Transatlantischer Datentransfer – Quo vadis? Die Eckpunkte des neuen Abkommens

Was ist passiert?

Aufgrund der Entscheidung des EuGH zu C‑311/18 (besser bekannt unter „Schrems II“) wurde das Privacy Shield, eine besondere Form eines Angemessenheitsbeschlusses, auf Basis dessen Daten bislang problemlos in die USA übermittelt und dort verarbeitet werden konnten, für ungültig erklärt. Ohne dieses Instrument muss derzeit auf geeignete Garantien iSd Art 46 DSGVO ausgewichen werden, insbesondere zwischen Datenexporteur und Datenimporteur abgeschlossene Standardvertragsklauseln („SCC“). Inwieweit SCC tatsächlich sinnvoll sind und überhaupt geeignete Garantien iSd Art 46 DSGVO begründen können, bleibt allerdings offen. Im Lichte der Ausführungen des EuGH im Zuge der Beurteilung des Privacy Shields erscheint dies mehr als fraglich. Denn gerade eine rein vertragliche Regelung zwischen Datenexporteur und -importeuer, wie die SCC es sind, vermag das vom EuGH beanstandete US-Recht (insbesondere die staatlichen Überwachungsmaßnahmen) nicht zu übertrumpfen.

Der neue Transatlantische Datenschutzrahmen

Um diese Lücke zu schließen, erarbeiteten die EU-Kommission und die US-Regierung nun das bereits dritte Übereinkommen für einen sicheren transatlantischen Datentransfer, mit dem Ziel einen neuen Angemessenheitsbeschluss der Kommission zu erreichen. Ein solcher setzt eine Übermittlung in die USA einer innereuropäischen Übermittlung gleich und ermöglicht so einen genehmigungsfreien Datentransfer. Dazu müssten aber die USA ihre Rechtslage, insbesondere hinsichtlich der Überwachungsmaßnahmen wie auch der Information über Maßnahmen sowie der Möglichkeiten einer effektiven Rechtsdurchsetzung von EU-Bürger:innen, ändern.

Nun haben sich die EU-Kommission und die US-Regierung bereits im März des Vorjahres auf einen neuen Transatlantischen Datenschutzrahmen geeinigt, „mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden“ sollen. Zur Ermöglichung dessen, haben sich die USA dazu verpflichtet, neue Garantien einzuführen, um zu gewährleisten, dass die signalerfassende Aufklärung zur Verfolgung der festgelegten Ziele der nationalen Sicherheit erforderlich und angemessen ist, einen zweistufigen unabhängigen Rechtsbehelfsmechanismus einzurichten, durch den Abhilfemaßnahmen verbindlich angeordnet werden können, und die signalerfassende Aufklärung einer strengen, mehrstufigen Aufsicht zu unterstellen. Die Selbstverpflichtungen der USA sollten in eine Durchführungsverordnung (Executive Order) überführt werden, die dann als Grundlage für die Bewertung der Kommission in ihrem künftigen Angemessenheitsbeschluss dient.

Eine dementsprechende Executive Order („EO“) wurde von Präsident Biden am 7.10.2022 zusammen mit einigen Verordnungen des Generalstaatsanwaltes erlassen. Am 13.12.2022 verlautbarte die EU-Kommission, dass sie nun das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet hat. Nach Ansicht der EU-Kommission biete der neue US-Rechtsrahmen Garantien, die mit denen der EU vergleichbar wären und würden die USA somit ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Unternehmen in den USA übermittelt werden.

Zentrale Aspekte der Executive Order

Der Zugang der US-Nachrichtendienste zu europäischen Daten soll auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein. Das schließt jedoch auch Bedrohungen der globalen Sicherheit, Risiken für die öffentliche Gesundheit, humanitäre Bedrohungen oder politische Instabilität mit ein. Allerdings soll nunmehr gezielten Datenerhebungen der Vorrang gegenüber Massenüberwachungsmaßnahmen gegeben werden. Ausgeschlossen werden letztere jedoch nicht. Diese Änderungen sollen durch Anpassungen der diversen geheimdienstlichen Richtlinien umgesetzt werden.

EU-Bürger:innen sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste ein unabhängiges und unparteiisches zweistufiges Rechtsbehelfsverfahren nutzen können, einschließlich eines neu geschaffenen Gerichts. Zuerst übernimmt der Civil Liberties Protection Officer of the Office of the Director of National Intelligence („CLPO“) eine erste Untersuchung von qualifizierten Beschwerden und setzt allenfalls für die Nachrichtendienste bindende Maßnahmen. In einer zweiten Stufe kann die Entscheidung des CLPO durch den Data Protection Review Court überprüft werden. An diesem sollen unabhängige und unabsetzbare Richter:innen tätig sein, die von außerhalb der Regierung ernannt werden und die Erfahrung in Bereich Datenschutz wie auch nationale Sicherheit haben. Auch die Entscheidungen des Gerichts haben bindende Wirkung für die Nachrichtendienste.

Der Weg zum Angemessenheitsbeschluss

Der Entwurf des Angemessenheitsbeschlusses wird nun das Annahmeverfahren durchlaufen: In einem ersten Schritt hat die EU-Kommission ihren Beschlussentwurf dem Europäischen Datenschutzausschuss („EDSA“) vorgelegt. Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen.

In der Folge soll die Funktionsweise des Datenschutzrahmens regelmäßig gemeinsam von der EU-Kommission und den europäischen Datenschutzbehörden sowie von den zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.

Während der EDSA die Neuerungen grundsätzlich begrüßt, hat er in seiner Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework vom 28.2.2023 auch einige gravierende Bedenken geäußert. Diese betreffen insbesondere bestimmte Rechte der betroffenen Personen, die Weiterübermittlung, den Umfang der Ausnahmen, die vorübergehende Massenerfassung von Daten und die praktische Funktionsweise des Rechtsbehelfsverfahrens. Zudem verlangt der EDSA berechtigterweise, dass die versprochenen Maßnahmen erst umgesetzt werden müssen, bevor sie Grundlage für den Angemessenheitsbeschluss sein können.

Fazit

Der neue Vorstoß ist sehr zu begrüßen. Allerdings ist fraglich, ob die EO wirklich tauglich ist, um ein angemessenes Datenschutzniveau in den USA zu begründen. Neben der Unsicherheit, dass die EO jederzeit von dem:der (selben oder nächsten) Präsidenten:Präsidentin rückgängig gemacht werden kann, bestehen auch Zweifel daran, ob etwa der Rechtsschutzmechanismus oder die Verhältnismäßigkeitsprüfung im Rahmen von Überwachungsmaßnahmen wirklich den Voraussetzungen der Grundrechtscharta an ein unabhängiges und unparteiisches Gericht bzw. für Grundrechtseingriffe entsprechen. Wird der Angemessenheitsbeschluss tatsächlich angenommen, was allerdings noch einige Zeit dauern könnte, ebnet er den Weg für einige Jahre des einfachen Datentransfers in die USA. Bis er möglicherweise wieder aufgrund einer EuGH-Entscheidung aufgehoben wird. Organisationen wie NYOB von Max Schrems wetzen jedenfalls bereits die Messer.