Obwohl die Europäische Kommission den neuen Angemessenheitsbeschluss EU-USA erst am 10.07.2023 erlassen hat, der darauf abzielt, den Schutz personenbezogener Daten bei der Übermittlung in die USA zu gewährleisten, besteht weiterhin die Möglichkeit, dass wir in Zukunft mit einem Schrems-3-Szenario oder Äquivalent konfrontiert werden.
Wer wird beim US-Datenschutzrahmen klagen?
Es ist zu erwarten, dass Datenschutzaktivisten und Organisationen wie Max Schrems oder der Datenschutzverein NOYB (None Of Your Business) weiterhin eine wichtige Rolle spielen und mögliche Klageverfahren anstrengen könnten. Ziel wird es dabei sein, die Wirksamkeit des Angemessenheitsbeschlusses und des neuen Rechtsbehelfsmechanismus zu prüfen.
Worauf werden sich die Klagen wohl beziehen?
Ein Klageverfahren könnte sich auf die rechtlichen Herausforderungen beziehen, die sich aus dem US-Datenschutzrahmen und den Schutzmaßnahmen für den Zugriff auf Daten durch US-Geheimdienste ergeben.
Die Urteile Schrems I und Schrems II haben gezeigt, dass der Schutz personenbezogener Daten bei der Übermittlung in die USA eine komplexe und heikle Angelegenheit ist. Die Einrichtung eines neuen Rechtsbehelfsmechanismus im Bereich der nationalen Sicherheit und die Verpflichtung der USA zur Einhaltung bestimmter Schutzmaßnahmen sind positive Schritte, aber es bleiben Bedenken hinsichtlich der tatsächlichen Wirksamkeit und Durchsetzbarkeit dieser Mechanismen.
Eine mögliche Grundlage für Klagen im Sinne von Schrems 3 könnte die Überprüfung der tatsächlichen Praktiken der US-Geheimdienste und die Frage sein, ob sie sich tatsächlich im Rahmen der neuen Schutzmaßnahmen bewegen und den Zugriff auf Daten angemessen beschränken. Die Forderung nach Transparenz und Überprüfbarkeit der Geheimdienstaktivitäten könnte ein zentraler Punkt solcher Klageverfahren sein.
Darüber hinaus dürfte die Frage der Unabhängigkeit und Effektivität des Data Protection Review Court (DPRC) im Rahmen des Rechtsbehelfsmechanismus aufgeworfen werden. Datenschutzaktivisten könnten argumentieren, dass der DPRC möglicherweise nicht ausreichend unabhängig ist oder dass seine Entscheidungen nicht bindend genug sind, um den Schutz der Rechte der EU-Bürger zu gewährleisten. Wir halten gerade diesen Punkt für kritisch und sehen Aussichten auf Erfolg einer Klage.
Ein weiterer möglicher Streitpunkt könnte die Frage der nationalen Sicherheit und des Verhältnismäßigkeitsgrundsatzes sein. Aktivisten könnten argumentieren, dass die Zugriffsbeschränkungen und Überwachungsaktivitäten der US-Geheimdienste immer noch nicht ausreichend sind, um das Grundrecht auf Datenschutz angemessen zu wahren.
Letztendlich wird die Zukunft zeigen, ob Klageverfahren im Sinne von Schrems 3 eingeleitet werden und wie die Gerichte auf diese Fragen reagieren werden. Es bleibt zu hoffen, dass die rechtlichen Mechanismen, die im Angemessenheitsbeschluss EU-USA verankert sind, ausreichend sind, um die Rechte der EU-Bürger zu schützen und eine wirksame Durchsetzung des Datenschutzes zu gewährleisten. Sollte sich jedoch herausstellen, dass dies nicht der Fall ist, könnten weitere rechtliche Auseinandersetzungen und eben das besagte Schrems III-Szenario unausweichlich sein anstatt mit dem Datenschutzrahmen endlich die erhoffte Konstante etabliert zu haben.
Was sollten wir als Gemeinschaft und EU unternehmen?
