Rechtliches Sicherheitskonzepte

Das neue EU-US-Datenschutzabkommen

© v.poth - Fotolia.com

Mit dem EU-US Data Privacy Framework unternehmen die transatlantischen Partner einen dritten Anlauf zur rechtssicheren Regelung des Datenschutzes für die Datenmigration aus der EU in die USA. Bislang sind alle Bemühungen um einen gemeinsamen Datenschutzstandard gescheitert.

Die Entwicklungen im Überblick

Was niemand so recht für möglich gehalten hat, ist am 07.10.2022 mit einer Executive Order des US-Präsidenten Realität geworden. In einem dritten Anlauf soll endlich gelingen, was Jahre zuvor zweimal kläglich an der Rechtsprechung des EuGHs gescheitert ist, nämlich die Implementierung eines tragfähigen US-EU-Datenschutzabkommens.

Wir erinnern uns: Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) mussten die Transfers personenbezogener Daten aus der EU in den Rechtsbereich der USA auf eine neue, besonders geschützte Grundlage gestellt werden. Grundsätzlicher Schutzmaßstab war für die Europäer das Datenschutzniveau der DSGVO.

Bisherige Datenschutzabkommen gescheitert

In zwei aufeinander folgenden bilateralen Datenschutzabkommen, dem Safe Harbor- und dem Privacy Shield-Abkommen, die zwischen den engen Handelspartnern USA und EU ausgehandelt wurden, legte man die Grundlagen für EU-Angemessenheitsbeschlüsse, die bestätigten, dass das US-Datenschutzniveau bei vollständiger Anwendung der Abkommen und einer entsprechenden Selbstverpflichtung von US-Unternehmen, dem Datenschutzniveau der DSGVO entsprach.

Der Datenschützer und Kläger Schrems brachte sowohl Safe Harbor als auch Privacy Shield vor den EuGH, weil er nach den Enthüllungen des US-Whistleblowers Snowden bezweifelte, dass US-Geheimdienste den gebotenen Datenschutz nicht willkürlich unter Verweis auf übergeordnete US-Sicherheitsinteressen brechen konnten. In seinen Entscheidungen ‚Schrems I‘ und ‚Schrems II‘ bestätigte der EuGH die Rechtsauffassung des Klägers und erklärte beide Datenschutzabkommen für nichtig.

(…)

Für viele überraschend verlautbarten die USA und die EU-Kommission am 25.03.2022, man stünde in erfolgversprechenden Verhandlungen zu einem dritten Datenschutzabkommen, dem EU-US Data Privacy Framework (DPF). Über Art und Inhalte des zukünftigen Abkommens hielt man sich bedeckt. Klar war nur, dass sich die USA bewegen mussten und dass ein strengerer US-Datenschutz wahrscheinlich über eine Executive Order, E.O., des US-Präsidenten herbeigeführt werden müsste.

Am 07.10.2022 war es dann so weit: Die ‚Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities‘ war in der Welt und ebnete den Weg für die Implementierung des US-EU Data Privacy Framework.

Die Inhalte der Executive Order

In einem Fact Sheet betont das Weiße Haus, dass mit der erlassenen E.O. sämtliche rechtlichen Bedenken des Schrems II-Urteils des EuGHs aufgegriffen werden, um den Zugriff amerikanischer Geheimdienste durch konkrete Vorschriften zur Einhaltung datenschutzrechtlicher Standards und die Implementierung eines verpflichtenden und unabhängigen Rechtsschutzmechanismus zu ermöglichen.

Dazu sollen geheimdienstliche Eingriffe verpflichtend überwacht und korrigiert werden, wenn Verstöße erfolgen. Die US Intelligence Community wird verpflichtet, ihre Handlungsweisen den neuen Datenschutzstandards umgehend anzupassen.

Dazu braucht es die Schaffung eines mehrstufigen Kontrollmechanismus, um es beauftragten Behörden zu ermöglichen, eine unabhängige und rechtlich bindende Untersuchung möglicher Datenschutzverstöße durchzuführen.

