USA schafft Grundlage für ein neues Privacy Shield

Die Datenübermittlung zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) steht schon seit Jahren immer wieder im Mittelpunkt der Aufmerksamkeit des Datenschutzes. Durch marktbestimmende Unternehmen wie Google, Microsoft und Facebook mit amerikanischen Hauptsitzen, ist die Übermittlung von personenbezogenen Daten jedoch nicht nur für Experten, sondern für nahezu jedes in der EU tätige Unternehmen von höchster Relevanz.

Nach langer Beratung mit der EU, hat US-Präsident Joe Biden nun am 07.Oktober 2022 eine Durchführungsverordnung unterzeichnet, die für die Übermittlung von personenbezogenen Daten von und nach Amerika Rechtssicherheit schaffen soll. Dies soll ein erster offizieller Schritt hin zum sogenannten Trans-Atlantic Data Privacy Framework darstellen, das die Datenübermittlung in die USA im Wege eines Angemessenheitsbeschlusses gem. 45 DSGVO rechtfertigt.

Hintergrund

Der Beschluss ergeht von dem Hintergrund verschiedener Abkommen und Absprachen ähnlicher Art, die alle vom Europäischen Gerichtshof (EuGH) für rechtswidrig erklärt wurden.

Im Oktober 2015 erzielte der österreichische Jurist Maximilian Schrems einen Sieg vor dem Europäischen Gerichtshof. Das sog. „Schrems I“-Urteil erklärte die bis dahin geltenden Sicherheiten für die Datenübermittlung in die USA als ungenügend und somit rechtswidrig.

Als Reaktion auf dieses Urteil entwickelte die US-Regierung in Zusammenarbeit mit der EU das sog. EU-US-Privacy-Shield, welches durch das „Schrems II“-Urteil vom 16. Juli 2020 vom Europäischen Gerichtshof ebenfalls (und wieder auf Antrag von Maximilian Schrems) für ungültig erklärt wurde. Vor allem wurden dabei die weitreichenden Befugnisse der US-Nachrichten- und Geheimdienste bemängelt.

Mit diesem Urteil war die Übermittlung von Daten in die USA nicht mehr grundsätzlich rechtmäßig und konnte nur noch im Einzelfall aufgrund von zusätzlich implementierten Sicherheiten gerechtfertigt werden. Zwar griffen viele Unternehmen auf die sog. Standardvertragsklauseln und „Binding Corporate Rules“ zurück, doch auch diese können ohne weitere Garantien kein angemessenes Datenschutzniveau sicherstellen. Um dieser Rechtsunsicherheit zu begegnen, fingen die EU und die USA an, über alternative Möglichkeiten zu beraten.

Im März 2022 teilte die EU-Kommission schließlich in einer Pressemitteilung mit, dass es eine politische Einigung mit den USA gegeben hätte. Seitdem warteten Datenschutzexperten auf die entsprechende Durchführungsverordnung von Biden, die nun (am 07. Oktober 2022) unterzeichnet wurde.

Was ist neu?

Zunächst ist wichtig klarzustellen, dass es sich bei der Durchführungsverordnung nicht um ein Bundesgesetz handelt. Zwar sind die sog. „Executive Orders“ für alle Beamten, an die sie sich richtet, bindend, sie müssen jedoch in der Regel umgesetzt werden und bleiben lediglich so lange in Kraft, wie sie nicht durch einen amtierenden Präsidenten abgeändert oder zurückgenommen werden.

Dennoch gibt es einige wichtige Neuerungen durch die Verordnung. So darf die Sammlung von sog. Signaldaten nach Abschnitt 2 der Verordnung nur noch zur Verfolgung legitimer Ziele erfolgen. Die Durchführungsverordnung zählt dabei in Abschnitt 2.b.i. legitime Ziele auf, wie dem Schutz vor Terrorismus oder dem Schutz vor grenzüberschreitenden kriminellen Bedrohungen. Dem Präsidenten wird eingeräumt Aktualisierungen der Liste im Lichte neuer nationaler Sicherheitsanforderungen vorzunehmen, diese müssen jedoch grundsätzlich öffentlich gemacht werden. Ausnahmen in Fällen von einer akuten Gefährdung der öffentlichen Sicherheit sind ebenfalls möglich.

Es gibt neben der Liste erlaubter Ziele auch eine Blacklist, die bestimmte Zweckverfolgungen ausdrücklich verbietet, wie der Benachteiligung von Personen aufgrund ihrer ethnischen Zugehörigkeit, ihrer Rasse, ihres Geschlechts, ihrer Geschlechtsidentität, ihrer sexuellen Ausrichtung oder ihrer Religion.

Außerdem wird die Berücksichtigung der Rechte und Freiheiten betroffener Personen (insbesondere ihre Privatsphäre), unabhängig von ihrer Nationalität oder ihrem Wohnsitz, verpflichtend. Weiter dürfen Maßnahmen nur noch durchgeführt werden, wenn dies notwendig ist, um eine validierte nachrichtendienstliche Priorität voranzutreiben und nur noch in dem Umfang und auf eine Weise, die dieser Priorität angemessen ist.

Zu den entscheidenden Neuerungen gehört auch die Einrichtung eines Rechtsbehelfsmechanismus in Abschnitt 3 der Durchführungsverordnung. Er soll es den betroffenen Personen (sowohl natürlichen Personen wie auch Unternehmen) ermöglichen, Rechtsschutz in Bezug auf geheim- und nachrichtendienstliche Datenverarbeitungen in Anspruch nehmen zu können.

