Schrems III ist im Anmarsch. Sind Sie darauf vorbereitet?

Ist Ihr Unternehmen auf die neuesten Änderungen im Bereich der grenzüberschreitenden Datenübermittlung vorbereitet?

Schrems III ist auf dem Weg. Bereits jetzt, weniger als zwei Wochen nach der Verabschiedung durch die Europäische Kommission, hat der österreichische Datenschutzaktivist Max Schrems angekündigt, dass er den neuen EU-US-Datenschutzrahmen vor Gericht anfechten wird.

Der Datenschutzrahmen, der den Datenfluss zwischen der Europäischen Union und den Vereinigten Staaten im Rahmen der Datenschutz-Grundverordnung (DSGVO) ermöglicht, soll Probleme mit den beiden vorherigen Datentransferabkommen lösen, die beide von Schrems und seiner gemeinnützigen Organisation NOYB vor Gericht niedergeschlagen wurden. Doch die Kritiker sind nicht überzeugt.

„Die bloße Ankündigung, dass etwas ’neu‘, ‚robust‘ oder ‚effektiv‘ ist, reicht vor dem Gerichtshof nicht aus“, so Schrems in einer Erklärung. „Wir bräuchten Änderungen im US-Überwachungsrecht, damit das funktioniert“, erklärte er und fügte hinzu: „Wir haben dieses juristische Pingpong satt.“

Die Rechtslage ist insgesamt sehr unsicher, aber Datenschutzexperten gehen davon aus, dass ein Fall Schrems III zu weiteren Änderungen der Datenschutzanforderungen für Organisationen auf der ganzen Welt führen würde. Wenn der Gerichtshof der Europäischen Union der Klage zustimmt, wäre dies die dritte große rechtliche Herausforderung für den Datenverkehr zwischen der EU und den USA.

Wann ist also mit Schrems III zu rechnen, und welche Änderungen könnten sich daraus für Ihr Unternehmen ergeben? Im Folgenden gehen wir auf das Erbe von Schrems ein, was Schrems III wahrscheinlich mit sich bringen wird und wie Sie sich auf die Anfechtung des neuen EU-US-Datenschutzrahmens vorbereiten können.

Zunächst einmal: Was sind Schrems und Schrems II?

In der Welt des Datenschutzes ist der Name Schrems ein Synonym für die Anfechtung des Datenverkehrs zwischen der EU und den USA. Zwei der bekanntesten juristischen Anfechtungen von Datenschutzvorschriften stammen von Max Schrems und NOYB, wobei beide Fälle die Rechtslandschaft erheblich verändert haben.

Schrems I. Der erste Fall von Schrems begann 2013, als der Aktivist eine Klage gegen Facebook einreichte, weil es durch die Übermittlung von Nutzerdaten in die USA angeblich gegen europäische Datenschutzgesetze verstieß. Im Mittelpunkt stand das Safe Harbor“-Programm, das es US-Unternehmen ermöglichte, die Einhaltung der EU-Datenschutzstandards selbst zu zertifizieren. Nach zwei Jahren entschied der Europäische Gerichtshof zu Schrems‘ Gunsten und erklärte die Safe-Harbor-Vereinbarung aufgrund von Bedenken über die Überwachung durch die US-Regierung für ungültig.

Schrems II. Der zweite Schrems-Fall, der im Juli 2020 entschieden wurde, drehte sich erneut um die Datenübertragungspraktiken von Facebook. Diesmal ging es um den EU-US-Datenschutzschild, das Abkommen, das die Safe-Harbor-Vereinbarung ersetzt. Das Gericht stellte erneut fest, dass der Rahmen unzureichend ist, und führte ähnliche Bedenken hinsichtlich der Überwachungspraktiken der USA und des Mangels an ausreichenden Garantien für personenbezogene Daten in der EU an. Darüber hinaus stellte das Gericht klar, dass Standardvertragsklauseln (SCCs), die ein akzeptierter Mechanismus für die Datenübermittlung waren, nicht mehr wahllos verwendet werden können und stattdessen eine Einzelfallprüfung der Datenschutzgesetze des Empfängerlandes erforderlich ist. Dieses Urteil führte zur Schaffung des EU-US-Datenschutzrahmens.

