Aller guten Dinge sind drei. Nach Safe Harbor und dem Privacy Shield wurde im März 2022 mit dem „Trans-Atlantic Data Privacy Framework“ eine neue Einigung zum transatlantischen Datentransfer erzielt. Das neue Datenschutzabkommen soll die Grundlage für einen Beschluss bilden, in dem die Europäische Kommission das Datenschutzniveau in den USA für angemessen erklärt. Nachdem es seit März 2022 zunächst ruhig geblieben war, wurden im letzten Quartal dieses Jahres weitere Schritte in Richtung des neuen Angemessenheitsbeschlusses unternommen.
Der nachfolgende Beitrag wirft einen Blick auf die bisherigen Entwicklungen in Sachen „Datentransfer in die USA“ und erklärt Ihnen, was unter einem Angemessenheitsbeschluss zu verstehen ist. Wir wagen zudem einen Ausblick auf die Erfolgsaussichten des neuen Angemessenheitsbeschlusses.
März 2022: Eckpunkte des neuen Abkommens werden verkündet
Im März 2022 einigten sich die Europäische Kommission und die US-Regierung auf das „Trans-Atlantic Data Privacy Framework“. Die Kommission veröffentlichte am 25. März 2022 in ihrem Factsheet folgende Grundprinzipien des Datenschutzabkommens:
- Auf Basis des neuen Abkommens werden Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
- Ein neues Regelwerk und verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Damit wird sichergestellt, dass ein Zugriff nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden. Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten.
- Ein neues zweistufiges Rechtsbehelfsystem soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Zur gerichtlichen Prüfung wird ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
- Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten. Dazu gehört insbesondere die Verpflichtung, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen.
Das Weiße Haus spricht in seiner Veröffentlichung von beispiellosen Verpflichtungen, die die USA zur Stärkung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten mit dem Trans-Atlantic Data Privacy Framework eingehen.
Oktober 2022: Erlass einer Executive Order
Nach der Verkündung der grundsätzlichen Einigung lag der Ball auf der anderen Seite des Atlantiks. Die USA waren an der Reihe, die Grundprinzipien des Abkommens rechtlich abzusichern und diejenigen Aspekte des Datenschutzes in den USA zu adressieren, die im Jahr 2020 den Europäischen Gerichtshof (EuGH) zur Aufhebung des Privacy Shield veranlassten. Am 07.10.2022 hat US-Präsident Joe Biden hierzu ein entsprechendes Dekret erlassen. Durch diese Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (E.O.) werden unter anderem die US-Geheimdienste angewiesen, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken. Hierdurch hat die US-Administration den Ball zu der Europäischen Kommission zurückgespielt, die nun ihrerseits die Aufgabe hat, einen entsprechenden Angemessenheitsbeschluss auf den Weg zu bringen.
Was ist ein Angemessenheitsbeschluss?
Nach Art. 44 DSGVO ist der Transfer personenbezogener Daten in Drittländer nur dann zulässig, wenn bestimmte Voraussetzungen erfüllt werden, genauer gesagt, wenn ein Transfermechanismus den Transfer legitimiert. Der für Unternehmen bequemste und zugleich rechtssicherste Transfermechanismus stellt der Angemessenheitsbeschluss gem. Art. 45 DSGVO dar.
Mittels eines solchen Angemessenheitsbeschlusses kann die Europäische Kommission feststellen, dass ein Drittland, ein Gebiet eines Drittlands oder ein bestimmter Sektor eines Drittlands ein angemessenes Datenschutzniveau bietet. Hat die Kommission einen solchen Beschluss gefasst, dürfen Unternehmen personenbezogene Daten ohne weitere Voraussetzungen an die betreffenden Empfänger im Drittland übermitteln.
Selbstverständlich kann die Kommission nicht nach Belieben Angemessenheitsbeschlüsse erlassen, sondern muss dabei nach Art. 45 Abs. 2 DSGVO gewisse Aspekte des Schutzniveaus für personenbezogene Daten im Drittland berücksichtigen. Hierzu zählen rechtsstaatliche Prinzipien, die Achtung von Menschenrechten, das Bestehen und die Kompetenzen von Datenschutzaufsichtsbehörden sowie das Bestehen internationaler Verpflichtungen.
