Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

Seit der Schrems II-Entscheidung des EuGH im Jahr 2020 haben EU und USA an einer Nachfolgelösung gearbeitet und bereits im März dieses Jahres den Erlass eines neuen Angemessenheitsbeschlusses bis Ende 2022 angekündigt. Nun hat US- Präsident Biden am 07. Oktober 2022 mit einer „Executive Order“ die Voraussetzungen für die Verabschiedung eines neuen Angemessenheitsbeschlusses zum vereinfachten EU-US-Datenaustausch erlassen. Diese schafft einen neuen Regelungsrahmen für US-Geheimdienste. Zum einen werden die Vorgaben des Datenzugriffs durch US-Geheimdienste auf das „notwendige und angemessen Maß“ beschränkt. Und zum anderen wird ein unabhängiges Gericht geschaffen, das Betroffenenbeschwerden prüft und beilegen soll. Mit dem neuen Abkommen sei nun zwischen Dezember 2022 und März 2023 zu rechnen.

 

Das Wichtigste in Kürze

  • Die EU und die USA stellten im März 2022 die Pläne für ein neues „Trans-Atlantic Data Privacy Framework“ vor, das als neue rechtliche Grundlage für den transatlantischen Datenverkehr dienen soll.
  • Mit einer Executive Order hat US-Präsident Biden nun die entscheidenden Grundlagen für einen neuen Angemessenheitsbeschluss geschaffen.
  • Die „Executive Order“ sieht insbesondere das Hinzufügen weitergehender Sicherheitsvorkehrungen für US-geheimdienstliche Aktivitäten und einen neuen zweistufigen Rechtsmittelmechanismus vor.
  • Ob ein Angemessenheitsbeschluss auf dieser Grundlage zukünftig vor dem EuGH standhalten wird, wird von Datenschützern zu Recht angezweifelt.

 

Hintergrund

Hintergrund dieser Entwicklungen ist die Kassation des zwischen der EU und den USA ehemals geltenden „Privacy Shields“ vom 16. Juli 2020 in der bekannten Schrems II-Entscheidung. Mit dem „Privacy Shield“, einem Angemessenheitsbeschluss nach Art. 45 DSGVO, ermöglichte die EU dazudie DSGVO-konforme Übermittlung personenbezogener Daten europäischer Bürger an US-Unternehmen. Das „Privacy Shield“ kam 2016 zustande, nachdem auch die Vorgänger-Regelung „Safe Harbor“ vom EuGH gekippt worden war, wurde in einer weiteren EuGH-Entscheidung jedoch ebenfalls gekippt. Der EuGH begründete seine Entscheidung damit, dass die mögliche Überwachung der gespeicherten Daten durch US-Sicherheitsbehörden nicht auf das erforderliche Maß beschränkt und zudem nicht verhältnismäßig sei. Weiterhin ist es aufgrund von Überwachungsprogrammen in den USA möglich, dass Behörden auf Daten zugreifen können, wenn die nationale Sicherheit und das öffentliche Interesse dies erforderlich machten. Dadurch sei die Sicherheit und Kontrolle der betroffenen Personen über ihre Daten nicht ausreichend garantiert, weshalb das Datenschutzniveau in den USA nicht den Datenschutzstandards der EU entspreche.

 

Entwicklung

Nachdem der EuGH in seiner Schrems II-Entscheidung das bis dahin geltende „Privacy Shield“ für ungültig erklärt hatte, suchten die EU und die USA nach einer Nachfolgelösung. Am 25. März 2022 verkündete Ursula von der Leyen, die Präsidentin der Europäischen Kommission, dass sich die europäische und die amerikanische Seite auf eine neue Nachfolgenlösung des „Privacy Shields“ geeinigt hätten. Dieses Nachfolgenmodell sei das sogenannte „Trans-Atlantic Data Privacy Framework“. Es soll den transatlantischen Datenverkehr fördern und die Bedenken ausräumen, die der EuGH 2020 bei der Kassation der Angemessenheitsentscheidung geäußert hatte.

Nun hat US-Präsident Biden am 07. Oktober 2022 eine „Executive Order“ über die Verbesserung der Schutzmaßnahmen unterzeichnet. Die „Executive oder“ ist eine Durchführungsverordnung, die der US-Präsident erlassen kann und die bis zu ihrer Rücknahme unmittelbare Wirkung entfaltet. In dieser sind die Schritte festgelegt, die die USA unternehmen werden, um die angekündigten Verpflichtungen im Rahmen des neuen Datenschutzabkommens zwischen den USA und der EU umzusetzen.