Schrems III: eine Antwort auf den neuen EU-US-Datenschutzrahmen

Es wird erwartet, dass Schrems III im Kern auf die Bedenken hinsichtlich des Ausmaßes der Überwachung durch die US-Regierung eingehen wird. Es wird wahrscheinlich argumentieren, dass der neue EU-US-Datenschutzrahmen unzureichend ist, um personenbezogene Daten aus der EU vor Überwachungsmaßnahmen zu schützen.

In einer Erklärung auf seiner Website hat NOYB erklärt, dass ein grundlegendes Problem des neuen Datenschutzrahmens darin besteht, dass die US-Regierung weiterhin nur US-Bürgern verfassungsmäßige Rechte gewährt. Nach dem EU-US-Datenschutzrahmen unterliegen personenbezogene Daten aus der EU nach wie vor der Massenüberwachung durch die USA – ein zentraler Streitpunkt sowohl in Schrems I als auch in Schrems II.

Neben den Bedenken hinsichtlich der Überwachung sollte der EU-US-Datenschutzrahmen auch Probleme mit dem früheren Rechtsbehelfsmechanismus lösen, der eine Ombudsperson einrichtete, die Beschwerden von EU-Bürgern über den Umgang mit ihren persönlichen Daten bearbeiten sollte. Aber, so argumentiert NOYB, der neue Rechtsbehelfsmechanismus bietet nur geringfügige Verbesserungen und gibt den betroffenen Personen in der EU keine vernünftige Möglichkeit, sich Gehör für ihre Beschwerden zu verschaffen.

„Das angeblich ’neue‘ Transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten ‚Privacy Shield'“, heißt es in der Erklärung der gemeinnützigen Organisation. „Trotz der Öffentlichkeitsarbeit der Europäischen Kommission gibt es kaum Änderungen im US-Recht oder im Ansatz der EU.“

Es ist nicht nur NOYB, das diese Haltung eingenommen hat. Die EU-Datenschutzbehörde, der Europäische Datenschutzausschuss, hat ebenfalls erklärt, dass der EU-US-Datenschutzrahmen unzureichend ist und dass mehr getan werden muss, um die Datenschutzrechte der Europäer zu schützen.

Wann können wir mit Schrems III rechnen?

Die kurze Antwort? Frühestens Anfang 2024. Im Juli 2023 sagte Schrems, dass er derzeit davon ausgeht, dass die Fragen bis Anfang nächsten Jahres wieder beim Gerichtshof liegen werden.

Das mag wie eine kurze Frist erscheinen, aber es ist ein realistischer Zeitplan. Erstens hat NOYB mitgeteilt, dass es bereits verschiedene Verfahrensoptionen gibt, um den EU-US-Datenschutzrahmen anzufechten. Zweitens ist die Organisation dafür bekannt, Anfechtungen schnell einzureichen: Die Klage gegen Schrems II wurde 2015 eingereicht, nur wenige Monate nach der Entscheidung in der Rechtssache Schrems I und bevor der daraus resultierende EU-US-Datenschutzschild überhaupt offiziell verabschiedet wurde.

Die früheren Schrems-Fälle können uns auch einen Hinweis darauf geben, wann wir mit einem Ergebnis rechnen können. Bei Schrems I lagen zwei Jahre zwischen Antragstellung und Entscheidung, bei Schrems II fünf Jahre. Es ist also unwahrscheinlich, dass das Problem bis Ende 2024 oder gar 2025 gelöst sein wird. Aber allein die Tatsache, dass ein weiteres Abkommen über den Datenverkehr zwischen der EU und den USA rechtlich angefochten wird, dürfte viele Unternehmen davon abhalten, Änderungen an ihren Datenschutzrichtlinien vorzunehmen.

Welche Auswirkungen haben die Schrems-Fälle insgesamt?

Als Reaktion auf den zu erwartenden Fall Schrems III hat die EU angekündigt, dass sie glaubt, den EU-US-Datenschutzrahmen glaubwürdig verteidigen zu können. Doch in vielerlei Hinsicht ist der Schaden bereits angerichtet.

Bereits jetzt haben sich einige Organisationen entschieden, den EU-US-Datenschutzrahmen nicht zu übernehmen und stattdessen ihre eigenen strengen Datenschutzmaßnahmen einzuführen. Diese Organisationen sind zu Recht besorgt, dass die Vorteile des Rahmens die Risiken nicht aufwiegen werden und dass es nur eine Frage der Zeit ist, bis das Abkommen vor Gericht gekippt wird. In einigen Fällen führen die Aussichten zu einer verstärkten Datenlokalisierung.

