Interview. Baker McKenzie-Anwalt Lukas Feiler und Unternehmensjurist Manuel Georg Bauer, Fachkreisleiter bei der VUJ, sprechen über das neue Data Privacy Framework zwischen EU und USA: Löst es die Datenschutzgefahren für Unternehmen – und wie lange wird es Max Schrems standhalten?
Extrajournal.Net: Die EU hat sich mit den USA auf ein neues Datenschutzabkommen geeinigt: Das „Data Privacy Framework“ soll die privaten Daten der Europäer schützen. Der neue Datenschutzrahmen ist der Nachfolger des alten Privacy Shield-Abkommens, das vom EuGH nach einer Klage von Max Schrems für ungültig erklärt wurde – so wie andere davor. Schon jetzt sagen die Kritiker, dass auch dieses Abkommen vor dem EuGH nicht halten wird. Wie ist die Stimmung unter Unternehmensjuristen – also den umittelbar betroffenen Rechtsprofis aus der Wirtschaft: Herrscht Erleichterung, ist die Phase der Unsicherheit beendet?
Lukas Feiler: Die Phase der Unsicherheit ist vorübergehend beendet, und zwar so lange bis der EuGH sich wieder damit befassen wird. Das wird voraussichtlich im Sommer oder Herbst 2025 sein. Und wie das dann ausgehen wird, das ist eben sehr unsicher. Aus Unternehmenssicht ist das Data Privacy Framework eine Enttäuschung. Die EU-Kommission hat versprochen, bei den Verhandlungen diesmal echte Fortschritte zu erzielen und ein rechtssicheres Ergebnis zu erzielen. Das ist nicht gelungen.
Kritiker des Abkommens wie Max Schrems meinen, dass es gegenüber Privacy Shield kaum Verbesserungen gibt. Sehen Sie das auch so? Es gibt immerhin Neuerungen: Laut Data Privacy Framework müssen die US-Geheimdienste ihren Zugriff auf private EU-Daten auf das notwendige Maß beschränken und es soll ein eigenes Gericht zur Überprüfung geschaffen werden, das „Data Protection Review Court“, an das sich EU-Bürger:innen wenden können.
Manuel Georg Bauer: Unter Berücksichtigung der politischen Situation und der alten Rechtslage in den USA, ist es jedenfalls „the best we can get“ für die nahe Zukunft. Die Sicherheitsbehörden der USA werden diesen neuen Rechtsrahmen künftig berücksichtigen müssen.
Manuel Bauer ©VUJ
Wie sieht es eigentlich umgekehrt aus? Haben US-Bürger, die beispielsweise vom französischen Geheimdienst beobachtet werden, in Europa die Rechte, die Max Schrems für EU-Bürger in den USA einfordert?
Lukas Feiler: Nein. Das kann man so einfach sagen. Denn Europa hat die Tätigkeit der Sicherheitsbehörden vom Datenschutz ausgenommen. Das betrifft übrigens auch die EU-Bürger:innen selbst gegenüber ihren eigenen Sicherheitsbehörden, was die Datenschutz-Grundverordnung (DSGVO) angeht.
Manuel Georg Bauer: Wir wollen also die DSGVO und ihre Prinzipien auf die USA als Drittstaat anwenden, während wir unsere eigenen Sicherheitsbehörden davon ausnehmen.
Die juristische Interpretation ist eine Sache, die Tagesarbeit eine andere: Kann man sich als Unternehmen jetzt erst einmal ein oder zwei Jahre lang mit anderen Dingen beschäftigen, also in Ruhe abwarten wie der EuGH entscheiden wird?
Manuel Georg Bauer: Genau diese Reaktion wäre ein Fehler. Denn Unternehmen müssen erstens jetzt ihre gesamte Rechtsdokumentation bezüglich Datentransfers in die USA an die neue Rechtslage anpassen. Und zweitens sollten sie sich schon jetzt auf das Damoklessschwert „EuGH 2025“ vorbereiten. Das geschieht aus meiner Sicht am besten dadurch, dass man schon jetzt alternative Maßnahmen für den Datentransfer vorbereitet. Das wären u.a. die sogenannten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (SCCs), wie sie schon bisher, insbesondere nach der Aufhebung von „Privacy Shield“, im Einsatz waren.
Lukas Feiler: Wir werden im Fachkreis der VUJ das Thema laufend weiter behandeln, auch mit Praxisbeispielen, was die Umsetzung betrifft.
Standardvertragsklauseln werden von den Kritikern allerdings ebenfalls als datenschutzrechtlich unsicher bezeichnet. Wie sehen Sie das?
Lukas Feiler: Der EuGH hat zu den Standardvertragsklauseln geurteilt, dass diese nur in Kombination mit weiteren, risikominimierenden Maßnahmen gültig sind. Die europäischen Datenschutzbehörden legen das sehr eng aus und stellen sich oft auf den Standpunkt, dass die risikominimierende Maßnahme darin besteht, gar keine Daten zu übertragen. Dagegen verfolgt die europäische Wirtschaft einen risikobasierten Ansatz: Man soll sich also ansehen, wie groß das Risiko bei den persönlichen Daten, die übertragen werden sollen, überhaupt ist.
Manuel Georg Bauer: Wenn die Lösung darin bestehen soll, gar keine Daten zu übertragen, dann müsste dies auch für den Datenverkehr mit z.B. Indien und mit vielen weiteren Drittstaaten, in welchen kostengünstiger IT-Support niedergelassen ist, gelten. Datenhaltung rein in der EU, wäre eine sehr kostenintensive Lösung. Zudem wäre es wirtschaftlich wohl kaum vertretbar, den in der EU niedergelassen Tochtergesellschaften einer US Konzernmutter, jeglichen Datenaustausch mit den USA zu untersagen.
Im Interview
- Manuel Georg Bauer ist Unternehmensjurist und Leiter des Fachkreises Datenschutzrecht bei der Vereinigung Österreichischer Unternehmensjuristen (VUJ).
- Lukas Feiler ist Anwalt (Partner) bei Baker McKenzie und Leiter des Fachkreises Datenschutzrecht bei der Vereinigung Österreichischer Unternehmensjuristen (VUJ).
