Deutschland
 

EU-US Data Privacy Framework

Die rechtliche Sicht auf das Joe Biden-Dekret

Der US-Präsident Joe Biden hat per Executive Order die Befugnisse der US-Geheimnisse bezüglich des Datenschutzes, auch für nicht US-Bürger, beschnitten. Der Ball liegt nun bei der EU.
Von  und
CSO | 21. Dezember 2022 06:04 Uhr
Joe Biden bei der Unterzeichnung des neuen Datenschutzabkommens zwischen den USA und der EU.
Joe Biden bei der Unterzeichnung des neuen Datenschutzabkommens zwischen den USA und der EU.
Foto: Marlin360 - shutterstock.com

Die Europäische Kommission hat am 13.12.2022 den Prozess zur Annahme eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen eingeleitet, der den sicheren transatlantischen Datenverkehr fördern und die vom EuGH in seinem Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausräumen soll.

Der Entwurf des Angemessenheitsbeschlusses, der die Bewertung des US-Rechtsrahmens durch die Kommission widerspiegelt, wurde nun veröffentlicht und dem Europäischen Datenschutzausschuss (EDSB) zur Stellungnahme übermittelt. Der Entscheidungsentwurf folgt auf die Unterzeichnung einer Executive Order (EO) durch US-Präsident Biden am 7. Oktober 2022 sowie auf die vom US-Justizminister Merrick Garland erlassenen Vorschriften, nachdem sich US Präsident Joe Biden und EU Kommissionspräsidentin Ursula von der Leyen bereits im März 2020 auf den Abschluss eines neuen EU-US Data Privacy Framework (DPF) geeinigt hatten. Die Kommission kommt mit ihrem Entwurf zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden.

Historie der USA-/EU-Datenschutzabkommen

Ein neues Datenschutzabkommen mit den USA wurde notwendig, da der EuGH im Juli 2020 das EU-US Privacy Shield mit dem Schrems II-Urteil für ungültig erklärte. Der EuGH befand, dass in den USA kein mit der DSGVO vergleichbares angemessenes Schutzniveau für personenbezogene Daten besteht. Dieses angemessene Schutzniveau nach Art. 45 DSGVO ist aber Voraussetzung für einen Angemessenheitsbeschluss der EU-Kommission. Dieser Angemessenheitsbeschluss wiederum ist Voraussetzung dafür, dass europäische Unternehmen personenbezogene Daten von Europäern ohne weitere Maßnahmen in die USA übermitteln dürfen.

Der EuGH begründete das mangelhafte Schutzniveau unter anderem mit den Erkenntnissen aus den Snowden-Enthüllungen sowie den intransparenten und umfassenden Rechtsgrundlagen für Überwachungsmaßnahmen im US-amerikanischen Recht. Aus Sicht der EU ist dabei insbesondere problematisch,

  • dass die Maßnahmen der US-Behörden weder im Vorfeld noch im Nachhinein von einer unabhängigen Stelle überprüft werden,

  • dass keine Benachrichtigung der betroffenen Person erfolgt und

  • dass ein wirksamer Rechtsbehelf gegen die Maßnahmen nicht vorgesehen ist.

Auch die im Privacy Shield vorgesehene Einrichtung einer Ombudsperson ändert diese Einschätzung nicht. Schließlich sind die Maßnahmen der US-Geheimdienste zur Datensammlung nicht dadurch eingeschränkt, dass diese verhältnismäßig in Hinblick auf den angestrebten Zweck sein müssen. Letzteres ist ein Grundprinzip staatlichen Handelns in Europa.

Kein angemessenes Datenschutzniveau

Datenübermittlungen in die USA sind daher grundsätzlich nur noch auf Basis der neuen Standardvertragsklauseln der EU-Kommission ("SCC") zusammen mit einer Risikoeinschätzung (Transfer Impact Assessment, "TIA") sowie weiteren Schutzmaßnahmen möglich. Die Schutzmaßnahmen müssen abhängig von den identifizierten Risiken und der Wahrscheinlichkeit ihres Eintritts gewählt werden und sollen verhindern, dass übermittelte personenbezogene Daten durch Dritte gelesen werden können.

Die praktische Umsetzung der SCC stellte für die meisten Betroffenen aus Kompetenz- und Kapazitätssicht eine Mammutaufgabe dar und brachte viele rechtliche Unwägbarkeiten mit sich. Insbesondere da nicht für jeden Übermittlungsvorgang angemessene Schutzmaßnahmen eingesetzt werden können. Zum Beispiel kommt eine Verschlüsselung nicht in Betracht, wenn die personenbezogenen Daten in den USA verarbeitet werden sollten.