Es liegt in der Verantwortung der EU, weiterhin die Interessen ihrer Bürger zu vertreten und sicherzustellen, dass die Datenschutzstandards eingehalten werden. Ein vorschneller Angemessenheitsbeschluss bzw. US-Datenschutzrahmen entlastet zwar zunächst und nimmt Druck, sorgt aber faktisch für eine gefühlte Endlosschleife, Missverständnisse, Frust und Unsicherheit in der Bevölkerung!
Datenschutzaktivisten und als Teil der Zivilgesellschaft spielen eine wichtige Rolle bei der Aufdeckung möglicher Mängel und der Überwachung der Einhaltung der Datenschutzbestimmungen. Nur durch einen konstanten Dialog und eine aktive Einbeziehung aller Beteiligten können wir eine starke und effektive Datenschutzkultur in der EU fördern und die Rechte und Freiheiten der Bürger schützen. Bei einer Folgeverhandlung mit den USA könnte man vielleicht etwas hartnäckiger verhandeln und nicht vorschnell nachgeben.
Fazit:
Der US-Datenschutzrahmen wirft wichtige Fragen auf und erfordert eine kritische Betrachtung. Obwohl die Europäische Kommission betont, dass die USA ein angemessenes Datenschutzniveau bieten, sollten wir vorsichtig sein und die tatsächlichen Auswirkungen des Beschlusses, einschließlich der Klageverfahren, abwarten. Eine kontinuierliche Überwachung und regelmäßige Überprüfung sind erforderlich, um sicherzustellen, dass die Datenschutzstandards eingehalten werden und die Rechte der EU-Bürger geschützt sind. Letztendlich liegt es an den Datenschutzbehörden und den Bürgern selbst, wachsam zu bleiben und sicherzustellen, dass ihre Daten angemessen geschützt werden.
Unsere Handlungsempfehlungen
Der Datenaustausch zwischen EU-Mitgliedsstaaten und der USA ist kontinuierlich in Bewegung, gleich ob Privacy Shield, Safe Harbour, Standardvertragsklauseln. Ständig müssen Prozesse angepasst werden und Kosten entstehen. Wer darauf keine Lust hat, setzt auf zuverlässige und fachkundige Dienstleister aus Deutschland oder anderen EU-Mitgliedsstaaten. Da es nicht selten der Fall ist, dass gerade eben diese deutschen Anbieter einen erheblich geringeren Leistungsumfang haben und dennoch teurer sind als die US-Lösungen, sollte man sich zumindest darüber bewusst sein, dass man keine wesentlichen Geschäftsprozesse auf die US-Lösungen stützt oder zumindest ausreichend Rückstellungen für eine spätere Änderung bildet. Es bleibt nur eine Frage der Zeit, wann die Klagen kommen. Ob es beim aktuellen Datenschutzrahmen bleibt, wissen wir derzeit alle nicht mit Gewissheit. In voraussichtlich in rund zwei bis drei Jahren wissen wir voraussichtlich etwas mehr ….
Bei Ihren Entscheidungen und datenschutzrechtlich notwendigen Dokumentationen stehen Ihnen Bernhard Brands und das Team der Brands Consulting gerne zur Seite. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse, so auch rund internationale Datentransfere. Flankierend dazu leistet die Byte Solution, als IT-Dienstleister und Schwestergesellschaft der Brands Consulting, den technischen Support für die Realisierung ihrer datenschutzkonformen IT-Projekte. Auch das richtige Datenschutzmanagementsystem, die PRIMA Cloud, und das Hinweisgebersystem, der PRIMA Hinweisgeber, gehören zu den Eigenentwicklungen des Teams.
Für wen das noch nicht genug ist, der findet in der PRIMA Compliance den passenden Partner, um die gewünschte Compliance im Unternehmen oder der Behörde umzusetzen, z. B. durch die Stellung einer Ombudsperson mit PRIMA Hinweisgeber, dem vermutlich kostengünstigsten Whistleblower-System auf dem deutschen Markt.
Haben Sie noch Fragen? Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!