Kommt ein neues Datenschutzabkommen mit den USA? Falls ja, bleibt es auch?
Nachdem die EU und die USA am 25. März 2022 eine „grundsätzliche Einigung“ über neue Regeln für den transatlantischen Datenaustausch bekannt gegeben haben, hat US-Präsident Joe Biden am 07. Oktober 2022 die darin angekündigte Executive Order zur Einführung des „EU-U.S. Data Privacy Framework“ (kurz EU-U.S. DPF) unterzeichnet. Dieser Rechtsakt könnte die Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission darstellen und damit die lang ersehnte Rechtssicherheit für die Übermittlung personenbezogener Daten zwischen Europa und den USA wiederherstellen. Doch die Reaktionen hierauf fallen gemischt aus. Während amerikanische Branchenverbände, Regierungsbehörden sowie die EU-Kommission die angekündigten Maßnahmen begrüßen, haben europäische Datenschützer erhebliche Zweifel daran, dass die Executive Order genügt, um die im Schrems II-Urteil des EuGH identifizierten Diskrepanzen zwischen den Befugnissen amerikanischer Sicherheitsbehörden sowie der EU-Grundrechtecharta (GRCh) auszuräumen. Wer hat nun Recht?
Das Wichtigste vorab:
- US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order unterzeichnet, um den datenschutzrechtlichen Anforderungen der EU gerecht zu werden.
- Es bestehen Zweifel, ob die verabschiedeten Maßnahmen den Ansprüchen des EU-Rechts und des EuGH genügen.
- Die Executive Order könnte die Grundlage für einen neuen Angemessenheitsbeschluss darstellen, welcher bereits im März 2023 beschlossen werden könnte.
- Der Erlass der Executive Order ändert nichts an der aktuellen Rechtslage. Bis auf Weiteres sollten Unternehmen Standardvertragsklauseln abschließen und Transfer Impact Assessments erstellen, um Datentransfers in die USA abzusichern.
Wesentliche Inhalte
Die wesentlichen Kritikpunkte an der amerikanischen Rechtslage, die der EuGH in seinem Schrems II-Urteil nannte, bestanden insbesondere darin, dass die von den USA durchgeführten Überwachungsmaßnahmen nicht verhältnismäßig im Sinne des Art. 52 GRCh waren und Betroffenen entgegen Art. 47 GRCh kein gerichtlicher Rechtsbehelf zur Verfügung stand. Die Executive Order nimmt sich dieser Kritik ausdrücklich an.
1. Einführung einer Verhältnismäßigkeitsprüfung
Sec. 2 der Executive Order sieht vor, dass nachrichtendienstliche Aktivitäten nur zur Erreichung vordefinierter legitimer Ziele eingesetzt werden dürfen. Darüber hinaus müssen Überwachungsmaßnahmen zukünftig zur Erreichung der legitimen Ziele „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate) im Hinblick auf den Eingriff in die Privatsphäre und Freiheiten Betroffener sein – unabhängig davon ob es sich dabei um US-Bürger:innen handelt oder nicht.
Damit nähert sich die Executive Order zumindest im Wortlaut den Voraussetzungen für Grundrechtseingriffe in Art. 52 GRCh an. Wesentlich entscheidender ist jedoch, wie die Begriffe der „Erforderlichkeit“ und „Verhältnismäßigkeit“ in der jeweiligen Rechtsordnung interpretiert werden. Schon aus der Executive Order selbst geht hervor, dass die Schwellen der Erforderlichkeit und Verhältnismäßigkeit nach amerikanischem Verständnis spürbar niedriger liegen. Während die Executive Order ausdrücklich weiterhin die Möglichkeit von Massenüberwachungsmaßnahmen („bulk surveillance“), wie Upstream und PRISM vorsieht (Sec. 2. (c) (ii)), hat der EuGH mit Urteil vom 20.09.22 (C-793/19 und C-794/19) die deutschen Regelungen zur Vorratsdatenspeicherung erneut für europarechtswidrig erklärt. Mithin erscheint fraglich, ob das amerikanische Verständnis von Verhältnismäßigkeit einer Überprüfung durch den EuGH wird standhalten können.
2. Zweistufiger Rechtsbehelf & Data Protection Review Court
Die Executive Order sieht ein zweistufiges Rechtsbehelfsverfahren vor, im Rahmen dessen auch Betroffene aus der EU Beschwerden gegen Überwachungsmaßnahmen einlegen können. In der ersten Stufe werden diese vom „Civil Liberties Protection Officer“ (CLPO) überprüft, welcher dem „Director of National Intelligence“ und damit einer US-Behörde untersteht. Dieser wird in einem geheimen Verfahren darüber entscheiden, ob ein Verstoß erfolgt ist. Der Betroffene wird lediglich darüber informiert, dass entweder kein Verstoß vorlag oder dass Abhilfemaßnahmen rechtsverbindlich angeordnet wurden („the review either did not identify any covered violations or the [CLPO] issued a determination requiring appropriate remediation“).
Entscheidungen des CLPO können auf Verlangen des Betroffenen oder einer Überwachungsbehörde in der zweiten Stufe vom neu zu bildenden „Data Protection Review Court“ (DPRC) überprüft werden. Die Mitglieder dieses Gremiums müssen sich aus fachkundigen Rechtsanwendern zusammensetzen, die zum Zeitpunkt ihrer Ernennung nicht in einem Anstellungsverhältnis mit einer amerikanischen Behörde stehen. Wie im Verfahren vor dem CLPO erfolgen die Entscheidungen geheim und Betroffene erhalten lediglich eine allgemeine Information über den Ausgang des Verfahrens.
Zwar wird das Entscheidungsgremium als „Court“ und damit im Deutschen als „Gericht“ bezeichnet. Allerdings bestehen erhebliche Zweifel, ob der DPRC tatsächlich die Anforderungen an ein unabhängiges und unparteiisches Gericht im Sinne des Art. 47 GRCh erfüllt. Nach dem Wortlaut von Sec. 3 (d) (i) der Executive Order dürfen die Mitglieder des DPRC während ihrer Amtszeit kein Amt innerhalb der US-Regierung innehaben – außer dem Amt als Richter des DPRC. Dies deutet auf eine Unterordnung des DPRC unter die Exekutive anstelle der Judikative hin. Darüber hinaus wird der Prozessvertreter des Betroffenen vom DPRC selbst bestimmt.
Auch enthält die Executive Order keine Aussage darüber, dass Betroffene über durchgeführte Überwachungsmaßnahmen unterrichtet werden müssen. Dies stellt die „Wirksamkeit“ des zur Verfügung gestellten Rechtsbehelfs ernsthaft in Frage.
Nächste Schritte
Die Europäische Kommission hat signalisiert, dass sie davon ausgeht, dass ein Angemessenheitsbeschluss über das EU-U.S. DPF, welches auf Grundlage der Executive Order abgeschlossen werden soll, einer gerichtlichen Überprüfung durch den EuGH standhalten wird. Dementsprechend hat sie das Verfahren zum Erlass eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in die Wege geleitet. Vor der Beschlussfassung müssen der Europäische Datenschutzausschuss (EDSA) sowie die europäischen Mitgliedstaaten angehört werden. Es läge dabei allein in der Hand der Mitgliedstaaten den Beschluss zu verwerfen, was unwahrscheinlich sein dürfte. Eine Entscheidung über den Beschluss wird für März 2023 erwartet.
Was heißt das für Unternehmen?
Die Executive Order hat für europäische Unternehmen keinen unmittelbaren Effekt. Zur Übermittlung personenbezogener Daten sind nach wie vor die bisher zur Verfügung stehenden Transfermechanismen zu bemühen. An vorderster Stelle stehen dabei die neuen Standardvertragsklauseln, welche die EU-Kommission am 04. Juni 2021 veröffentlicht hat. Bestehende Standardvertragsklauseln, die noch auf den alten Mustern beruhen, müssen bis zum 27. Dezember 2022 auf die neuen Muster umgestellt werden, welche auch im Fall der USA ein Transfer Impact Assessment erfordern (wir berichteten hier). Sollte die Kommission auf Grundlage der Executive Order einen neuen Angemessenheitsbeschluss fassen, könnten auf dessen Grundlage personenbezogene Daten auch ohne weitere Voraussetzungen in die USA übermittelt werden. Hierauf sollten Unternehmen jedoch nicht bauen. Es bestehen berechtigte Zweifel an der Angemessenheit der neu beschlossenen Maßnahmen der US-Regierung im Hinblick an die Anforderungen der GRCh und des EuGH. Diese lassen nicht ausschließen, dass auch das EU-U.S. DPF kurze Zeit nach seinem Inkrafttreten für ungültig erklärt wird. Datenschutzaktivist Max Schrems hat bereits angedeutet, gegen einen neuen Angemessenheitsbeschluss vorzugehen, sollte dieser auf Grundlage der vorliegenden Executive Order beschlossen werden. Es bleibt daher anzuraten, Standardvertragsklauseln zu vereinbaren.
