Die Vereinbarung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen der EU und den USA. Denn das bis dato gültige Abkommen „Privacy Shield” zur Übermittlung personenbezogener Daten wurde mit dem Urteil „Schrems II” des Europäischen Gerichtshofes (EuGH) im Juli 2020 für unwirksam erklärt, weil es den rechtlichen Anforderungen nicht genügte. Schon lange kritisieren Datenschützer:innen, dass die Daten von EU-Bürgern:innen in den USA nicht ausreichend geschützt werden – die umfangreichen staatlichen Datenzugriffe in den USA seien problematisch und nicht mit dem europäischen Schutzniveau vergleichbar.

Das Problem: Mit dem Urteil wurde die digitale Zusammenarbeit von europäischen mit eingetragenen US-Unternehmen nahezu unmöglich. Denn selbst wenn US-Firmen die gesammelten Daten gar nicht in den USA speichern, diese verschlüsseln und vertragliche Garantien zum Datenschutz gewährleisten, können staatliche Zugriffe auf diese Daten nicht ausgeschlossen werden. Denn: Alle US-Unternehmen unterliegen dem US-Gesetz 50 U.S. Code § 1881a (FISA 702), das sie dazu verpflichtet, den US-Behörden jederzeit einen Zugriff auf die Daten zu gewähren oder diese sogar herauszugeben – ungeachtet dessen, wo sie gespeichert sind. Diese Verpflichtung kann sich ebenfalls auf kryptografische Schlüssel erstrecken.

Im konkreten Fall von Google Analytics kamen beispielsweise sowohl die österreichische als auch die französische Datenschutzbehörde zu dem Schluss, dass dessen Verwendung auf keine Art und Weise möglich ist, weil kein gleichwertiges Schutzniveau bei der Drittlands-Datenübermittlung sichergestellt werden kann.

Viele Publisher berufen sich derzeit auf die Möglichkeit der in der DSGVO angelegten Ausnahmegenehmigung und weisen ihre User:innen im Consent-Banner-Dialog darauf hin, dass ein Datentransfer in ein Drittland stattfindet. Damit steht es den Nutzer:innen frei, ihre vollumfängliche Zustimmung zu geben, sie auf einzelne Dienste zu beschränken oder nicht zu erteilen. Allerdings monieren Datenschützer:innen, dass eine Datenübermittlung, die nicht auf Garantie-Instrumenten nach Art. 46 DSGVO basiert, sondern durch die direkten Einwilligungen der Nutzer:innen erfolgt, auch kein entsprechendes Schutzniveau herstellt.

Das bedeutet letztlich das praktische Aus für die digitale Zusammenarbeit mit US-Firmen. Denn für die Ausführung digitaler Services ist in aller Regel eine Übermittlung von personenbezogener Daten unausweichlich – und sei es nur der Aufruf einer IP-Adresse.

Diese rechtlichen Restriktionen und Unsicherheiten lähmen die transatlantischen Wirtschaftsbeziehungen; ein neues rechtssicheres Abkommen ist daher längst überfällig. Das TADPF stellt nun einen wichtigen rechtlichen Mechanismus für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten wieder her und berücksichtigt darin die Kritikpunkte des EuGH – so zumindest der politische Wille.

Entscheidend sind jetzt die konkrete Ausformulierung und eine schnelle Umsetzung, damit das Abkommen nicht wieder vom EuGH gekippt werden kann und die Digitalindustrie in die größte Not zurückkatapultiert.