Andere Kommentatoren sind zynisch geworden und weisen darauf hin, dass Unternehmen in einer Murmeltierschleife endloser Schrems-Herausforderungen gefangen sind. Diese Kritiker wiesen darauf hin, dass zwischen den Internetdaten, die Verbraucher bereitwillig im Austausch für Bequemlichkeit zur Verfügung stellen, und den Daten, die von Regierungsbehörden im Verborgenen gesammelt werden, der Datenschutz bereits weitgehend bedeutungslos ist. Diese Art von Zynismus hat wahrscheinlich den unglücklichen Effekt, dass sowohl Einzelpersonen als auch Unternehmen in Bezug auf den Datenschutz nachlässiger werden, was wiederum die Tür für mehr Internetkriminalität öffnet.

Es liegt auf der Hand, dass ein starkes Abkommen zwischen den USA und den Mitgliedstaaten der Europäischen Union, das die Rechte des Einzelnen auf Datenschutz mit der Notwendigkeit eines freien Datenverkehrs in Einklang bringt, dringend erforderlich ist. Vor dem EU-US-Datenschutzrahmen war der transatlantische Datenverkehr drei Jahre lang blockiert, so dass Unternehmen keine klare Anleitung für die sichere Übertragung von Daten hatten. Dieser Mangel an Klarheit behindert den globalen Handel: Es wird erwartet, dass in diesem Jahr zwei Drittel des digitalen B2B-Handels, d. h. 1,78 Billionen US-Dollar, aus dem grenzüberschreitenden Handel stammen werden.

Leider sieht es nicht so aus, als würde der neue Rahmen ausreichen. Stattdessen stehen wir wahrscheinlich am Rande eines weiteren Zyklus von Rechtsstreitigkeiten, die die Datenschutzlandschaft auf den Kopf stellen und für mehr Verwirrung und Unsicherheit sorgen.

Vorbereitung auf Schrems III und andere datenschutzrechtliche Herausforderungen

Glücklicherweise gibt es mehrere Möglichkeiten, einen starken Datenschutz und eine hohe Datensicherheit für Ihr Unternehmen zu gewährleisten, unabhängig von den sich ändernden rechtlichen Rahmenbedingungen.

Datenschutz durch Design. Privacy by Design ist bereits ein zentraler Grundsatz der Datenschutz-Grundverordnung und anderer Datenschutzvorschriften und erfordert, dass Unternehmen proaktiv bewährte Datenschutzverfahren in ihre Technologien und täglichen Abläufe integrieren. In einem weiteren Blogbeitrag erläutern wir, wie die Wahl des richtigen Datenschutzrahmens die Einhaltung von Vorschriften unterstützen kann.

Transparenz. Rechenschaftspflicht und Klarheit bei der Datenverarbeitung werden wahrscheinlich ein weiterer Kernpunkt eines zukünftigen Datenschutzrahmens sein. Unternehmen werden verpflichtet sein, klare Informationen über den Umgang mit personenbezogenen Daten und den Zugang von Behörden bereitzustellen. Die Einführung regelmäßiger Sicherheitsaudits und klarer Richtlinien für den Umgang mit Daten wird sich langfristig auszahlen, unabhängig davon, wie die Schrems-III-Klage ausgeht.

Implementierung von eisernem Datenschutz mit ShardSecure. Die ShardSecure-Plattform bietet eine Möglichkeit für Unternehmen, den Datenschutz zu gewährleisten und personenbezogene Daten vor unbefugten Dritten zu schützen. Durch die Trennung des Datenzugriffs von den Infrastrukturanbietern räumt unsere Technologie Bedenken hinsichtlich der Datenhoheit aus und ermöglicht es Unternehmen, die Kontrolle über ihre Daten zurückzugewinnen. Sie wurde auch von unabhängigen Datenschutzanwälten validiert, um die Anforderungen von Anwendungsfall 5 der Empfehlungen des Europäischen Datenschutzausschusses für grenzüberschreitende Datenübertragungen zu erfüllen.

Wenn Sie mehr über die Vorteile von ShardSecure für den Datenschutz und die Einhaltung von Vorschriften erfahren möchten, werfen Sie einen Blick auf unsere Lösungsseite oder nehmen Sie noch heute Kontakt auf.

Sie haben Fragen? Pascal Cronauer* können Sie über Linkedin direkt ansprechen.
* Kontaktmöglichkeit über Linkedin