Ob und inwiefern die Executive Order von Präsident Biden tatsächlich zu einer signifikanten Verbesserung und somit zu einer Angemessenheit des Datenschutzniveaus in den USA im Sinne des Art. 45 DSGVO führt, ist in der Datenschutzwelt und anscheinend sogar unter deutschen Datenschutzaufsichtsbehörden umstritten.
Erfolgsaussichten des Angemessenheitsbeschlusses
Kritik an der Executive Order kommt von der Aufsichtsbehörde in Baden-Württemberg, die den Schritt der US-Administration zwar im Grundsatz begrüßt, aber mehrere Punkte an der Executive Order moniert. So äußert die Behörde unter anderem Zweifel daran, ob die Executive Order als Rechtsinstrument überhaupt geeignet ist, die von der europäischen Seite geforderten Punkte wirksam umzusetzen. Zudem bleibe unklar, ob die US-amerikanische Auffassung „verhältnismäßiger Datenzugriffe“ durch US-Geheimdienste dem im europäischen Verfassungsrecht zentralen Begriff der „Verhältnismäßigkeit“ gerecht werden kann.
Zu einer anderen Einschätzung kommt die Hamburgische Aufsichtsbehörde, die in der Executive Order einen großen Schritt sieht und direkt auf Kritikpunkte der Kolleg:innen im Ländle eingeht. Nach Ansicht der Datenschützer:innen aus Hamburg stellt die Executive Order ein bewährtes Rechtsinstrument dar und komme erfolgreich in anderen Bereichen, etwa der Terrorismusbekämpfung, zum Einsatz. Außerdem sei es nicht erforderlich, dass die Auffassungen vom Verhältnismäßigkeitsbegriff identisch sind. Vielmehr fordere die DSGVO ein gleiches Datenschutzniveau und keine übereinstimmenden Rechtssysteme. Die Behörde plädiert deshalb für eine ergebnisoffene Prüfung des durch die Executive Order erreichten Datenschutzniveaus.
Dezember 2022: Entwurf eines Angemessenheitsbeschlusses
Ungeachtet der Kritik hat die Europäische Kommission am 13. Dezember basierend auf der Executive Order einen Entwurf für einen Angemessenheitsbeschluss nach Art. 45 DSGVO vorgelegt. Dieser muss nun das sog. Annahmeverfahren passieren. Hierzu wird der Entwurf zunächst dem Europäischen Datenschutzausschuss vorgelegt. Im Anschluss muss die Kommission die Zustimmung eines Ausschusses bestehend aus Vertreter:innen der Mitgliedsstaaten einholen. Zuletzt muss der Entwurf noch einer Kontrolle des Europäischen Parlaments standhalten. Erst darauf kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Wann genau dieses Annahmeverfahren abgeschlossen ist, ist aktuell unklar. Es wird aber davon ausgegangen, dass mit der Annahme des Angemessenheitsbeschlusses im ersten Quartal 2023 gerechnet werden kann.
Bedeutung für die Praxis und Fazit
Für alle EU-Unternehmen, die US-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem Trans-Atlantic Data Privacy Framework und dem entsprechenden Angemessenheitsbeschluss eine deutliche Erleichterung in Sicht. Aus wirtschaftlicher Sicht ist diese Entwicklung zu begrüßen. Aber noch ist es nicht so weit! So lange kein Angemessenheitsbeschluss durch die Europäische Kommission erlassen wurde, bleibt der Abschluss von Standardvertragsklauseln und die notwendige Durchführung eines Transfer Impact Assessments die einzige Möglichkeit, personenbezogene Daten regelmäßig in die USA zu übermitteln. Sobald ein Angemessenheitsbeschluss erlassen wurde, können Datenübermittlungen künftig wieder auf diesen gestützt werden. Die Zukunft wird dann zeigen, ob sich das Sprichwort „Aller guten Dinge sind Drei“ wirklich bewahrheitet. Und der verbesserte Schutz der Daten in den USA einer erneuten Prüfung durch den EuGH standhalten kann. Max Schrems läuft sich für das nächste Verfahren vor dem EuGH jedenfalls schon warm.
Julia Kaiser ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.
Simeon Boltjes, LL.M. ist Wirtschaftsjurist und Legal Consultant bei der Datenschutzkanzlei.