Datenübermittlung in die USA – Privacy Shield-Nachfolger EU-US DPF
Mit der Problematik der Datenübermittlung in Drittländer und insbesondere in die USA haben wir uns in der letzten Zeit aus gegebenen Anlässen bereits häufiger befassen dürfen (beispielswiese zuletzt hier mit weiterführenden Hinweisen).
Die Rechtslage im Bereich der Drittlandtransfers ist zwar nach wie vor unklar und es gibt weiterhin viele offene Fragen im Zusammenhang mit der Übermittlung personenbezogener Daten insbesondere in die USA, in denen sehr viele Auftragsverarbeiter ihren Sitz haben (so beispielsweise Google, Microsoft, Amazon, Meta) Jedoch gibt es auch neue Informationen zum Nachfolger des durch den EuGH für ungültig erklärtes Privacy Shields, dem geplanten EU-US Data Privacy Framework (EU-US DPF, vormals Trans-Atlantic Data Privacy Framework, TADPF).
Auf die aktuelle Entwicklung im Zusammenhang mit dem EU-US DPF, welches die Probleme mit den Datentransfers in die USA lösen soll, wollen wir im Folgenden genauer eingehen.
Einigung zwischen der EU und den USA
Anfang des Jahres 2022 verkündeten die EU-Kommission und der US-amerikanische Präsident, dass man sich über die wesentlichen Punkte eines neuen EU-US Data Privacy Frameworks geeinigt habe (hierzu vgl. Meldung der Tageschau vom 25.03.2022). Und schließlich unterzeichnete der amtierende US-Präsident Biden die sogenannte Executive Order unter dem Titel „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities“, die dafür sorgen soll, dass in den USA ein Datenschutzniveau hergestellt wird, welches mit dem in der EU vergleichbar wäre.
Was ist eigentlich eine Executive Order?
Eine Executive Order (in Deutschland oft nur als „Erlass“, „Weisung“ oder „Durchführungsverordnung“ übersetzt) ist ein durch den Präsidenten der Vereinigten Staaten erlassenes Dekret. Mit diesem Mittel können bestimmte Sachverhalte geregelt werden, wobei weder die US-Verfassung noch die US-Bundesgesetze Bestimmungen zum Institut der Executive Order enthalten. Sie ist historisch bedingt ein Element der formlosen faktenschaffenden Rechtspraxis in den USA. In ihrer Wirkung entsprechen die Executive Orders der US-Präsidenten den in Deutschland bekannten allgemeinverbindlichen Rechtsverordnungen bzw. verwaltungsinternen Verwaltungserlassen, -vorschriften oder -richtlinien. Im Gegensatz zu den Executive Orders fußen die deutschen Rechtsverordnungen und Verwaltungserlasse jedoch auf einer formalgesetzlichen und verfassungsrechtlichen Legitimierung. Die Executive Orders basieren hingegen letztlich auf dem Willen einer einzigen Person.
Die Executive Orders können durch den jeweils amtierenden Präsidenten (also auch durch eine*n Nachfolger*in) zurückgenommen, jederzeit abgeändert oder aber auch im Rahmen eines Gerichtsverfahrens für ungültig erklärt werden.
Entwurf eines Angemessenheitsbeschlusses der EU-Kommission
Nach der Einigung mit den USA hat die EU-Kommission zur Regelung der Datentransfers mit den USA nun einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO ausgearbeitet und ihren Entwurf veröffentlicht. Nach Verabschiedung des Angemessenheitsbeschlusses durch die Kommission und seine Veröffentlichung im Amtsblatt wird dieser wirksam. Unter den im Angemessenheitsbeschluss genannten Anforderungen wäre eine Übermittlung personenbezogener Daten in die USA möglich und von weiteren Erfordernissen wie beispielsweise der Verwendung von sogenannten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder zusätzlichen Maßnahmen wie der Durchführung eines Transfer Impact Assessments (TIA; siehe hier) befreit.
Der Kommissionsentwurf befindet sich aktuell in der Abstimmung mit dem Europäischen Datenschutzausschuss und dem EU-Parlament. Sobald die Abstimmungsprozesse abgeschlossen sind, wird der Angemessenheitsbeschluss durch die EU-Kommission verabschiedet. Wir gehen davon aus, dass die Abstimmung mehrere Monate in Anspruch nehmen und ein wirksamer Angemessenheitsbeschluss frühestens im Sommer 2023 vorliegen wird.
Strukturell entspricht der aktuelle Kommissionsentwurf im Wesentlichen dem durch den EuGH „gekippten“ EU-US Privacy Shield. Allerdings wird in dem Entwurf aktuell begründet, weshalb das US-amerikanische Datenschutzrecht nach der Executive Order des US-Präsidenten nun, wie vom EuGH gefordert, den wesentlichen Regelungsinhalten der DSGVO gleichwertig sei.
Wie bei seinem Vorgänger auch, sieht das EU-US DPF ein bindendes Schiedsverfahren für Beschwerden von EU-Bürgern gegenüber amerikanischen Unternehmen für Fälle vor, in denen EU-Bürger Rechtsverletzungen geltend machen. Zudem beinhaltet das EU-US DPF die schriftlichen Zusagen derjenigen US-Behörden, die von dessen Regelungen betroffen sind.
Sofern der Angemessenheitsbeschluss in Kraft tritt, können US-Unternehmen wie schon im Rahmen des EU-US Privacy Shields im Wege der Selbstzertifizierung dem neuen EU-US DPF beitreten. Hierzu können sie sich auf der Webseite des Department of Commerce (DoC) registrieren lassen und sich der Aufsicht durch die zuständigen Behörden, insbesondere der Federal Trade Commission (FTC), unterwerfen.
Stellungnahmen zum Kommissionsentwurf und zur Executive Order
Bezüglich des Kommissionsentwurfs und der Executive Order des US-Präsidenten haben sich insbesondere sowohl Datenschutzaktivisten als auch Vertreter der deutschen Aufsichtsbehörden zu Wort gemeldet.
Statement der Datenschutz-NGO NOYB
Die Datenschutz-NGO „NOYB – Europäisches Zentrum für digitale Rechte“ (noyb), die unter anderem von Max Schrems gegründet wurde, der als Datenschutzaktivist durch sein Engagement das EU-US Privacy Shield-Abkommen vor dem EuGH zu Fall brachte, teilt in einem Statement auf ihrer Homepage mit, dass noyb rechtliche Schritte auch gegen das EU-US DPF erwägen würde.
Dazu folgende Begründung von Max Schrems:
Wir werden den Entscheidungsentwurf in den nächsten Tagen im Detail analysieren. Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.
Stellungnahme des LfDI BW
Zur Executive Order des US-Präsidenten gab es auch aus den Reihen der deutschen Aufsichtsbehörden ausführliche Stellungnahmen, in denen die Landesaufsicht jeweils ihre Sichtweise präsentiert.
So teilt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) in seiner Pressemitteilung vom 26.10.2022 mit, dass obwohl die US-Regierung hinsichtlich des Datentransfers in die USA mit der Executive Order einen wichtigen Schritt in die richtige Richtung machen würde, die Regelungen der Executive Order jedoch erhebliche Defizite erkennen ließen.
Im Wesentlichen bemängelt der LfDI BW, dass es sehr fraglich wäre, inwiefern eine Executive Order ein wirksames Instrument zur Umsetzung der DSGVO-Vorgaben sein könne. Denn sie stelle eine interne Anweisung seitens des US-Präsidenten an Regierung und nachgeordnete Behörden dar und sei kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz. Zudem könne die Einhaltung der Executive Order durch EU-Bürger*innen nicht eingeklagt werden und es sei nicht geklärt, wie die Regelungen der Executive Order sich zu den anderen US-Rechtsakten verhalten würden (insbesondere zu dem sogenannten CLOUD Act). Bezüglich der Beschwerdemöglichkeit für EU-Bürger*innen weist der LfDI BW darauf hin, dass durch die erheblichen Anforderungen, die an die Einreichung von Beschwerden gestellt werden, eine Möglichkeit zum Aussieben „unerwünschter“ Beschwerden geschaffen wird. Beschwerdeführer*innen erhalten lediglich eine standardisierte Mitteilung, die besagt, dass die Überprüfung ihrer Beschwerde abgeschlossen ist. Sie werden nicht darüber informiert, ob sie Gegenstand von nachrichtendienstlichen Aktivitäten der US-Behörden waren. Auch an der Unabhängigkeit des Data Protection Review Court, das innerhalb des Ressorts des Justizministers eingerichtet wird, gibt es Zweifel. Dieses „Gericht“ dürfte damit der Exekutive zuzurechnen sein und nicht der Judikative.
Ferner wäre die Auslegung des Rechtsbegriffs der Verhältnismäßigkeit in Europa und den USA unterschiedlich, sodass weiterhin unklar bleiben würde, wann aus Sicht der USA ein Zugriff für die nationale Sicherheit (im Sinne der Verhältnismäßigkeit) zulässig bleibt.
Im Ergebnis stellt der LfDI BW fest, dass der EuGH nicht nur Rechtsbehelfe gegen ein staatliches Ausspähen verlangen würde, sondern die Beendigung der anlasslosen Überwachung insgesamt erreichen will. Davon kann nach Feststellungen des LfDI BW aber derzeit nicht ausgegangen werden, da der vom EuGH geforderte Systemwechsel nicht stattfinden würde. Im Hinblick auf die Handlungen der EU-Kommission sagt der LfDI BW:
Sollte die Europäische Kommission die Grundrechte der EU-Bürger*innen nun zum dritten Mal in Folge hinter wirtschaftliche Interessen zurücktreten lassen, dann kann das der Europäische Gerichtshof schwerlich akzeptieren.
Er scheint also auch davon auszugehen, dass der EU-US Data Privacy Framework – sollte der Angemessenheitsbeschluss auf der Grundlage der Executive Order verabschiedet werden, ohne dass die angesprochenen Problempunkte gelöst worden wären – aufgrund der beschriebenen Mängel der Executive Order Gegenstand einer Gerichtsverhandlung vor dem EuGH sein wird.
Stellungnahme des HmbBfDI
Wesentlich wohlwollender fiel dagegen die Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) aus.
Dieser setzt sich in seiner Stellungnahme vom 29.11.2022 mit den Punkten, die sein Kollege aus Baden-Württemberg angesprochen bzw. moniert hat, im Einzelnen auseinander und kommt insgesamt zu folgendem Ergebnis:
Die Executive Order schafft Garantien für europäische Bürger:innen gegenüber den amerikanischen Geheimdiensten. Die USA haben sich damit weit auf die europäische Grundrechtstradition zubewegt. Die bisweilen zu lesende eher reflexartige und pauschale Kritik ist daher unangebracht.
Im Gegensatz zum LfDI BW hält der HmbBfDI eine Executive Order auch nicht grundsätzlich ungeeignet, um eine entsprechende Rechtssicherheit für EU-Bürger*innen zu erreichen. Vielmehr führt er aus:
Die Rechtsform als Executive Order ist das probate Regelungsinstrument in den USA für extraterritoriale Anordnungen. Es handelt sich nicht um ein Gesetz zweiter Klasse. Sie ist insofern nicht mit der eher schwachen deutschen Verordnung zu vergleichen.
Natürlich verfällt auch der HmbBfDI nicht in Begeisterungsstürme hinsichtlich der zu erwartenden Garantien auf Basis der Executive Order und sieht gewisse Risiken. Letztlich kommt er aber in seiner Stellungnahme zu folgendem Ergebnis:
Die Executive Order hat eine fundierte, ergebnisoffene Prüfung verdient.
Fazit
Auch wenn mit der Schaffung der Voraussetzungen für eine sichere Datenübermittlung in die USA in Form der Executive Order, die die Vorgaben des EuGH umsetzen soll, und durch den darauf basierenden Angemessenheitsbeschluss der EU-Kommission das Problem der USA-Transfers (zumindest formal) demnächst gelöst sein dürfte, gibt es die durch die Datenschutz-NGO NOYB und den LfDI BW angesprochenen Kritikpunkte. Und so wird wohl der EuGH erneut darüber entscheiden müssen, ob eine neue Angemessenheitsentscheidung der Kommission Bestand haben wird oder nicht.
Wie auch immer das Ganze ausgeht: Wir würden auf jeden Fall begrüßen, wenn zukünftig dauerhaft Rechtssicherheit herrschen würde. Dieses ständige hin und her ist für alle Beteiligten kontraproduktiv und hilft niemandem weiter.
Sofern der Kommissionsbeschluss auch zum dritten Mal „gekippt“ werden sollte, würde dies dazu führen, dass die Unternehmen erneut (zum dritten Mal) nur auf der Grundlage der Standardvertragsklauseln – und auch dann nur unter Inkaufnahme von Risiken – einen Transfer personenbezogener Daten von der EU in die USA durchführen können.
