(TL) Am 25. Mai 2022 berichteten wir bereits, dass die EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden ein neues Vorhaben zur Regelung des Datenverkehrs zwischen der Europäischen Union und den USA angekündigt haben. Das Trans-Atlantic Data Privacy Framework (TADPF) soll damit der Nachfolger des durch das Schrems-II-Urteil gekippten EU-US Privacy Shields werden und Datentransfers zwischen der EU und den USA legitimieren.

Der nächste Schritt auf dem Weg zum TADPF wurde am 07.10.22 genommen. Der US-Präsident unterschrieb eine Executive Order “On Enhancing Safeguards For United States Signals Intelligence Activities” (E.O. 07.10.22).

Darauffolgend veröffentlichte die EU-Kommission am 13.12.2022 einen Entwurf für einen Angemessenheitsbeschluss für das TADPF. Um von diesem profitieren zu können, müssten sich US-Datenimporteure bei der US-Handelsaufsicht FTC registrieren lassen und sich den entsprechenden Datenverpflichtungen unterwerfen. Die FTC überwacht die Einhaltung der Verpflichtungen und kann bei Missachtung Strafen verhängen.

Der Entwurf muss nun das Annahmeverfahren durchlaufen. Dabei werden Stellungnahmen von Vertretern der Mitgliedsstaaten und des Europäischen Datenschutzausschusses (EDSA) eingeholt. Bindend sind jedoch auch negative Stellungnahmen nicht. Das EU-Parlament kann zudem Änderungen verlangen oder einer Verabschiedung widersprechen.

TADPF – Wofür?

Sollen personenbezogene Daten den europäischen Wirtschaftsraum (EWR) verlassen (sog. Drittlandübermittlung), so müssen dafür unterschiedliche Voraussetzungen der Datenschutz-Grundverordnung (DS-GVO) erfüllt sein. Zum einen ist eine allgemeine Rechtsgrundlage für die Datenverarbeitung i.S.d. Art. 6 DS-GVO erforderlich, wie besipielsweise die Einwilligung der betroffenen Person oder das berechtigte Interesse der für die Verarbeitung Verantwortlichen. Zum anderen müssen die Vorgaben des Kapitel 5 DS-GVO erfüllt sein. Eine Drittlandübermittlung ist danach nur zulässig, wenn garantiert werden kann, dass im Empfänger-Drittland ein Datenschutzniveau garantiert werden kann, welches dem Datenschutzniveau im Europäischen Wirtschaftsraum (EWR) entspricht.

Die für alle Parteien einfachste Möglichkeit die erforderliche Garantie zu erbringen ist eine Drittlandübermittlung gestützt auf einen Angemessenheitsbeschluss (aktuelle Liste der Länder mit Angemessenheitsbeschluss: hier).

Seit dem Schrems-II-Urteil liegt für die USA kein solcher Beschluss mehr vor. Insgesamt wurden bereits zwei Angemessenheitsbeschlüsse durch den österreichischen Datenschutzverein „none of your business“ (noyb) von Max Schrems vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht. Ausschlaggebend für die Entscheidung des EuGH war in beiden Fällen die Überwachungspraxis der US-Ermittlungsbehörden. So erfassten diese großen Datenmengen von EU-Bürgern, ohne dabei den nach Europäischem Recht erforderlichen Verhältnismäßigkeitsgrundsatz zu beachten. EU-Bürgern stünden zudem keine wirksamen Rechtsmittel zur Verfügung, um sich gegen die Datenverarbeitung zu wehren. Diesen Punkten soll mit der von Biden unterzeichneten E.O. 07.10.22 abgeholfen werden.

Überblick über Regelungen der E.O. 07.10.22. 

Angepasst wurden unter anderem der weitreichende Zugriff auf Daten im Rahmen der nationalen Sicherheit sowie das Beschwerde- und Rechtsbehelfsverfahren. 

  • Zugriff auf Daten im Rahmen der nationalen Sicherheit 

In Sec. 2 (c) (i) (B) der E.O. 07.10.22 wird erstmalig der Begriff der „Verhältnismäßigkeit“ mit eingebracht. Im Gegensatz dazu spricht eine andere E.O., die E.O. 12333, beispielsweise beim Ergreifen von Maßnahmen davon, dass diese so maßgeschneidert wie möglich – bezogen auf den verfolgten Zweck – sein müssen. Dies schränkt grundsätzlich nicht den Umfang der gesammelten Daten oder auch die Art und Weise wie die Daten gesammelt wurden ein. Der nun verwendete Begriff der „Verhältnismäßigkeit“ entspricht dem Wortlaut nach grundsätzlich den Europäischen Grundsätzen, was eine Einschränkung der Datenerfassung bedeuten könnte. Es ist jedoch davon auszugehen, dass das US-Verständnis der Verhältnismäßigkeit deutlich vom Europäischen Verständnis abweicht. Eine grundlegende Einschränkung der Massenüberwachungsprogramme der USA ist durch die neue E.O. 07.10.22 nämlich nicht vorgesehen. Ebendies wäre bei einem Übereinstimmenden Verständnis der Verhältnismäßigkeit jedoch erforderlich. 

  • Beschwerde- Rechtsbehelfsverfahren 

Betroffenen Personen muss weiter ein Rechtsbehelf vor einem Gericht eingeräumt werden. Entsprechend Sec. 3 (d) E.O. 07.10.22. soll der „Data Protection Review Court“ (Review Court), eingerichtet werden, um diesem Erfordernis nachzukommen.

Der Review Court überprüft eingereichte Beschwerden erst, wenn diese nach Sichtung durch einen Mitarbeiter des Director of National Intelligence an das Gericht weitergeleitet werden. Auffällig ist, dass die Antwortmöglichkeiten sowohl des Mitarbeiters als auch des Review Courts durch die E.O. 07.10.22 vorgeschrieben werden. Die Antwort lautet demnach in beiden Fällen, dass die USA weder bestätigen noch verneinen, dass die betroffene Person überwacht wurde. Weiter sei die Überwachung, wenn sie denn erfolgte, entweder rechtmäßig erfolgt, oder aber bei unrechtmäßiger Überwachung bereits eingestellt und das Problem damit behoben (siehe Section 3 (c) (E) und Section 3 (d) (H)). Bereits diese Art der Vorformulierten Antworten lässt Zweifel an der Unabhängigkeit des Review Courts zu.

Weiter wird der Review Court nach der Verordnung des Justizministers innerhalb seines Ressorts eingerichtet. Er dürfte damit der Exekutive zuzurechnen sein, was seiner (richterlichen) Unabhängigkeit ebenfalls entgegensteht und der Review Court eher als ein Teil der Executive anzusehen ist. Damit können hier Parallelen zur Ombudsperson gesehen werden. Diese Beschwerdestelle des früheren Privacy Shields wurde vom EuGH als nicht ausreichende Garantie für den Schutz personenbezogener Daten von EU-Bürgern angesehen. Insbesondere weil die Ombudsperson ein Teil der Executive war und Entscheidungen dieser keine bindende Wirkung gegenüber anderen US-Behörden entfalteten (Schrems-II-Urteil, Rn. 197). Somit kann bezweifelt werden, dass durch die Regelungen der E.O. 07.10.22 eine tatsächliche Erhöhung des Schutzniveaus herbeigeführt werden kann. Die Bezeichnung eines Exekutivorgans als Gericht, spricht diesem nicht dieselben Funktionen und Rechte zu. (So auch: LfDI Baden-Württemberg und die Datenschutzorganisation NOYB). 

Der LfDI Baden-Württemberg, Dr. Brink, hat bereits Zweifel daran geäußert, ob eine Executive Order überhaupt ein wirksames Instrument zur Umsetzung der Anforderungen der DS-GVO sein kann. Bei einer E.O. handelt es sich um eine interne Richtlinie der US-amerikanischen Bundesregierung und nicht um ein beschlossenes Gesetz. Eine von einem US-Präsidenten erlassene E.O. kann problemlos sowohl vom Erlassendem als auch vom nachfolgenden Präsidenten zurückgenommen werden. Zudem ist die Einhaltung einer E.O. für EU-Bürger nicht einklagbar. 

Fazit zum Angemessenheitsbeschluss-Entwurf 

Insgesamt lässt nach jetzigem Stand die unterzeichnete E.O. 07.10.22 Zweifel daran zu, ob mit ihrer Umsetzung eine Erhöhung des Schutzniveaus personenbezogener Daten von EU-Bürgern in den USA einhergeht. Max Schrems hat auch gegen den Angemessenheitsbeschluss-Entwurf Kritik geäußert, die sich dem Grunde nach mit der Kritik an der E.O. 07.10.22 deckt. Denn diese ist ausschlaggebend für den Entwurf gewesen.

Die EU-Kommission sieht dies jedoch anders, sodass mit der Annahme eines Angemessenheitsbeschlusses im Frühjahr 2023 zu rechnen ist.

Handlungsempfehlung

Mit Blick darauf, dass aller Wahrscheinlichkeit nach auch dieser Angemessenheitsbeschluss zu einer Überprüfung vor den EuGH gebracht wird, empfiehlt es sich weiterhin auf den Abschluss der Standardvertragsklauseln (SCC) und die Durchführung eines Transfer Impact Assessments als zusätzliche Sicherheitsmaßnahme zu setzen. Damit wird die Situation abgewendet, nach einem erneuten zu Fall bringen des Angemessenheitsbeschlusses kurzfristige Alternativen suchen zu müssen, um einen Datentransfer zu legitimieren.

Transfer Impact Assessments für den Einsatz von Google Workspace und MS 365 können im audatis Shop erworben werden.

Näheres zum Thema SCC finden Sie in den audatis Artikeln: „Deadline zum Abschluss neuer Standardvertragsklauseln und Q&A der Europäischen Kommission“ und „Neue EU-Standarddatenschutzklauseln“).