 

Bedeutung des „Data Privacy Frameworks“

Das neue Abkommen ist insbesondere für die wirtschaftlichen Beziehungen zwischen den USA und der EU von großer Bedeutung. Das „Data Privacy Framework“ soll als neue rechtliche Grundlagen für den transatlantischen Datenverkehr dienen. Es unterstreicht zudem das gemeinsame Engagement für den Schutz der Privatsphäre, den Datenschutz, die Rechtsstaatlichkeit und die kollektive Sicherheit sowie die gegenseitige Anerkennung der Bedeutung des transatlantischen Datenverkehrs für die Bürger, Unternehmen und Gesellschaften. Der Datenaustausch ist für die transatlantischen Wirtschaftsbeziehungen und für alle großen oder kleinen Unternehmen in den verschiedenen Wirtschaftszweigen von enorm großer Bedeutung. Mit der Gewährleistung einer dauerhaften und zuverlässigen Rechtsgrundlage für den Datenverkehr würde der neue Datenschutzrahmen insbesondere die digitale Wirtschaft unterstützen und die Grundlage für eine rechtssichere wirtschaftliche Zusammenarbeit schaffen.

 

Inhalt der „Executive Order“

Die „Executive Order“ sieht insbesondere vor, dass weitere Sicherheitsvorkehrungen für US-geheimdienstliche Aktivitäten hinzugefügt werden. In diesem Zusammenhang sollen dafür zudem weitreichende Anforderungen gelten. Solche Aktivtäten könnten demnach nur durchgeführt werden, wenn definierte Sicherheitsziele vorliegen und diese die Privatsphäre sowie die Rechte und Freiheiten der betroffenen Personen unabhängig von ihrer Nationalität oder ihrem Wohnsitz berücksichtigen. Weiterhin müssen die geheimdienstlichen Aktivitäten erforderlich und angemessen sein.

Die „Executive Order“ beinhaltet zudem Vorgaben hinsichtlich des Umgangs mit personenbezogenen Daten, die bei geheimdienstlichen Aktivitäten erhoben wurden. Bezüglich dessen werden die Zuständigkeiten von Justiz- oder Aufsichtsbeamten erweitert, sodass diese im Falle eines Verstoßes notwendige Maßnahmen ergreifen können.

Die „Executive Order“ verlangt, dass die Mitglieder der US-Geheimdienste ihre bestehenden Richtlinien und Verfahren aktualisieren, damit die in dem neuen Abkommen enthaltenen Garantien auch berücksichtigt werden.

Bedeutsam ist insbesondere, dass die „Executive Order“ einen mehrstufigen Rechtsmittelmechanismus für Einzelpersonen und Organisationen vorsieht. Dadurch soll eine unabhängige und verbindliche Überprüfung und Klärung von Beschwerden von diesen garantiert werden, wenn personenbezogene Daten durch die US-Geheimdienste unter Verletzung des US-Rechts, einschließlich der geltenden Schutzmaßnahmen des neuen Abkommens gesammelt oder verarbeitet wurden.

Auf der ersten Stufe führt ein Civil Liberties Protection Officer eine erste Untersuchung der eingegangenen Beschwerden durch. Im Rahmen dieser Untersuchung wird festgestellt, ob die in der „Exekutive Order“ oder andere US-Gesetze vorgegebenen Sicherheitsvorkehrungen verletzt werden. Falls eine Verletzung vorliegt, werden geeignete Abhilfemaßnahmen bestimmt. Die „Exekutive Order“ legt fest, dass die Entscheidung des Civil Liberties Protection Officers bindend ist und sieht Schutzmaßnahmen vor, die die Unabhängigkeit der Untersuchungen und ihre Feststellungen gewährleistet.

Auf der zweiten Stufe ermächtigt und weist die „Exekutive Order“ den Generalstaatsanwalt an, ein Datenschutzüberprüfungsgericht einzurichten. Dieses soll auf Antrag der betroffenen Person in unabhängiger Weise die Entscheidung des Civil Liberties Protection Officer überprüfen können. Die Entscheidungen des Datenschutzüberprüfungsgerichts darüber, ob ein Verstoß vorliegt und welche Abhilfemaßnahmen vorzunehmen sind, sind verbindlich. Hierzu sieht die „Exekutive Order“ vor, dass dem Beschwerdeführer gerichtlich ein spezieller Anwalt zugewiesen wird, der seine Interessen vertritt. Zudem hat der Generalstaatsanwalt begleitende Vorschriften zur Einrichtung des Datenschutzüberprüfungsgerichts zu erlassen.

Diese Schritte werden der Europäischen Kommission als Grundlage für den Erlass eines neuen Angemessenheitsbeschlusses dienen, der den besonders wichtigen Datentransfermechanismus nach EU-Recht wiederherstellt. Dadurch wird auch für Unternehmen, die personenbezogene Daten in die USA übermitteln, wieder Rechtssicherheit geschaffen.

 

Das sind die nächsten Schritte

Nach der Verabschiedung der „Executive Order“ kann die Europäische Kommission nun einen Entwurf für einen neuen Angemessenheitsbeschluss vorlegen und das Verfahren zu dessen Annahme einleiten. Dazu wird zunächst die Stellungnahme des Europäischen Datenschutzausschusses und die Bestätigung eines Ausschusses, der sich aus Vertretern der EU-Mitgliedsstaaten zusammensetzt, eingeholt. Dem Europäischen Parlament steht dabei ein Kontrollrecht zu. Im Anschluss kann die Kommission schließlich den Angemessenheitsbeschluss erlassen. Ab diesem Zeitpunkt besteht dann eine rechtssichere und DSGVO-konforme Grundlage für die Datenübermittlung von der EU in die USA.

Doch bereits jetzt hat die Datenschutz-NGO noyb rund um den Kläger der bisherigen Verfahren Max Schrems Bedenken an der rechtlichen Zulässigkeit angemeldet. Es ist also davon auszugehen, dass auch der neue Angemessenheitsbeschluss vor dem EuGH landen wird. Da tatsächlich sehr zweifelhaft ist, dass die US-Geheimdienste keinen unbeschränkten Datenzugriff mehr haben werden, könnte auch der neue Angemessenheitsbeschluss bald schon wieder der Vergangenheit angehören.

 

Konsequenzen für Unternehmen

Für Unternehmen, die auf US-Dienstleister zurückgreifen, bedeutet dies, dass sie künftig mit mehr Rechtssicherheit im Hinblick auf die Übermittlung personenbezogener Daten in die USA rechnen können. Die letzten Jahre herrschte große Unsicherheit im Hinblick auf die Verarbeitung und Übermittlung personenbezogener Daten aus der EU in die USA, da das bis dahin geltende „Privacy Shield“ im Juli 2020 vom EuGH gekippt wurde. Mit dem neuen Angemessenheitsbeschluss würde folglich große Erleichterung und Rechtssicherheit für die datenschutzrechtlich Verantwortlichen einhergehen. Wenn dieser Beschluss jedoch schon einige Zeit später wieder vom EuGH gekippt würde, stünden sie jedoch mittelfristig wieder vor dem gleichen Problem. Insofern kann von wirklicher Rechtssicherheit bei der Datenübertragung in die USA wohl erst dann ausgegangen werden, wenn der EuGH den Beschluss überprüft und grünes Licht gegeben hat.

 

Ausblick

Es bleibt abzuwarten, wann der Angemessenheitsbeschluss tatsächlich verkündet wird. Realistischerweise ist damit frühestens zu Beginn 2023 zu rechnen. Durch das neue Abkommen wird dann endlich wieder Rechtssicherheit für Unternehmen geschaffen, die personenbezogene Daten in die USA übermitteln. Auch für die transatlantischen Wirtschaftsbeziehungen und die rechtssichere Zusammenarbeit zwischen der EU und den USA wäre der Beschluss bedeutungsvoll. Allerdings sollten Unternehmen und datenschutzrechtlich Verantwortliche bei ihrer mittel- und langfristigen Planung im Hinterkopf behalten, dass auch ein neuerlicher Angemessenheitsbeschluss vom EuGH kritisch überprüft werden wird. Insofern besteht die Gefahr, dass sie sich schneller wieder Rechtsunsicherheiten ausgesetzt sehen könnten als ihnen lieb sein dürfte.

 

Call Now ButtonKontakt aufnehmen