Neues zum Datencshutzrecht
8.10.2022
EU-USA-Datenschutzabkommen in Sicht: US-Executive Order unterzeichnet
Mit der Unterzeichnung einer Exekutivanordnung zur Implementierung eines neuen EU-USA-Datenschutzabkommen durch US-Präsident Joe Biden wurde ein weiterer wichtiger Schritt gemacht, um den Datentransfer in die USA datenschutzrechtlich wieder zu vereinfachen.
Die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ bildet auf Seiten der USA die rechtliche Basis für ein neues Datenschutzabkommen zwischen der EU und den USA. Sie enthält die Regelungen, mit denen die Vorgaben des EuGH umgesetzt und so die Grundlage für einen Angemessenheitsbeschluss der EU-Kommission gem. 45 DSGVO geschaffen werden sollen.
Bereits vor sechs Monaten hatten sich die EU und die USA im Grundsatz auf ein neues Abkommen zum Datentransfer zwischen EU-Staaten und den USA geeinigt (Trans-Atlantic Data Privacy Framework“; siehe Datenschutz-News v. 25.3.2022).
Inhalt
Kernpunkte der Executive Order sind Regelungen zur Datenverarbeitung im Rahmen von Überwachungsmaßnahmen durch US-Geheimdienste und zum Beschwerdeverfahren.
Zwar bleibt eine Massenüberwachung der Telekommunikation zur Bekämpfung von sechs namentlich aufgeführten Bedrohungen erlaubt. Hierzu zählen u.a. Terrorismus und die Verbreitung von Massenvernichtungswaffen, bösartige Cyberaktivitäten und internationale Finanzdelikte. Dabei sollen vom Geheimdienst "angemessene Methoden und technische Maßnahmen" angewendet werden, um die erhobenen Daten auf das erforderliche Maß zu beschränken und "die Erhebung nicht relevanter Informationen auf ein Mindestmaß zu reduzieren". Diese Maßnahmen sollen den Zugriff der US-Nachrichtendienste auf personenbezogene Daten auf einen Umfang begrenzen, der zum Schutz der nationalen Sicherheit notwendig und angemessen ist. Das soll durch interne Verfahren sichergestellt werden. Schließlich soll das „Privacy and Civil Liberties Oversight Board“ die Einhaltung der neuen Regelungen durch die US-Geheimdienste überprüfen. Davon umfasst ist auch, ob die Geheimdienste bei den Beschwerdeverfahren ausreichend kooperieren und Vorgaben der neuen Gremien auch umsetzen.
Daneben regelt die Executive Order ein zweistufiges Beschwerdeverfahren, in dem sich EU-Bürger über die Verarbeitung ihrer Daten durch die US-Behörden beschweren können. Auf der ersten Stufe wird die Beschwerde von einem Bürgerrechtsbeauftragten (Civil Liberties Protection Officer) untersucht, der beim Koordinator der US-Nachrichtendienste angesiedelt ist. Der Beauftragte überprüft, ob beispielsweise die Regelungen der neuen Executive Order oder anderer US-Regelungen verletzt wurden. Auf der zweiten Stufe kann die Entscheidung des Beauftragten durch ein dreiköpfiges „Datenschutzüberprüfungsgericht“ (Data Protection Review Court) überprüft werden, wenn dies von der betroffenen Person oder einem Vertreter der Nachrichtendienste beantragt wird.
Hintergrund
Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 die Regelungen des EU-US-Privacy Shield („Privacy Shield“) – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt. Dieses Gerichtsurteil (Az. C-311/18) hatte weitreichende Folgen für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer.
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Für die USA gab es diesen Angemessenheitsbeschluss in Bezug auf die Regelungen des Privacy Shield vom 12.7.2016, der vom EuGH im Jahr 2020 für ungültig erklärt wurde, wie es das Gericht bereits mit dem Vorgänger des Privacy Shield, den Safe Harbor-Regelungen getan hat.
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs.2 DSGVO unter anderem in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln bestehen. Allerdings entbindet der Einsatz zum Beispiel von Standarddatenschutzklauseln nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland. Daran hat sich auch mit den neuen Standarddatenschutzklauseln nichts geändert (s. dazu Datenschutz-News v. 9.7.2021).
Da die Standarddatenschutzklauseln keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des angemessenen Schutzniveaus zu sorgen, kann es in Abhängigkeit von der konkreten Lage in einem Drittland erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Das wird regelmäßig der Fall sein bei hoheitlichen Zugriffsmöglichkeiten und insoweit fehlenden hinreichenden Rechtsbehelfen für die betroffenen Personen mit der Folge, dass kein angemessener Schutz vor einem behördlichen Zugriff auf die Daten besteht. Da der EuGH gerade aufgrund dieser beiden Aspekte für Datenübermittlungen in die USA festgestellt hat, dass dort ein angemessenes Schutzniveau nicht durchgängig gewährleistet ist, müssen hier beim Einsatz von Standarddatenschutzklauseln zusätzliche Garantien geschaffen werden.
In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien. Wie diese zusätzlichen Garantien insbesondere im Fall der USA konkret aussehen müssen bzw. können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden.
Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um den erforderlichen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Fazit und Ausblick
Die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ ist ein wichtiger Schritt in Richtung „Trans-Atlantic Data Privacy Framework“ als Nachfolger des Privacy Shield. Ob mit den seitens der US-Regierung geschaffenen Rahmenbedingungen tatsächlich die Vorgaben des EuGH umgesetzt werden, ist jedoch fraglich. Daher ließ auch eine Reaktion von Max Schrems nicht lange auf sich warten:
- bei einer Executive Order handele es sich um kein Gesetz, sondern eine interne Anordnung des US-Präsidenten
- der Einsatz von Massenüberwachungssystemen bleibe weiterhin erlaubt, so dass die Überwachung weder rechtlich noch faktisch eingeschränkt werde
- es fehle weiterhin an einem Rechtsbehelf, da der "Data Protection Review Court“ kein Gericht sei, sondern eine Stelle der Exekutive, die als Beschwerdestelle dem früheren Ombudsmann ähnlich sei, der vom EuGH als nicht ausreichend bewertet wurde
Schrems hat eine eingehende Prüfung des Abkommens sowie eine Veröffentlichung der rechtlichen Analyse angekündigt. Zudem sollen – wenig überraschend – rechtliche Schritte erfolgen, wenn die EU-Kommission einen Angemessenheitsbeschluss fasst. Schrems geht davon aus, dass über die Rechtmäßigkeit des Abkommens wieder vom EuGH entschieden wird – eine Einschätzung, die ich teile.
Ungeachtet dessen wird die EU-Kommission auf Basis der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ prüfen, ob sie einen neuen Angemessenheitsbeschluss erlässt. Letzterer setzt eine entsprechende Entscheidung der EU-Kommission voraus, die im Wege eines Durchführungsrechtsaktes erfolgt (Art. 45 Abs. 3 DSGVO).
Es kann wohl von einem Angemessenheitsbeschluss im ersten Quartal 2023 ausgegangen werden. Das sollte bei der Frage von Datenübermittlungen in die USA auch strategisch und vor allem bei Vorschlägen für Entscheidungsträger in Unternehmen berücksichtigt werden. Allerdings ist bis dahin weiterhin keine Lösung der Problematik von Datentransfers in die USA in Sicht. Den Aufsichtsbehörden wird es – nicht nur bei einer anlassunabhängigen oder anlassbezogenen Kontrolle – nicht reichen, wenn man sich als Verantwortlicher darauf beruft, dass ein Angemessenheitsbeschluss der EU-Kommission für Datentransfers in die USA in Aussicht steht. Das damit einhergehende Rechtsrisiko einer rechtswidrigen Datenübermittlung bleibt vorerst bestehen. Vor diesem Hintergrund sollten die notwenigen Prozesse zur Überprüfung und Bewertung von Datenübermittlungen in die USA einstweilen beibehalten werden.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht