Neuer Angemessenheitsbeschluss rückt in Reichweite.
Neuer Angemessenheitsbeschluss rückt in Reichweite
Für europäische Unternehmen, die im Rahmen ihrer Tätigkeit auf einen EU-US-Datentransfer oder die Zusammenarbeit mit US-Dienstleistern angewiesen sind, herrscht seit der Unwirksamkeitserklärung des EU-US-Privacy Shield durch den EuGH im Jahr 2020 weitestgehend Rechtsunsicherheit. Dies könnte sich allerdings schon bald ändern. Bereits zu Beginn des Jahres haben die Präsidentin der EU-Kommission Ursula von der Leyen und US-Präsident Joe Biden bekannt gegeben, dass sich EU und die USA auf eine Nachfolge des Privacy Shield geeinigt haben. Nun hat der US-Präsident am 07.10.2022 einen Durchführungsbeschluss unterzeichnet, auf dessen Grundlage die EU-Kommission einen neuen Angemessenheitsbeschluss für den transatlantischen Datentransfer ausarbeiten kann.
Das Wichtigste in Kürze
– Die USA haben mit einer „Executive Order“ die Voraussetzungen für die Verabschiedung eines neuen Angemessenheitsbeschlusses zum EU-US-Datentransfer geschaffen.
– Die Durchführungsverordnung enthält neue Regeln für den Umgang der US-Geheimdienste mit Daten von EU-Bürgern.
– Auf Basis der US-Verordnung kann die EU-Kommission mit dem Verfahren für den Erlass des neuen Angemessenheitsbeschlusses nach Art. 45 DSGVO beginnen.
– Der erwartete Angemessenheitsbeschluss müsste ein gleichwertiges Datenschutzniveau der EU und der USA bescheinigen, ob das gelingen wird bleibt jedoch zweifelhaft.
USA legt Grundstein für die Verabschiedung eines neuen Angemessenheitsbeschlusses
Seit der Schrems II-Entscheidung des EuGH haben die Regierungen der EU und USA an einer Nachfolgelösung gearbeitet und bereits im März dieses Jahres einen neuen Angemessenheitsbeschluss bis Ende 2022 angekündigt. Nun haben die USA am 07. Oktober 2022 mit einer durch US-Präsidenten Joe Biden unterzeichneten „Executive Order“ die Voraussetzungen für die Verabschiedung eines neuen Angemessenheitsbeschlusses geschaffen, in der Absicht die Vorgaben des EuGH zum EU-US-Datenaustausch umzusetzen.
Wahrung der Privatsphäre und Freiheitsrechte der EU-Bürger und Rechtsbehelfsmöglichkeit
Das Dekret enthält neue Regeln zum Umgang der US-Geheimdienste mit Daten von EU-Bürgern. Der EuGH hat im Rahmen der Schrems-Urteile deutlich gemacht, dass (1) die Überwachungstätigkeit der USA im Sinne von Art. 52 der Charta der Grundrechte der EU (EU-GRCh) verhältnismäßig sein muss und (2), dass gemäß Art. 47 EU-GRCh die Möglichkeit eines gerichtlichen Rechtsbehelfs eröffnet werden muss. Diese Vorgaben sollen nun erfüllt werden. So heißt es in der Durchführungsverordnung, dass eine Überwachung des Datenflusses durch die US-Geheimdienste nur dann zulässig ist, wenn sie der nationalen Sicherheit dient und sowohl die Privatsphäre als auch die Freiheitsrechte aller Personen berücksichtigt werden. Zudem ist laut dem Dekret ein zweistufiger Rechtsbehelfs-Mechanismus vorgesehen. Dabei soll zunächst eine Anlaufstelle für EU-Bürger geschaffen werden, die direkt beim Direktorat der US-Geheimdienste angesiedelt ist und Beschwerden derjenigen überprüfen soll, die sich durch die US-Geheimdienstaktivitäten in ihren Rechten verletzt sehen. Als zweite Ebene des Mechanismus soll ein unabhängiges „Datenschutzgericht“ geschaffen werden, das die Entscheidungen der Beamten der ersten Stufe überprüfen kann.
Beginn des Verfahrens zum Erlass eines Angemessenheitsbeschlusses
Auf Basis des US-Erlasses kann die EU-Kommission mit dem Verfahren für den Erlass des seit einiger Zeit geplanten Angemessenheitsbeschlusses nach Art. 45 DSGVO beginnen, der ein gleichwertiges Datenschutzniveau der EU und USA bescheinigen soll. Da bei diesem Verfahren sowohl der Europäische Datenschutzausschuss (EDSA) als auch die EU-Staaten und das Europaparlament miteinbezogen werden müssen, ist von einer Verfahrensdauer von bis zu 6 Monaten auszugehen. Mit einem neuen Abkommen ist daher frühestens zu Beginn des nächsten Jahres zu rechnen. Während eine negative Stellungnahme des EDSA rechtlich nicht bindend ist, könnte der Beschluss durch die Mitgliedstaaten verworfen werden. Dies ist allerdings äußerst unwahrscheinlich. Sobald eine Entscheidung veröffentlicht wird, können sich Unternehmen bei einem Datentransfer in die USA auf diese berufen. Betroffene haben dann die Möglichkeit, vor nationale und europäische Gerichte zu ziehen.
Ausblick
Auch wenn beide Regierungen dasselbe Ziel verfolgen, nämlich einen dauerhaften Datenfluss zu ermöglichen, um die grenzüberschreitende Geschäfts- und Handelsbeziehungen zu unterstützen, kommt es letzten Endes auf die tatsächliche rechtliche Umsetzung an. Während die Regierungen sich darüber einig sind, dass die Unterzeichnung des Dekrets ein wichtiger Schritt in Richtung eines sicheren und freien transatlantischen Datenverkehrs darstellt, zeigen sich bereits die ersten europäischen Datenschützer skeptisch gegenüber dem bevorstehenden Abkommen. Zu Recht. Wirft man einen näheren Blick in die Durchführungsverordnung, so muss man feststellen, dass die beiden Anforderungen des EuGH nicht hinreichend berücksichtigt werden. Weder ist nach dem Wortlaut der Durchführungsverordnung eine Einschränkung der Massenüberwachung vorgesehen, noch wird die geforderte Rechtsbehelfsmöglichkeit ernsthaft umgesetzt. Anstelle eines Gerichts im üblichen Sinne ist auf erster Stufe lediglich ein Mitarbeiter der Verwaltungsbehörde vorgesehen, der zur Entgegennahme von Beschwerden bestimmt ist. Auf zweiter Stufe soll sodann die Bearbeitung der Beschwerden durch eine als „Data Protection Court“ bezeichnete Stelle der Exekutive erfolgen. Ob dies den Anforderungen der GRCh der Europäischen Union entspricht, ist äußerst fraglich. Es bleibt daher abzuwarten, wie die Entscheidung der EU-Kommission auf dieser Grundlage ausfallen wird. Sowohl aus Sicht der Unternehmen als auch der Bürger der Europäischen Union wäre ein Angemessenheitsbeschluss, der einen rechtssicheren Datenfluss bescheinigt, begrüßenswert. Jedoch ist nach vorläufiger rechtlicher Einschätzung nicht ausgeschlossen, dass auch das neue Abkommen vom EuGH für ungültig erklärt wird.
Quelle: Thomas Kolb LL.M – Fachanwalt und Datenschutzexperte (Sozietät Kolb, Blickhan & Partner).