Der politische Handlungsbedarf ist groß, zeigen sich doch täglich die Auswirkungen einer fehlenden rechtlichen Grundlage für die Datenübermittlung: Er reicht von Google-Fonts Einbindungen, der Nutzung des Facebook Pixel bis hin zur Nutzung US-amerikanischer Cloud-Services wie Microsoft 365. Nicht von den Auswirkungen der Aufhebung des Privacy Shields betroffen zu sein, wurde zur Ausnahme von der Regel. Entsprechend ist die Nachfrage nach einem Nachfolger des Privacy Shields groß, denn die USA sind einer der wichtigsten Handelspartner der EU.

Die Executive Order soll EU-Bedenken ausräumen

Mit der Executive Order (EO) vom 7. Oktober 2022 sollen die nachrichtendienstlichen Aktivitäten mit den Interessen der Bürger am Schutz ihrer Privatsphäre und dem Datenschutz in Balance gebracht werden. Speziell die vom EuGH im Rahmen der Schrems-II Rechtsprechung aufgeworfenen datenschutzrechtlichen Bedenken sollen durch die EO aus dem Weg geräumt werden, um einen neuen Angemessenheitsbeschluss gem. Art. 45 DSGVO durch die EU-Kommission zu ermöglichen. Dazu ein grober Überblick:

Die EO stellt Anforderungen für nachrichtendienstliche Aktivitäten auf und definiert legitime Ziele, zu deren Erreichung Nachrichtendienste aktiv werden dürfen.

  • Das wohl wichtigste Ziel für ein Aktivwerden ist der Schutz der nationalen Sicherheit.

  • Daneben dürfen Nachrichtendienste aber auch u.a. wegen Bedrohungen der globalen Sicherheit, Risiken für die öffentliche Gesundheit, humanitären Bedrohungen oder politischer Instabilität aktiv werden.

  • Ausdrücklich verboten sind nach der EO u.a. Unterdrückung und Erschwerung der Meinungs- und Pressefreiheit oder diskriminierende Benachteiligungen.

  • Liegt ein legitimes Überwachungsziel vor, ist das damit einhergehende Überwachungsinteresse vor Aktivwerden noch gegen die Privatsphäre und die Freiheitsrechte des betroffenen Bürgers in einer Verhältnismäßigkeitsprüfung abzuwägen.

  • Zudem sollen Nachrichtendienste gezielte Datenerhebungen gegenüber Massenerhebungen bevorzugen.

Für den Fall, dass die Nachrichtendienste tätig werden durften und personenbezogene Daten erhoben haben, enthält die EO auch Vorgaben zum Umgang (u.a. zur Weitergabe, Aufbewahrungsdauer, Datensicherheit, Datenqualität und Dokumentation) mit diesen.

Die Kontrollmechanismen

Damit diese Vorgaben auch ordnungsgemäß implementiert werden, enthält die EO die Anordnung an die Nachrichtendienste, ihre Richtlinien und Prozesse in Absprache mit dem Generalstaatsanwalt, dem Civil Liberties Protection Officer of the Office of the Director of National Intelligence (CLPO), und dem Privacy and Civil Liberties Oversight Board (PCLOB) binnen eines Jahres entsprechend zu überarbeiten und anschließend zu veröffentlichen. Außerdem sollen in allen Einheiten der Nachrichtendienste Rechts-, Aufsichts- und Compliance-Beamte mit ausgeprägten Berechtigungen eingesetzt werden, die die Aufsicht über die Einhaltung der Vorschriften führen.

Des Weiteren sieht die EO vor, dass binnen 60 Tagen ein zweistufiges System zur Überprüfung qualifizierter Beschwerden auf Verstöße der Nachrichtendienste gegen anwendbares US-Recht einzurichten ist.
Auf der ersten Stufe nimmt der CLPO eine erste Untersuchung der qualifizierten Beschwerden vor, bewertet die Ergebnisse und veranlasst gegebenenfalls angemessene Abhilfemaßnahmen. Seine Entscheidungen sind für die Nachrichtendienste bindend.
Die zweite Stufe bildet der einzurichtende Data Protection Review Court (DPRC), deren Richter von außerhalb der Regierung ernannt werden und Erfahrung in den Gebieten Datenschutz und Nationale Sicherheit haben müssen. Die Richter sind in ihrer Prüfung unabhängig und gegen Amtsenthebung geschützt und die Entscheidungen des DPRC werden für die Nachrichtendienste bindende Wirkung entfalten. Außerdem soll in jedem Prozess das DPRC einen speziellen Anwalt auswählen, der die Interessen des Beschwerdeführers vertritt, um sicherzustellen, dass das Gericht mit allen relevanten Informationen für einen Rechtsspruch versorgt ist.

Die Verfahren sollen darüber hinaus jährlich durch das PCLOB überprüft werden und die Ergebnisse in einem Bericht festgehalten werden. Dabei soll insbesondere im Fokus stehen, ob:

  • Beschwerden rechtzeitig bearbeitet werden,

  • CLPO und DPRC Zugang zu allen relevanten Informationen erhalten,

  • CLPO und DPRC entsprechend der Executive Order arbeiten,

  • CLPO und DPRC die in der EO aufgestellten Sicherheiten in ihrer Entscheidungsfindung ausreichend berücksichtigen und

  • die Nachrichtendienste die Entscheidungen von CLPO und DPRC vollständig erfüllt haben.

Eine nicht als geheim eingestufte Version des Berichts ist binnen 30 Tagen der Öffentlichkeit zugänglich zu machen.

Die nächsten Schritte

Der Entwurf des Angemessenheitsbeschlusses wird nun das Annahmeverfahren durchlaufen. In einem ersten Schritt hat die Kommission ihren Entscheidungsentwurf dem Europäischen Datenschutzausschuss (EDPB) vorgelegt. Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt.

Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen. Sobald dieses Verfahren abgeschlossen ist, kann die Kommission die endgültige Angemessenheitsentscheidung erlassen. Erst danach kann die Europäische Kommission den endgültigen Angemessenheitsbeschluss fassen, der den freien und sicheren Datenverkehr zwischen der EU und den vom Handelsministerium zertifizierten US-Unternehmen auf der Grundlage des neuen Rahmens ermöglichen würde. Bis dahin ist weiterhin der Rückgriff auf die bislang angewendeten Datenübermittlungsmechanismen der DSGVO (also etwa die Standarddatenschutzklauseln, SCC) geboten.

Bewertung und Ausblick

Hinsichtlich der vom EuGH in der Schrems-II Rechtsprechung angemahnten Missstände des US-Datenschutzes (insbesondere für Nicht-US-Bürger) hat die Executive Order, zumindest auf dem Papier, das Potential, die datenschutzrechtlichen Bedenken nachhaltig aus dem Weg zu räumen. Denn sie adressiert die nach Ansicht des EuGH zu unpräzisen Anforderungen an nachrichtendienstliche Aktivitäten und sorgt zudem mit der Überprüfung der internen Richtlinien und Prozesse durch eine externe Stelle für ein gewisses Maß an Kontrolle im Vorfeld des Aktivwerdens.

Außerdem wird ein mehrstufiger Rechtsbehelfsmechanismus eingerichtet, der auch EU-Bürgern offenstehen soll und im Vergleich zur Ombudsperson des Vorgängerabkommens eine deutliche Verbesserung darstellen sollte. Viele der enthaltenen Regelungen weisen eine deutliche Ähnlichkeit mit Regelungsmechanismen auf, die man ebenso im europäischen Recht findet. Inwieweit diese Sicherheitsvorkehrungen auch ihre Wirkung in der Praxis entfalten, bleibt abzuwarten.

Kritisch ist allerdings zu sehen, dass diese Regelungen durch eine EO des Präsidenten erlassen wurden. Die Verwaltungsanordnung ist zwar für die Exekutive bindend, kann aber jederzeit vom Präsidenten geändert werden. Es handelt sich dabei also gerade nicht um ein formelles Gesetz. Ebenfalls bleibt abzuwarten, wie der Rechtsschutzmechanismus bewertet wird. Fraglich ist hier insbesondere, ob der DPRC tatsächlich ein Gericht darstellt, dem richterliche Unabhängigkeit zukommt und das bindende Entscheidungen treffen kann. Die Regelungen zur Unabhängigkeit in der EO ähneln hier eher den Regelungen, die die DSGVO für einen betrieblichen Datenschutzbeauftragten vorsieht. (bw)

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Folgen:
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Folgen: