Update Datenschutz Nr. 120
Transatlantisches Datenabkommen – kommt der Privacy Shield 2.0?
Datentransfer in die USA – ein rotes Tuch für Betroffene und Aufsichtsbehörden. Die wirtschaftliche Realität sieht anders aus: Für Unternehmen sind Datentransfers in die USA wichtig und für die Inanspruchnahme bestimmter Dienste mitunter alternativlos (siehe dazu auch Update Datenschutz Nr. 89). Seit der Entscheidung des Europäischen Gerichtshofs („EuGH“) im Jahr 2020 zum EU-US Privacy Shield („Privacy Shield“) gibt es keinen gesicherten Rechtsrahmen für den freien Datentransfer in die USA mehr. Nun hat US-Präsident Joe Biden eine executive order unterzeichnet, mit der die Chancen für ein neues transatlantisches Datenabkommen mit der EU wachsen.
Hintergrund
Mit viel beachtetem Urteil erklärte der EuGH (Rs. C 311/18 - „Schrems II“) im Jahr 2020 die Entscheidung der EU-Kommission zum Privacy Shield mit den USA für ungültig (siehe dazu auch Update Datenschutz Nr. 82).
Seitdem ist ein Datentransfer in die USA nicht mehr ohne weiteres und nur aufgrund der sonstigen Transfermechanismen nach Kapitel V der DSGVO möglich. Diese werden den Bedürfnissen des globalen Wirtschaftsmarktes jedoch – jedenfalls in der Masse – allenfalls bedingt und in vielen Fällen auch schlichtweg gar nicht gerecht. Die EU und die USA befanden sich daher seitdem in einem regen Tauziehen um einen neuen Rechtsrahmen für den gesicherten Datentransfer in die USA. Gerade von den Seiten der USA hoffte man auf EU-seitig wichtige, dem dortigen Datenschutzniveau förderliche Zugeständnisse. Nachdem die EU und die USA bereits im März diesen Jahres eine „grundsätzliche Einigung“ zu einem neuen Abkommen verlautbaren ließen, könnte nun US-Präsident Joe Biden mit der Unterzeichnung einer executive order den Weg zu einem neuen Angemessenheitsbeschluss der EU-Kommission freigemacht und damit den Weg für einen neuen Rechtsrahmen für den Datentransfer geebnet haben.
Wird die USA den europäischen Anforderungen gerecht?
Diese executive order sieht einige Zugeständnisse vor, mit denen die USA einen echten Schritt in Sachen Datenschutz machen würden. Ihr Ziel war es, die Vorgaben des o.g. Schrems II Urteils des EuGH umzusetzen. Beachtenswert sind vor allem die folgenden Ziele der US-Regierung:
1. Verhältnismäßigkeit der Überwachung – kann die USA Vertrauen schaffen?
Der Zugriff auf personenbezogene Daten von EU-Bürgern aufgrund nachrichtendienstlicher Tätigkeiten soll nur „zur Verfolgung bestimmter nationaler Sicherheitsziele“ möglich sein, wenn ein Zugriff erforderlich („necessary“) und verhältnismäßig („proportionate“) ist, also wenn der Zugriff den Schutz der Privatsphäre und der Freiheiten nicht unverhältnismäßig beeinträchtigt. Dies adressiert einen zentralen – und vielfach aufgegriffenen – Aspekt in der Urteilsbegründung des EuGH: Die (damals fehlende) Verhältnismäßigkeit der Zugriffsmöglichkeiten auf die transferierten personenbezogenen Daten von EU-Bürgern etwa durch US-Nachrichtendienste. Dieses Erfordernis der Verhältnismäßigkeit folgt aus Art. 52 der Charta der Grundrechte der Europäischen Union (GRCh). Den Grundsätzen des Art. 52 GRCh nach müssen Einschränkungen der Rechte und Freiheiten der EU-Bürger verhältnismäßig und erforderlich (also notwendig) sein. Es ist bemerkenswert, dass die executive order nunmehr genau mit den Formulierungen der GRCh arbeitet.
Auf dieser Ebene wird die Frage zu beantworten sein, wann Zugriffe nach amerikanischem Verständnis erforderlich und wann sie als verhältnismäßig einzustufen sind. Wird hier europäisches Verständnis gelebt werden? Wenngleich eine völlige Abkehr von der bisherigen Überwachungspraxis verwundern würde, so wird die Positionierung hierzu im Laufe der kommenden Zeit zu beobachten sein. Die EU-Kommission täte gleichwohl gut daran, bereits hier kritisch zu prüfen, ob die getroffenen Vorkehrungen ausreichend sind.
2. Bessere Rechtsschutzmöglichkeiten für EU-Bürger?
Weiterhin sichern die USA nunmehr einen mehrstufigen Beschwerdemechanismus zu, mit dem sich EU-Bürger gegen widerrechtliche Zugriffe auf ihre personenbezogenen Daten wehren können sollen. Dies ist ein wichtiger Aspekt, waren doch das Kernproblem des Privacy Shields nicht etwa nur die vorgenannten weitreichenden Zugriffsmöglichkeiten der US-Geheimdienste, sondern insbesondere auch die fehlenden bzw. nicht ausreichenden Rechtsschutzmöglichkeiten der betroffenen EU-Bürger gegen solche Zugriffe.
Mit der executive order reagiert die US-Regierung nun und stellt einen mehrstufigen Rechtsbehelfsmechanismus in Aussicht. Auf dessen erster Ebene soll der Civil Liberties Protection Officer im Office of the Director of National Intelligence die Beschwerden untersuchen und im Verstoßfall für Abhilfe sorgen. Herauszuheben ist insbesondere die zweite Stufe dieses Mechanismus. Auf dieser Ebene soll eine Art Data Protection Review Court (Datenschutzprüfungsgericht) installiert werden, welcher vor allem das viel kritisierte Ombudsmann-Verfahren im Privacy Shield ersetzen soll. Dieser soll sich aus Personen zusammensetzen, die nicht der US-Regierung angehören und zudem Erfahrungen im Datenschutz und nationaler Sicherheit haben. Bereits jetzt werden allerdings erste kritische Stimmen laut, ob der Data Protection Review Court sowohl nach amerikanischen als auch nach europäischen Maßstäben als „Gericht“ anerkannt werden kann. Hintergrund dieser Kritik ist das Prinzip der Gewaltenteilung, welches es nur der Judikative, also der rechtsprechenden Gewalt erlaubt, Recht zu sprechen. Da der Data Protection Review Court allerdings ausschließlich vom US Kongress eingesetzt werden kann und damit einerseits eher der Exekutive zuzuordnen wäre (so etwa die NGO noyb mit Statement vom 7. Oktober 2022: Executive Order zur US-Überwachung reicht wohl nicht (noyb.eu)) und andererseits auch dessen Unabhängigkeit fragwürdig wäre, ist die Kritik an diesem Vorgehen nicht gänzlich unbegründet. Sollte diese zutreffen, dürfte es voraussichtlich schwierig werden, den Anforderungen des EuGH gerecht zu werden. Nach Art. 47 GRCh hat jeder EU-Bürger den Anspruch auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht. Eingriffe in (EU-)Grundrechte müssen also stets auch einer gerichtlichen Kontrolle zu unterziehen sein. Die Kernfrage wird hier also sein: Wird dies ermöglicht?
Darüber hinaus sollen bspw. US-Nachrichtendienste in die Pflicht genommen werden, Verfahren einzuführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.
Ausblick
Aus europäischer Sicht erfreulich: Die USA zeigen offenbar Verständnis für europäisches Rechtsempfinden, anstatt sich über diese Bedenken hinwegzusetzen. Dennoch ist es wünschenswert, dass die EU-Kommission kritisch prüft, ob bereits durch die erlassene executive order die Voraussetzungen für einen neuen Angemessenheitsbeschluss vorliegen. Denn es ist nicht davon auszugehen, dass ein neuer Angemessenheitsbeschluss ohne rechtliche Überprüfung vor dem EuGH auskommen wird. Vielmehr dürfte es mit großer Wahrscheinlichkeit auf kurz oder lang, nach den EUGH-Entscheidungen zu dem Datentransfer in die USA aus den Jahren 2015 und 2020 (s. o.), zu einem dritten Verfahren vor dem EuGH kommen. Es wäre sowohl für die Rechtssicherheit bei Datentransfers in die USA als auch für die Akzeptanz des europäischen Datenschutzrechts insgesamt höchst unzuträglich, wenn es im Rahmen einer solchen „Schrems III“-Entscheidung abermals zu einer Aufhebung eines Angemessenheitsbeschlusses käme.
So oder so muss ein Angemessenheitsbeschluss das Ziel bleiben, um wieder einen sicheren rechtlichen Rahmen für den aus wirtschaftlicher Sicht so wichtigen Datentransfer in die USA zu schaffen. Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten.