Dr. Sebastian Kraska, Dipl.-Kfm., ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH in München und Mitglied im Wissenschaftsbeirat der ZD.
ZD 2023, 185 Die EU-Kommission hat am 13.12.2022 den seitens großer Teile der europäischen Industrie lange erwarteten Entwurf eines Angemessenheitsbeschlusses für den weiteren Austausch personenbezogener Daten mit den USA veröffentlicht (https://ec.europa.eu/commission/presscorner/detail/de/ip_22_7631).
Kritik des EuGH an unverhältnismäßiger Datenauswertungsmöglichkeit und fehlenden Rechtsschutzmöglichkeiten für Betroffene
Zuvor hatte der EuGH im Juli 2020 den bis dahin geltenden Angemessenheitsbeschluss in Bezug auf das Privacy Shield für ungültig erklärt (EuGH ZD 2020, 511 mAnm Moos/Rothkegel = MMR 2020, 597 mAnm Hoeren).
Im Kern kritisierte der EuGH, dass „Section 702 des FISA in keiner Weise erkennen [lässt], dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen“ und der zum Schutz der Betroffenen eingeführte „Ombudsmechanismus keinen Rechtsweg zu einem Organ [eröffnet], das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien böte, die den nach Art. 47 der Charta erforderlichen Garantien der Sache nach gleichwertig wären.“
Zwei Jahre Verhandlungen: Einigung auf politische Leitlinien und neues Trans-Atlantic Data Privacy Framework
Im März 2022 hatten US-Präsident Joe Biden und die Präsidentin der Europäischen Kommission Ursula von der Leyen die gemeinsamen Leitlinien zur Schaffung eines neuen Trans-Atlantic Data Privacy Framework der Öffentlichkeit vorgestellt (vgl. https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100).
Die EU-Kommission folgte damit ihrer generellen Linie, mit handelspolitisch wichtigen Partnern vereinfachte Standards zum Austausch personenbezogener Daten zu ermöglichen. Zuletzt hatte die EU-Kommission Angemessenheitsbeschlüsse für Großbritannien und Japan erlassen, mit denen jeweils zuvor Handelsabkommen geschlossen worden waren. Auch für Indien sind iRd Verhandlungen zur Schaffung eines Handelsabkommens immer wieder Fragen zu einem nachlaufenden Angemessenheitsbeschluss im Gespräch.
Im Oktober 2022 hat den gemeinsamen Leitlinien folgend US-Präsident Joe Biden eine Executive Order gezeichnet, um die rechtliche Situation in den USA einer Anpassung zu unterziehen (vgl. https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/).
Executive Order schafft Regelungsrahmen für Geheimdienste
Die von der US-Seite verkündeten Maßnahmen beinhalten insbesondere die Entwicklung von Vorgaben zur Begrenzung des Datenzugriffs durch US-Geheimdienstbehörden auf das notwendige und zur Sicherung der nationalen Sicherheit angemessene Maß sowie die Schaffung eines unabhängigen Gremiums zur Prüfung und Beilegung von Betroffenenbeschwerden mit der Möglichkeit, für die US-Geheimdienstbehörden verbindliche Entscheidungen zu treffen.
Die entsprechenden Behörden sind nun angehalten, die Executive Order in der Praxis umzusetzen. Allgemein wird die Umsetzung der Maßnahmen auf US-Seite zur Jahresmitte 2023 erwartet.
EU-Kommission: Entwurf des neuen Angemessenheitsbeschlusses erfüllt EuGH-Anforderungen
Das Bundesministerium für Wirtschaft und Klimaschutz sowie das Bundesministerium des Innern und für Heimat hatten im Januar 2023 bei einem Round-Table-Gespräch zum Datenschutz in Berlin Dr. Ralf Sauer (stellvertretender Referatsleiter des Referats „Internationale Datenströme und Datenschutz“ bei der EU-Kommission, Generaldirektion Justiz und Verbraucher) zu Gast, um das weitere Verfahren zu erörtern.
Laut Sauer ist mit einer Verabschiedung des Angemessenheitsbeschlusses durch die EU-Kommission nach derzeitiger Planung vor der Sommerpause im Juni/Juli 2023 zu rechnen.
Nach Ansicht von Sauer sind die USA den Anforderungen der europäischen Seite mit dem nun gefundenen Kompromiss sehr weit entgegengekommen. Der EuGH habe in seiner Entscheidung aus dem Jahr 2020 genaue Rahmenbedingungen definiert, unter denen ein Angemessenheitsbeschluss zulässig möglich sei. Die Herausforderung in der aktuellen Verhandlung hätte daher weniger darin bestanden, die Rahmenbedingungen zu definieren als vielmehr deren Umsetzung mit der amerikanischen Seite zu klären.
Man sei daher der Überzeugung, dass der nun gefundene Kompromiss die Anforderungen des EuGH erfüllen würde.
Die häufiger auf europäischer Seite geäußerte Kritik, dass die Anpassungen des US-Rechts nur auf einer Executive Order beruhten (und daher jederzeit durch den US-Präsidenten wieder gekippt werden könnten), entkräftete Sauer insbesondere mit dem Argument, dass die Adressierung einiger durch den EuGH geforderter Aspekte aus US-verfassungsrechtlicher Sicht gar nicht über ein Bundesgesetz hätte erfolgen können und daher in jedem Fall ein Rückgriff auf eine Executive Order erforderlich gewesen sei.
