Max Schrems (mehr zur Person s im Wikipedia) ist ein österreichischer Datenschutzaktivist und Jurist, der bekannt wurde durch seine Klage gegen Facebook und seine Rolle bei der Aufhebung des Safe-Harbor-und des Privacy Shield Abkommens.
Was ist Schrems I
Schrems I bezieht sich auf eine Vereinbarung (auch bekannt als Safe Harbor) zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA), die am 26. Juli 2000 unterzeichnet wurde. Diese Vereinbarung ermöglichte es US-amerikanischen Unternehmen, personenbezogene Daten von EU-Bürgern zu sammeln und zu verarbeiten, solange sie bestimmte Datenschutzbestimmungen einhielten.
Im Jahr 2015 erklärte der Europäische Gerichtshof (EuGH) als Reaktion auf eine Klage von Max Schrems das Safe Harbor-Abkommen für ungültig. Der EuGH stellte fest, dass die USA nicht ausreichende Datenschutzstandards bieten und dass EU-Bürger daher nicht ausreichend geschützt sind, wenn ihre personenbezogenen Daten von US-Unternehmen verarbeitet werden.
Als Folge davon wurde das EU-US-Datenschutzschild (auch bekannt als Privacy Shield) als Nachfolger von Schrems I im Jahr 2016 eingeführt. Das Privacy Shield stellte ähnliche Anforderungen an US-amerikanische Unternehmen wie das Safe Harbor-Abkommen.
Was ist Schrems II?
Schrems II bezieht sich auf eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, in der das Privacy Shield-Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) für ungültig erklärt wurde. Die Entscheidung des EuGH basierte auch diesmal auf einer Klage von Max Schrems.
Das Privacy Shield-Abkommen sollte als Nachfolger des Safe-Harbor-Abkommens es US-amerikanischen Unternehmen ermöglichen, personenbezogene Daten von EU-Bürgern zu sammeln und zu verarbeiten, solange sie bestimmte Datenschutzbestimmungen einhielten. Das EuGH urteilte jedoch, dass die USA nicht ausreichende Datenschutzstandards bieten und dass das Privacy Shield-Abkommen daher nicht ausreichend war, um die Rechte der EU-Bürger zu schützen.
Das Urteil des EuGH hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten zwischen der EU und den USA übertragen. Unternehmen müssen nun alternative rechtliche Mechanismen wie Standardvertragsklauseln oder Binding Corporate Rules verwenden, um sicherzustellen, dass personenbezogene Daten gemäß den Datenschutzbestimmungen der EU übertragen werden. Unternehmen müssen auch sicherstellen, dass sie die EU-Datenschutzgesetze einhalten, insbesondere die Datenschutz-Grundverordnung (DSGVO).
Das Urteil des EuGH hat auch Auswirkungen auf andere Länder, insbesondere auf Unternehmen, die personenbezogene Daten zwischen der EU und Großbritannien übertragen, da Großbritannien nun als Drittland gilt. Unternehmen müssen daher sicherstellen, dass sie angemessene Datenschutzmaßnahmen für den Datentransfer zwischen der EU und Großbritannien einhalten.
Handlungsempfehlungen für Unternehmen mit Amerikanischen Handelsbeziehungen
Sollten Sie oder Ihr Unternehmen von den Auswirkungen des Privacy Shield-Urteils betroffen sein, möchten wir Ihnen im Folgenden einige Handlungsempfehlungen geben, wie Sie weiterhin personenbezogene Daten von Europa in die USA datenschutzkonform übermitteln können:
- Dokumentation: Erstelle Dokumentation bezüglich aller Anwendungen und Dienstleister und klassifiziere ob Du deswegen Daten in die USA übermittelst
- Rechtliche Basis: Wenn ja, auf welcher rechtlichen Erlaubnis wird die Datenübermittlung in die USA gestützt? (Privacy Shield und / oder Standarddatenschutzklauseln/SCC )
- Anpassen: Überprüfen und ändern der aktuellen Rechtsgrundlage für die Datenübermittlung (siehe europäische Alternativen in Art. 49 der DSGVO)
- Information: Informiere Deinen US Amerikanischen Vertragspartner über die Entscheidung des EuGH und Deine gesetzten Maßnahmen
- Datenschutzerklärung anpassen: Im letzten Schritt ist es unbedingt erforderlich, dass Du Deine bisherige Datenschutzerklärung aktualisierst und an die „neue“ Rechtsgrundlage anpasst. Insbesondere an den Stellen, an denen Du die Datenübermittlung in die USA auf das Privacy Shield gestützt hast.
Wie geht es weiter und was hat TADAP damit zu tun?
Bereits im Frühjahr 2022 vereinbarten US-Präsident Joe Biden und Kommissionschefin Ursula von der Leyen ein neues Datenschutzabkommen namens „Trans-Atlantic Data Privacy Framework“ (TADAP-Framework) während eines Besuchs in Brüssel. Am 7. Oktober 2021 unterzeichnete Biden ein Dekret, das auf US-amerikanischer Seite die Grundlage für einen neuen Rechtsrahmen zur Datenübermittlung schafft.
Man erwartet, dass das Dekret die Bedenken des EuGH beseitigen kann, indem insbesondere strengere Vorgaben für den geheimdienstlichen Zugang zu Daten von Europäern festgelegt werden. Der Zugriff soll nur noch erfolgen, wenn es zur Verfolgung definierter nationaler Sicherheitsziele erforderlich ist und die Privatsphäre sowie bürgerliche Freiheitsrechte aller Menschen, unabhängig von Nationalität und Wohnort, berücksichtigt werden.