ebenfalls zu stark auf rein formale Aspekte. Entscheidend wird sein, wie unabhängig dieses Gremium über Beschwerden europäischer Bürger entscheiden kann. Hier legt der Präsidialerlass allerdings Grundlagen, die hinter denjenigen eines Gerichts nicht wesentlich zurückbleiben. So wird die Schiedsstelle organisatorisch zwar beim US-Justizministerium verortet. Die Richter müssen jedoch Juristen mit Erfahrung im Datenschutzrecht sein und dürfen keine sonstige Funktion in der US-Regierung innehaben. Ihnen wird völlige Unabhängigkeit hinsichtlich der Beurteilung von Beschwerden zugebilligt. Der Vorwurf des Etikettenschwindels erscheint damit zu hart, zumal auch in Europa gewisse Durchbrechungen des Gewaltenteilungsprinzips durchaus Tradition haben: So war der u.a. für Datenschutz zuständige britische "Lord Chancellor" noch bis 2004 Richter, Gesetzgeber und Mitglied der Exekutive in Personalunion, ohne dass dies dem Datenschutz im Vereinigten Königreich Abbruch getan hätte. Auch der "Data Protection Review Court" verdient daher die Chance, sich in der Praxis zu bewähren.

Rechtsunsicherheit für Unternehmen bis auf weiteres

Jedenfalls bis zu einem Angemessenheitsbeschluss bleibt Unternehmen, die sich mit über die Cloud angeboten digitalen Produkten und Services befassen, nur der Weg über die von der EU-Kommission freigegebenen sog. "Standardvertragsklauseln".. Dieser Weg allerdings bleibt rechtlich unsicher. Denn der EuGH schrieb den Verwendern der Standardvertragsklauseln in der "Schrems II"-Entscheidung zusätzliche Pflichten ins Stammbuch: Betreibt das Zielland – wie die USA – rechtsstaatlich fragwürdige Überwachungsprogramme, sind die Musterklauseln allein nicht ausreichend.

Vielmehr müssen die datenexportierenden EU-Unternehmen zusätzliche Maßnahmen treffen, um die personenbezogenen Daten zu schützen. Beispielsweise kann dies eine wirksame Verschlüsselung der Daten notwendig machen. Eine solche Verschlüsselung kollidiert jedoch mit vielen Cloud-Anwendungen. Denn um die Daten in der Cloud-Software verarbeiten zu können, müssen sie entschlüsselt werden – was sie wiederum dem technischen Zugriff der NSA und anderen Geheimdiensten aussetzt.

Risikobasierter Ansatz von Behörden nicht akzeptiert

Viele europäische Unternehmen flüchten sich bei der Nutzung von Cloud-Anwendungen daher derzeit in zusätzliche (gegen staatliche Zugriffe aber nicht wirksame) vertragliche Maßnahmen. Zudem kommen sie in einer schriftlichen Risikoabschätzung – meist als Transfer Impact Assessment (TIA) bezeichnet – zum Ergebnis, dass sich der Datentransfer noch im vertretbaren Bereich bewege. Dabei argumentieren die Unternehmen im TIA meist risikobasiert: Weil es beim konkreten ausländischen Anbieter in der Vergangenheit nie oder nur selten zu einem Datenzugriff staatlicher Stellen gekommen ist, sei die Gefahr eines solchen Zugriffs auch in der Zukunft gering.

Allerdings haben die Datenschutzbehörden einem solchen "risikobasierten Ansatz" eine Absage erteilt. Eine gerichtliche Klärung der Frage steht zwar noch aus. Die Gefahr ist aber groß, dass der "risikobasierte Ansatz" für unzulässig befunden wird. Das Risiko für Unternehmen ist beträchtlich: So entfielen bei einem Bußgeld von mehr als acht Millionen Euro, das die spanische Aufsichtsbehörde 2021 gegen Vodafone verhängte, allein zwei Millionen Euro auf den Verstoß gegen die internationalen Datentransfervorschriften der DSGVO. Theoretisch kann sich ein Bußgeld sogar auf bis zu 20 Millionen EUR oder vier Prozent des weltweiten Jahresumsatzes belaufen.

Datenschutzbehörden prüfen Unternehmen

Auch deutsche Unternehmen können dabei in den Fokus der Aufsichtsbehörden geraten. So haben Datenschutzbehörden – beispielsweise aus Bayern, Berlin oder Baden-Württemberg – bereits etliche deutsche Unternehmen, beispielsweise aus den Bereichen Bewerberportale und Webhoster, ins Visier genommen. Alle angeschriebenen Unternehmen müssen zunächst einen Fragebogen ausfüllen, der es in sich hat: So müssen Unternehmen beispielsweise selbst einschätzen, ob sie Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA unterfallen. Ohne die Hilfe eines amerikanischen Anwaltes dürfte das für viele Unternehmen kaum zu beantworten sein. Die Stoßrichtung der peniblen Nachfragen ist klar: Deutsche Unternehmen sollen dazu gebracht werden, sich von US-Anbietern zu trennen und auf europäische Anbieter auszuweichen. Umso wichtiger ist es, dass die Datenschutztransfers zum wichtigen Handelspartner USA nun wieder auf ein sichereres Fundament gestellt werden.

Jens Nebel ist Partner bei der Wirtschaftskanzlei Kümmerlein in Essen und zählt zu den regelmäßig empfohlenen Anwälten für Datenschutz und IT-Recht. Er vertritt Mandanten in datenschutzrechtlichen Verfahren bis vor den Europäischen Gerichtshof.