Kein (ausführliches) Transfer Impact Assessment mehr für US-Transfers erforderlich
Auf Rückfrage bestätigte Sauer zudem, dass es aus seiner Sicht künftig nicht mehr erforderlich sein würde, für Datentransfers an US-Unternehmen auf Basis von EU-Standardvertragsklauseln ausführliche Transfer Impact Assessments durchzuführen. Inhaltlich könne insoweit auf dem Angemessenheitsbeschluss der EU-Kommission aufgebaut werden.
US-Unternehmen, die Daten von europäischen Partnern verarbeiten, haben danach künftig die Wahl, sich entweder über das Trans-Atlantic Data Privacy Framework (als Nachfolgekonstrukt zum Privacy Shield Framework) auf die europäischen Datenschutzgrundsätze zu verpflichten oder sich über die EU-Standardvertragsklauseln an europäische Datenschutzregeln zu binden.
Der Angemessenheitsbeschlusses der EU-Kommission betrifft dabei die rechtliche Situation in den USA insgesamt, wie sie nun durch die Executive Order von Präsident Biden angepasst wurde (vgl. https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/). Diese Entscheidung gilt unabhängig davon, ob das US-Unternehmen nach dem Trans-Atlantic Data Privacy Framework zertifiziert ist oder nicht. Damit profitieren auch US-Unternehmen von der Angemessenheitsentscheidung, die sich nicht nach dem Trans-Atlantic Data Privacy Framework zertifizieren lassen.
Europäische Reaktionen auf Entwurf des neuen Angemessenheitsbeschlusses
Der LIBE-Ausschuss äußerte in einem Entwurf deutliche Kritik an dem geplanten Angemessenheitsbeschluss (vgl. https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_EN.pdf).
Die deutschen Aufsichtsbehörden iRd DSK wie auch der EDSA äußerten sich verhalten optimistisch zum vorgelegten Entwurf der EU-Kommission.
Die Vorsitzende des EDSA Andrea Jelinek wird mit den Worten zitiert: „A high level of data protection is essential to safeguard the rights and freedoms of EU individuals. While we acknowledge that the improvements brought to the U.S. legal framework are significant, we recommend to address the concerns expressed and to provide clarifications requested to ensure the adequacy decision will endure. For the same reason, we think that after the first review of the adequacy decision, subsequent reviews should take place at least every three years and we are committed to contributing to them.“ (vgl. https://edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_de).
Diese Linie griff auch die DSK in einer aktuellen Pressemitteilung auf (vgl. https://www.datenschutzzentrum.de/artikel/1431-Europaeischer-Datenschutzausschuss-nimmt-Stellung-zum-Entwurf-des-Angemessenheitsbeschlusses-zum-EU-U.S.-Data-Privacy-Framework.html).
Formal liegt die Entscheidung zur Verabschiedung des Angemessenheitsbeschlusses allein in den Händen der EU-Kommission.
Der Kläger aus den voranliegenden Verfahren des
EuGH
um Safe Harbor und das Privacy Shield, Max Schrems, äußerte sich in einer Pressemitteilung skeptisch: „Bestimmte Änderungen, wie zB die Einführung des Grundsatzes der Verhältnismäßigkeit oder die Einrichtung eines Gerichts klingen auf den ersten Blick vielversprechend - bei näherer Betrachtung wird jedoch deutlich, dass die Executive Order Nicht-US-Personen nicht ausreichend vor Überwachung schützt. Somit wird jede ,Angemessenheitsentscheidung` der EU, die auf dieser Executive Order 14086 beruht, den
EuGH
wahrscheinlich nicht zufrieden stellen wodurch bereits das dritte Abkommen zwischen der US-Regierung und der Europäischen Kommission scheitern könnte.“ (vgl. https://noyb.eu/de/statement-zur-angemessenheitsentscheidung-der-eu-kommission-zur-usa).
G7-Roundtable: „Data Free Flow with Trust“ (DFFT) als langfristiges Zukunftsmodell?
Parallel arbeiten die Vertreter der Datenschutzaufsichts- und Privacy-Behörden der G7-Mitgliedstaaten an der Schaffung eines neuen Rahmens, um auf langfristige Sicht den vertrauensvollen Austausch personenbezogener Daten zu ermöglichen. Der BfDI Prof. Kelber hatte hierzu im vergangenen Jahr die G7-Vertreter auf dem Petersberg begrüßt und wurde mit den Worten zitiert: „Wir werden im Rahmen der G7 anstreben, rechtliche Gemeinsamkeiten und hohe Schutzstandards bei den Instrumenten für internationale Datenübermittlungen zu fördern. Außerdem haben wir beschlossen, den G7-Roundtable der Datenschutz- und Privacy-Behörden durch jährliche Treffen zu verstetigen. Unsere Abschlusserklärung zeigt, dass wir wichtige Schritte auf einem, zugegebenermaßen noch langen, Weg gemacht haben.“ (vgl. https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/10_G7-Communique.html
).
Fazit
Die Nutzung von US-Unternehmen zur Auslagerung von Datenverarbeitungsvorgängen wird durch den neuen Angemessenheitsbeschluss der EU-Kommission maßgeblich vereinfacht. Es besteht zudem aus Sicht der EU-Kommission Grund zur Hoffnung, dass der nun gefundene Kompromiss auch den Anforderungen des EuGH standhalten wird (vgl. hierzu auch Glocker
ZD 2023,
189
- in diesem Heft; ferner zur Drittlandbewertung für China Eisenmenger ZD 2023, 204 - in diesem Heft).