DSGVO und M365. Der sichere Kompass. „Schrems III“ ist in Sicht.

1. Hintergrund oder aller guten Dinge sind drei?

Für den sicheren Datentransfer zwischen der EU und sog. Drittstaaten braucht es eine gesetzliche Regelung. Diese Regelung kann ein „Angemessenheitsbeschluss“ sein. Ein Angemessenheitsbeschluss ist ein Beschluss, der von der Europäischen Kommission gemäß Art. 45 DSGVO (Datenschutz-Grundverordnung) angenommen wird und durch den festgelegt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Im Rahmen dieses Beschlusses werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt. Ein solcher Beschluss bedeutet, dass personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können.

Die ersten beiden Abkommen (Safe Harbor und Privacy Shield) wurden vom EuGH (Europäischer Gerichtshof) für ungültig erklärt. Nun verkünden die USA und die EU, sie hätten dieses Mal wirklich einen Weg gefunden. Aller guten Dinge sind drei? Ziemlich sicher nicht.

 

2. Derzeitiger Status

Nach dem Scheitern von Safe Harbor und Privacy Shield versuchen die EU und die USA nun zum dritten Mal, einen Weg zwischen dem europäischen Datenschutzrecht und der weiterhin (politisch) gewollten amerikanischen Massenüberwachung zu finden. Dieser Weg wird, wenn er nicht anders (als derzeit nur rudimentär) beschritten wird, wieder nicht zum Ziel führen. Hierfür sprechen derzeit folgende Argumente:

  • „Schrems III“ ante portas. Auf der Webseite seiner Organisation NOYB führt Max Schrems aus: „Sobald der endgültige Text vorliegt, werden wir ihn, zusammen mit unseren US-Rechtsexperten, eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen…“
  • Die neue Regelung liegt noch nicht im Text vor, es handelt sich daher bisher lediglich um eine politische Absichtserklärung.
  • Aus der oben zitierten Presseerklärung der USA können bisher nur Punkte abgelesen werden, die eine „Schrems III Entscheidung“ sehr wahrscheinlich erscheinen lassen, z. B.:
    • Es ist weiterhin keine gerichtliche Überprüfung von Beschwerden der betroffenen vorgesehen, sondern nur eine „quasi-gerichtliche“. Diese Forderung nach einer gerichtlichen Überprüfung hat der EuGH ausdrücklich angemahnt.
    • Es ist nicht geklärt, wie die Überwachung der Geheimdienste reduziert werden soll.
    • Die geplante Regelung soll auf dem bisherigen Privacy Shield aufsetzen, die Anforderungen an US-Unternehmen sollen sich nicht ändern und die bisherige Privacy Zertifizierungen sollen weitergelten. Auch der Name „Privacy Shield“ soll für die Zertifizierung erneut verwendet werden. Na, wenn das keine Steilvorlage ist!
  • Dass rechtlich gesicherte Grundlagen zum transatlantischen Datenaustausch notwendig und auch gewünscht sind, steht außer Frage. Aber, liebe Verhandelnde auf beiden Seiten des Atlantiks, es stellt sich nach dem, was wir bisher von Ihnen zum Privacy Shield 2.0 wissen nur eine drängende Frage: Was haben Sie am Urteil des EuGHs zum bisherigen Privacy Shield (Schrems II) nicht verstanden?

 

3. Wie geht es weiter? Empfehlungen.

 

Zunächst muss der Text des Privacy Shield 2.0 vollständig ausgearbeitet werden. Will sich die EU nicht wieder so eine mächtige politische Ohrfeige vom EuGH einfangen, wie beim letzten Privacy Shield, wird dies Zeit in Anspruch nehmen. Tippen wir mal auf 6 Monate.

Im Anschluss verabschiedet die US-Regierung als Executive Order Privacy Shield 2.0. Die EU-Kommission veröffentlicht einen Entwurf des Angemessenheitsbeschlusses. Dazu gibt der Europäische Datenschutzausschuss seine Stellungnahme zu diesem Angemessenheitsbeschluss ab (Art. 70 Abs. 2 lit. s DSGVO, EG 105, S. 3 DSGVO). Dieser ist für die EU nicht bindend. Darüber hinaus  können die Mitgliedsstaaten im sog. Komitologieverfahren Stellungnahmen gemäß Art. 45 Abs. 3, S. 4 DSGVO abgeben. Tippen wir mal auf weitere 3 Monate.

Im Anschluss wird der Angemessenheitsbeschluss im Amtsblatt der EU (Art. 45 Abs. 8 DSGVO) veröffentlicht. Setzen wir hierfür 1 Monat an. Bis jetzt sind ca. 10 Monate vergangen. Jetzt ist es Zeit für Schrems III.

Empfehlung: Bis zum endgültigen Angemessenheitsbeschluss müssen Verantwortliche weiterhin Datentransfers mit anderen Transfermechanismen absichern, insbesondere mit Standardvertragsklauseln und den sog. zusätzlichen Maßnahmen. Wenn aber – und das scheint derzeit ziemlich sicher – die neue Regelung rechtlich angegriffen und gerichtlich überprüft wird, dann kann nicht ausgeschlossen werden, dass es zur Aufhebung von Privacy Shield 2.0 kommt. Was wir alle aus Schrems II gelernt haben sollten, ist, dass wir dann die neuen Standardvertragsklauseln mit zusätzlichen Maßnahmen unterschrieben und sicher in der Schublade haben sollten. Die notwendigen zusätzlichen Maßnahmen zeigen wir auf.

Nur so können wir das Privacy Shield 2.0 mit rechtlich souveräner Lockerheit auf uns zukommen lassen. Das PRW® Compliance Set: M365 bringt uns allen diese zuvor beschriebene rechtliche Souveränität.