Das Data Privacy Framework auf dem Vormarsch?

Data Privacy Framework


Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses („EU-US Data Privacy Framework“) der Europäischen Kommission für Datenübermittlung in die USA verabschiedet. Die wesentlichen Inhalte der Stellungnahme und die nunmehr aktualisierte Rechtslage zur Datenübermittlung zwischen der EU und den USA sollen im nachfolgenden Beitrag näher beleuchtet werden.


Was bisher Geschah

Im Juli 2020 kippte der Europäische Gerichtshof (EuGH) in seinem viel besprochenen Schrems-II-Urteil (Rechtssache Az.: C-311/18) den früheren Angemessenheitsbeschluss (EU-US-Privacy Shield) und stellte die Datenübermittlung zwischen der Europäischen Union und den USA „auf den Kopf“. Die Europäische Kommission kann grundsätzlich im Rahmen eines solchen Angemessenheitsbeschlusses feststellen, dass das Datenschutzniveau in einem Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren dessen innerhalb der Europäischen Union/dem Europäischen Wirtschaftsraum entsprechen. Liegt ein solcher Angemessenheitsbeschluss vor, können personenbezogene Daten auf dieser Grundlage an ein Drittland übermittelt werden.

Seit dem „Fall“ des EU-US-Privacy-Shield bilden die Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in die USA. Am 4. Juni 2021 verabschiedete die Europäische Kommission die überarbeiteten Standardvertragsklauseln. Sowohl für die verantwortliche Stelle als auch für den Datenempfänger im betroffenen datenschutzrechtlichen Drittstaat ergeben sich hierdurch eine Reihe von Pflichten. Im Rahmen seines des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein angemessenes Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedarf insoweit weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Hierunter zählt u.a., dass vor Vertragsschluss mit dem potenziellen Datenimporteuer eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen ist. Im März 2022 wurde anschließend bekannt, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten.

Im Oktober 2022 spielte die US-Regierung den Ball zurück: Es folgte der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen, da eine Änderung der Rechtslage in den USA die Folge ist. Die Rechtsform der Executive Order ist ein Regelungsinstrument in den USA für extraterritoriale Anordnungen. Durch den Erlass versprach man sich die Lösung der größten Kritikpunkte aus dem Schrems-II-Urteil: Mangelnde Verhältnismäßigkeit sowie fehelende Rechtsbehelfe für die betroffenen Personen in den USA bezogen auf die Überwachungsmaßnahmen.

Die Executive Order schafft u.a. besagte Garantien für europäische Betroffene gegenüber den amerikanischen Geheimdiensten durch bspw. die Einrichtung des Data Protection Review Court. Durch diese Institution können u.a. Datenlöschungen und Verarbeitungseinschränkungen angeordnet werden. Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die Executive Order ebenfalls, diese zu beseitigen. Erstmals wurden zudem geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt. Darüber hinaus wird ein Kontrollmechanismus durch das Privacy and Civil Liberties Oversight Board (PCLOB) neu eingeführt. Der EDSA sieht seinerseits in diesen Punkten erhebliche Verbesserungen durch die Executive Order.

Auf Grundlage der Ececutive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden. Der Entwurf des Angemessenheitsbeschlusses kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU in die USA übermittelt werden.


Was sagt der EDSA?

Im Wesentlichen begrüßt der EDSA einige Verbesserungen, die durch das Data Privacy Framework erreicht werden wie z.B. die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung und den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der Europäischen Union. Allerdings werden seitens des EDSA auch Bedenken geäußert. Diese betreffen insbesondere den Bereich der Rechte der von der Datenübermittlung betroffenen Person, die Weiterübermittlung personenbezogener Daten, den Umfang von Ausnahmen sowie die Erhebung von Massendaten im Rahmen der Executive Order 12333 und  das Fehlen einer systematischen unabhängigen nachträglichen Überprüfung durch ein Gericht oder eine gleichwertige unabhängige Stelle.


Und die nationalen Datenschutzaufsichtsbehörden?

Positive Kritik folgte zudem seitens der nationalen Datenschutzaufsichtsbehörden. So äußerte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“ Aus Sicht des BfDI wird zudem ein wichtiger Beitrag für sichere und vertrauenswürdige Datenübermittlungen im internationalen Kontext geschaffen: „Die erzielten Fortschritte im transatlantischen Kontext sind wichtige Voraussetzungen, an die wir beim diesjährigen Treffen der G7-Datenschutzaufsichtsbehörden im Juni in Japan anknüpfen können.“

Ebenfalls „positiv“ äußert sich der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der nun zu erwartende Erlass der Angemessenheitsentscheidung schafft dringend benötigte Rechtssicherheit und ist trotz einiger verbesserungswürdiger Punkte ein Erfolg für den Datenschutz. Im Zuge der Verhandlungen haben die USA bisher nicht dagewesene Zugeständnisse gemacht und ihr nationales Sicherheitsrecht an europäische Grundrechtsmaßstäbe angepasst. Der Beschluss kann jedoch kein Freibrief sein. Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden, und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen. Die Wahrheit ist auf dem Platz, um es im Fußballjargon zu sagen. Es wird Aufgabe der Datenschutzbehörden und der Kommission sein, dabei sehr genau hinzuschauen, und Aufgabe der US-Administration, tiefgreifende Prüfungen auch zu ermöglichen. Die Forderung des EDSA, in Anbetracht der noch offenen Umsetzung in den USA den Überprüfungsrhythmus zu verkürzen, ist deshalb absolut richtig.“


Fazit

In seiner Stellungnahme hebt der EDSA einige positive und negative Kritikpunkte hervor. Als erfreulich für die Datenschutzpraxis kann jedoch bewertet werden, dass sich aber nicht gegen eine Annahme des Beschlusses durch die EU-Kommission ausgesprochen wird. Dies kann insoweit als Fingerzeig gedeutet werden, dass durch das Data Privacy Framework eine wirkliche Verbesserung der Rechtslage in Sachen Datenschutz in den USA erreicht wurde. Ein weiterer wichtiger Schritt zur Verabschiedung eines neuen Angemessenheitsbeschlusses ist somit getan. Tritt der Angemessenheitsbeschluss in Kraft tritt, können zukünftig personenbezogene Daten auch ohne einen Rückgriff auf weitere geeignete Garantien – wie z.B. durch Abschluss der Standardvertragsklauseln und Durchführung einer Transferfolgenabschätzung – in die USA übermitteln. Dies würde gleichwohl für mehr Rechtssicherheit in der Praxis sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.