Sind bald wieder rechtssichere Datenübertragungen in die USA möglich?

Artikel als PDF (Download)

Die pandemiebedingte Homeofficepflicht wäre ohne amerikanische Unternehmen wie Microsoft und Zoom kaum vorstellbar gewesen. Auch in anderen Bereichen der Digitalisierung ist ein Verzicht auf Produkte der Unternehmen aus dem Silicon Valley wohl undenkbar. Ein Datentransfer an Unternehmen in den Vereinigten Staaten ist in vielen Fällen unvermeidbar. Werden in diesem Zusammenhang auch personenbezogene Daten übermittelt, ist das Datenschutzrecht der Europäischen Union (DSGVO) tangiert. Danach sind bei einem Transfer von personenbezogenen Daten außerhalb der EU oder des EWR – in sogenannte Drittländer – die Vorgaben der Art. 44 ff. DSGVO zu beachten. Eine Grundlage für den Datentransfer in ein Drittland ist nach Art. 45 DSGVO ein Angemessenheitsbeschluss der Europäischen Kommission.

Zuletzt hatte der Europäische Gerichtshof (EuGH) am 16.07.2020 (C-311/18) im „Schrems-II“-Urteil den letzten Angemessenheitsbeschluss der Kommission zugunsten der USA (Privacy-Shield) für ungültig erklärt. In seinem Urteil hatte der EuGH zudem deutlich gemacht, dass aufgrund der Möglichkeit eines Zugriffs auf personenbezogene Daten durch US-Behörden ein erhebliches Datenschutzrisiko bei der Datenübermittlung in die USA besteht. Diese Entscheidung hatte zunächst zu einer erheblichen Verunsicherung geführt.

Auch die circa ein Jahr nach dem EuGH-Urteil veröffentlichten neuen Standarddatenschutzklauseln (SCC) brachten nicht die gewünschte Sicherheit. Der Europäische Datenschutzausschuss (EDSA) sowie die Aufsichtsbehörden der einzelnen Staaten machten deutlich, dass allein die rein vertraglichen Regelungen kein ausreichendes Instrument zur Eindämmung bestehender Überwachungsrisiken darstellen. Aufgrund der Inter-partes-Wirkung der SCC entfalten sie keine Geltung gegenüber den US-Behörden, so dass ein Zugriff weiterhin nicht ausgeschlossen werden kann. Es sind folglich zusätzliche, insbesondere technische Maßnahmen erforderlich, um einen ausreichenden Schutz personenbezogener Daten beim Datentransfer in die USA sicherzustellen. Dies stellt Unternehmen zum Teil vor kaum lösbare Schwierigkeiten.

Eine Lösung scheint nun in Sicht: Am 25.03.2022 haben die EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden ihre grundsätzliche Einigung über das „Trans-Atlantic Data Privacy Framework“
(TADPF) verkündet. Dabei handelt es sich bisher lediglich um eine grundsätzliche Einigung und nicht um einen neuen Angemessenheitsbeschluss; jedoch könnte ein solcher im weiteren Verlauf auf Grundlage der Einigung erlassen werden.

Inhalt der Einigung

Ausweislich der Pressemitteilung des Weißen Hauses vom 25.03.2022 sind insbesondere nachfolgende Punkte Inhalt des TADPF, wobei der Text noch nicht finalisiert ist.

 

Die USA haben sich demnach unter anderem verpflichtet,

  • den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei den Aktivitäten der US-Signalaufklärung („Signals Intelligence Activities“) zu stärken und
  • einen neuen Rechtsbehelfsmechanismus mit unabhängiger und verbindlicher Autorität einzurichten sowie die bestehende Aufsicht über die Aktivitäten im Bereich der Signalnachrichtendienste zu verstärken.

 

Das Rahmenwerk stellt laut Pressemitteilung sicher, dass

  • die Erhebung von Signalen nur dann erfolgen darf, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich ist und es den Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigt;
  • EU-Bürger statt des Ombudsverfahrens gemäß dem Privacy-Shield einen neuen, mehrstufigen Rechtsbehelfsmechanismus nutzen können, zu dem auch ein unabhängiges Datenschutzprüfungsgericht („Data Protection Review Court“) gehört, das sich aus Personen zusammensetzt, die nicht der US-Regierung angehören und die die uneingeschränkte Befugnis erhalten sollen, über Klagen zu entscheiden und gegebenenfalls Abhilfemaßnahmen anzuordnen;
  • die US-Nachrichtendienste Verfahren einführen werden, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.

 

Das klingt vielversprechend. Da der vollständige Text des Rahmenwerks jedoch noch nicht vorliegt, konnte bisher keine umfassende Prüfung des Inhalts durchgeführt werden. Erste Reaktionen auf die Verkündung der Einigung waren seitens einiger Unternehmen und Datenschutzexperten sehr positiv. Datenschützer Max Schrems und seine Organisation NOYB äußerten sich jedoch zurückhaltender. Sie gehen davon aus, dass das neue Abkommen innerhalb kürzester Zeit ebenfalls vor dem EuGH landen könnte, da weiterhin keine Änderung der US-Überwachungsgesetze beabsichtigt sei.

Verbleibende mögliche Hürden

Um den EU-Bürgern nunmehr einen effektiven Rechtsbehelfsmechanismus zur Verfügung zu stellen, müsste das Datenschutzprüfungsgericht auch tatsächlich hinreichend unabhängig und durchsetzungsstark sein. Problematisch könnte in diesem Zusammenhang sein, dass die Umsetzung per „Executive Order“ erfolgt, für die Sicherstellung der Beachtung von Entscheidungen des „Data Protection Review Court“ jedoch wohl eine Rechtsverordnung erforderlich ist.

Daneben stellt sich das ganz praktische Problem, wie die Betroffenen von Überwachungsmaßnahmen durch US-Geheimdienste Kenntnis erlangen, um sich in einem nächsten Schritt gegebenenfalls dagegen wehren zu können. Insoweit bereitet insbesondere das kürzlich ergangene Urteil des Obersten Gerichtshofs der USA („United States Supreme Court“) Sorge. Dieser hat am 04.03.2022 im Fall „FBI vs. Fagaza“ die Rechte der US-amerikanischen Überwachungsbehörden auf Zugang zu personenbezogenen Daten von US-Einwohnern gestärkt. Da Letztere im Gegensatz zu EU-Bürgern den Schutz der US-Verfassung genießen, stellt sich die Frage, ob nach dem US-Recht mittels einer „Executive Order“ EU-Bürgern weitere Rechte eingeräumt werden können als US-Bürgern.

Des Weiteren muss natürlich auch der Schutz der personenbezogenen Daten in der Sache gegeben sein. In der Einigung verpflichten sich die USA, den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei den Aktivitäten der US-Signalaufklärung („Signals Intelligence Activities“) zu stärken. Fraglich ist daher, was unter „Aktivitäten der US-Signalaufklärung“ zu verstehen ist, insbesondere ob auch auf Section 702 des FISA und auf die E.O. 12333 gestützte Überwachungsprogramme umfasst sind. Dies ist wohl nach Auffassung der US-Geheimdienste der Fall. Insoweit bleibt jedoch der finale Wortlaut abzuwarten.

Zuletzt ist sicherzustellen, dass bei der Erhebung von Signalen der vom EuGH geforderte Grundsatz der Verhältnismäßigkeit beachtet wird. Dies ist insoweit fraglich, als die Bundesregierung der USA alle Sachverhalte als Staatsgeheimnis klassifizieren kann, deren Veröffentlichung den USA schaden würde. Dies hat zur Folge, dass eine etwaige Datenverarbeitung nicht auf ihre Verhältnismäßigkeit hin geprüft werden kann und daher weitgehende Schutzlücken entstehen könnten. Zudem ist es im Rahmen der Verhältnismäßigkeitsprüfung nicht ausgeschlossen, dass die zugrundeliegenden Belange stark zugunsten der staatlichen Überwachungsbehörden ausgelegt werden.

Ausblick

Die endgültige Fassung des TADPF wird von den Fachkreisen erst für die nächsten Monate erwartet. Zunächst wird die USA ihre Lösung ausarbeiten. Das Ergebnis wird dann als verbindlicher Vorschlag oder schon als gültiger US-Rechtsakt der EU-Kommission zur Prüfung übermittelt. Diese holt eine Stellungnahme des EDSA ein. Vermutlich werden sich auch andere interessierte Kreise äußern. Unter Berücksichtigung dieser Stellungnahmen wird die EU-Kommission die Prüfung abschließen und ihre Entscheidung bekanntgeben. Als mögliches Zieldatum für einen Angemessenheitsbeschluss nannte EU-Justizkommissar Didier Reynders Ende des Jahres 2022.

Bis zum Inkrafttreten des TADPF ändert sich für die Unternehmen jedoch erst einmal nichts. Eine Datenübermittlung in ein Drittland darf auch künftig nur auf Grundlage von geeigneten Garantien im Sinne von
Art. 44 ff. DSGVO erfolgen. In der Regel sind daher weiterhin die Standarddatenschutzklauseln in ihrer Fassung vom Juni 2021 zu vereinbaren. Zudem ist die Durchführung eines „Transfer Impact Assessment“ (TIA) für den Transfer in die USA unabdingbar. Sobald der sehnlich erwartete Angemessenheitsbeschluss vorliegt, kann dies potentiell zu einer großen Erleichterung für Unternehmen führen, die regelmäßig personenbezogene Daten in die USA transferieren. Lassen sich die entsprechenden Unternehmen unter dem TADPF zertifizieren, verpflichten sie sich also zur Einhaltung europäischer Datenschutzgrundsätze, werden sie grundsätzlich vom Schutzumfang des TADPF umfasst sein.

Beim Einsatz von entsprechend zertifizierten Empfängern wäre die Durchführung eines vollständigen „Transfer Impact Assessment“ voraussichtlich nicht mehr erforderlich. Die Prüfung könnte sich auf die Aktualität der Zertifizierung und den Bezug zum konkreten Datentransfer beschränken. Bei nicht zertifizierten Unternehmen wird sich voraussichtlich nicht viel ändern. Der Abschluss von Standarddatenschutzklauseln sowie die Durchführung eines TIA werden in der Regel wohl erforderlich bleiben.

Ob das TADPF wirklich die langersehnte Lösung ist oder den Unternehmen lediglich eine kurze Verschnaufpause vor einem „Schrems-III“-Urteil gewährt, bleibt abzuwarten. Klar ist jedoch, dass bis zu einem Angemessenheitsbeschluss der Kommission noch einige Hürden zu nehmen sind.

 

bc@haver-mailaender.de

bl@haver-mailaender.de

Aktuelle Beiträge