Mehrstufiger Kontrollmechanismus

Als erste Stufe dient der Civil Liberties Protection Officer im Office des Director of National Intelligence (CLPO), der mögliche Verstöße untersucht, wobei die Geheimdienste durch die unabhängige CLPO-Entscheidung gebunden werden.

Die behördlichen Abläufe sollen der Rechtskontrolle eines Data Protection Review Court (DPRC) unterliegen, der dem Attorney General zugeordnet ist und in einer zweiten Entscheidungsebene die Aktivitäten des CLPO überprüfen kann. Sowohl betroffene Individuen als auch Geheimdienste können das unabhängige Gericht anrufen, wenn sie mit einer CLPO-Entscheidung nicht einverstanden sind.

Richter des DPCR müssen unabhängig sein und dürfen nicht aus US-Regierungsstellen und -behörden stammen. Sie müssen über einschlägige Kenntnisse und Erfahrungen im Datenschutz verfügen und sind vor Abberufung geschützt. Ihre Entscheidungen sind bindend.

Jeder verhandelte Fall wird im Interesse des Beschwerdeführers durch einen Special Advocate vor dem DPRC vertreten. Der Attorney General hat bereits eine Gerichtsorganisations- und Gerichtsverfassungsordnung für den DPRC auf den Weg gebracht.

Die dritte Aufsichtsebene bildet das Privacy and Civil Liberties Oversight Board (PCLOB), das die Art und Umsetzung der Vorgaben überwacht und bewertet, um sicherzustellen, dass alle Standards beachtet werden. Auf diese Weise soll Fehlverhalten zeitnah festgestellt und Abhilfe getroffen werden.

Mit der mehrstufigen Datenschutzreform, bestehend aus bindenden Verpflichtungen der Geheimdienste zur Beachtung bürgerlicher Freiheiten und Datenschutzstandards, einer ebenfalls bindenden Fachaufsicht zur Einhaltung der Verpflichtungen, der Schaffung eines unabhängigen Datenschutzgerichts und einem Aufsichtsorgan über die Handhabung des Datenschutzes im Geheimdienstbereich, hoffen die USA, für die EU-Kommission den Weg zu einem erneuten Angemessenheitsbeschluss für das Data Privacy Framework Abkommen gelegt zu haben.

(…)

Der Angemessenheitsbeschluss der EU-Kommission

Am 10.07.2023 hat die EU-Kommission diesen neuen Angemessenheitsbeschluss nach Art. 45 III DSGVO gefasst und auf 137 Seiten begründet, warum das Data Privacy Framework Grundlage für einen ungehinderten Datenaustausch zwischen der EU und den USA ist. Mit den erfolgten Änderungen und Sicherheitsgarantien habe das US-Datenschutzniveau das von der europäischen DSGVO verlangte Schutzniveau erreicht.

(…)

Dauerkläger und Datenschutzexperte Schrems befürchtet hingegen, dass mit dem dritten Abkommen in Folge lediglich neuer Wein in alte Schläuche gefüllt wurde. Er erinnert an die Argumentation des EuGHs, dass EU-Datenschutzbehörden bei Beschwerden eine Prüfpflicht haben und nicht pauschal auf den existierenden Angemessenheitsbeschluss verweisen können.

Es ist nur eine Frage der Zeit, bis EU-US-Datenschutzfragen vor Gericht und von dort mittels des Instruments des Vorabentscheidungsverfahrens, Art. 247 AEUV, wieder vor dem EuGH landen. Spätestens dann steht für das Data Privacy Framework erneut die Nagelprobe an.

Bis es so weit ist, also für einen Zeitraum von etwa drei bis fünf Jahren, ist eine rechtssichere Migration personenbezogener Daten aus der EU in die USA möglich. Das ist die gute Nachricht.

Sie könnte vorübergehender Natur sein.

Den vollständigen Beitrag lesen Sie im RdW-Kurzreport 17/2023, S. 772.