In einem ersten Schritt ist vorgesehen, dass der sog. „Civil Liberties Protection Officer“ (CLPO) eine Untersuchung der eingegangenen Beschwerden durchführt. Er überprüft dabei, ob die verstärkten Sicherheitsvorkehrungen der Durchführungsverordnung  oder anderes, in diesem Zusammenhang anwendbares US-Recht verletzt wurden. Im Fall einer Rechtsverletzung kann er Abhilfemaßnahmen bestimmen.

In einem zweiten Schritt soll ein Datenschutzüberprüfungsgericht (“DPRC”) eingerichtet werden, welches auf Antrag von betroffenen Personen eine Überprüfung der Entscheidungen des CLPO vornehmen kann. Die Richter des DPRC werden nicht von der US-Regierung ernannt und genießen Schutz vor Abberufung.

Ausblick

Absicht der Durchführungsverordnung ist es, einen Angemessenheitsbeschluss der EU zu erzielen. Ein Angemessenheitsbeschluss hätte zur Folge, dass Datenübermittlungen in die USA grundsätzlich keinen weiteren Garantien bedürfen, um rechtmäßig zu sein. Dies würde selbstverständlich eine erhebliche Verbesserung der Rechtssicherheit, sowie der Effektivität und Einfachheit des Datenverkehrs bedeuten.

Jedoch werden Angemessenheitsentscheidungen mittels des so genannten „Ausschussverfahrens“ gem. Art. 45 DSGVO getroffen, bei dem verschiedene EU-Organe wie unter anderem die Kommission, die sog. „Artikel-29-Datenschutzgruppe“ oder die einzelnen Mitgliedsstaaten beteiligt sind. Die Dauer eines solchen Verfahrens kann sich über Monate erstrecken. Aufgrund der Anzahl der am Verfahren beteiligten Parteien, ist zudem ein Konsens nicht leicht herzustellen.

Darüber hinaus kündigte Maximilian Schrems, der für die Abschaffung beider vorangehender Abkommen mitverantwortlich war, bereits an, die Durchführungsverordnung mit „US-Rechtsexperten eingehend [zu] analysieren.“ Schrems geht davon aus, „dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird.“

Einige Experten halten es, unter anderem aufgrund von Schrems‘ Ankündigung und der bisher ergangenen Rechtsprechung des EuGH, für wahrscheinlich, dass auch ein Angemessenheitsbeschluss aufgrund der durch die Durchführungsverordnung geänderten Rechtslage in den USA, von den europäischen Gerichten gekippt werden wird.

Andere zeigen sich optimistisch. Sie sind der Meinung, dass durch die Durchführungsverordnung nun tatsächlich die Grundlage für Rechtssicherheit in der transatlantischen Datenübermittlung gelegt wurde. Argumentiert wird hier unter anderem mit einer geänderten Einstellung der Gesellschaft in Hinblick auf Geheimdienste. Während das „Schrems I“-Urteil 2015, noch im Lichte des NSA-Skandals und den Aufdeckungen von Edward Snowden erging, sei heute vor dem Hintergrund des Ukraine-Kriegs, die Einstellung zu Geheimdiensten insgesamt positiver. Aus diesem Grund sei es wahrscheinlicher, dass die Notwendigkeit des Vorliegens bestimmter Befugnisse für Nachrichtendienste erkannt würde.

Außerdem wird argumentiert, dass Daten ohnehin in die USA übermittelt würden und dass eine konfuse Rechtslage, die auf ständigen Einzelfallabwägungen beruht, lediglich die internationalen Wirtschaftsbeziehungen belasten würde.

Es ist indes auch denkbar, dass nach der Präsidentschaftswahl 2024 ein neu gewählter Präsident die Durchführungsverordnung zurücknimmt und damit einer DSGVO-konformen Datenübermittlung erneut die rechtliche  Grundlage entzieht.

Ob die  Durchführungsverordnung tatsächlich die Datenübermittlung grundlegend verändert und im Ergebnis einen Angemessenheitsbeschluss der EU zeitigt, bleibt weiter fraglich. Doch selbst wenn sich die am Verfahren beteiligten Parteien einig sind, wird der Beschluss im Anschluss auch vor dem EuGH Bestand haben müssen. Bis dahin kann es sich jedoch noch um Monate oder sogar Jahre handeln.

Fazit

Die Durchführungsverordnung ist als Grundstein eines umfassenden Trans-Atlantic Data Privacy Framework bzw. eines Angemessenheitsbeschluss beabsichtigt. Ob die rechtlichen Änderungen jedoch ausreichen werden, bleibt zunächst offen, da die Hürden, einen Angemessenheitsbeschluss zu erhalten und dann mit einem solchen vor dem EuGH Bestand zu haben, erheblich sind.

Dennoch zeigt die Verordnung, dass sowohl die USA als auch die EU an einer engen Zusammenarbeit im Bereich des Datenschutzes interessiert sind und die Wichtigkeit des Datenschutzes auch bei geheim- und nachrichtendienstlichen Aktivitäten, anerkennen. So beginnt die Verordnung mit den Worten: „intelligence activities must take into account that all persons should be treated with dignity and respect [and] have legitimate privacy interests in the handling of their personal information.”