Transatlantische Datentransfers: aktueller Stand zwischen EU und USA

Privacy Shield 2.0: ein Überblick

Nach Bekanntgabe einer grundsätzlichen Einigung zwischen der EU-Kommission und den USA am 7. Oktober 2022 unterzeichnete US-Präsident Biden eine Executive Order (EO) zur Implementierung des Privacy Shield 2.0, dem aktualisierten Data Privacy Framework für Datentransfers zwischen der EU und den USA (EU-US DPF).

EU-US DPF basiert zwar ebenso wie der ursprüngliche Privacy Shield auf Selbstzertifizierung, die beiden wichtigsten Punkte des Schrems-II-Urteils werden jedoch angegangen:

1. Die Notwendigkeit und Verhältnismäßigkeit des Datenzugriffs durch US-Geheimdienste
2. Unzulängliche Rechtsbehelfe für Verbraucher aus der EU

Notwendigkeit und Verhältnismäßigkeit

Die neue Executive Order gibt vor, dass US-Geheimdienste nur dann auf Daten zugreifen dürfen, wenn dies…

• „zur Verfolgung einer bestätigten geheimdienstlichen Priorität erforderlich“ ist,
• und „nur in dem Ausmaß und auf eine Art und Weise, das bzw. die der bestätigten geheimdienstlichen Priorität, zu der die Geheimdienste autorisiert wurden, entspricht“.

Dies ähnelt dem Datenminimierungsprinzip der DSGVO und stellt ein entscheidendes Kriterium für den Angemessenheitsbeschluss der EU dar, an dem der ursprüngliche Privacy Shield scheiterte.

Weiterhin wird in der EO festgelegt, dass die Interessen der Geheimdienste gegen die Folgen für Einzelpersonen abgewogen werden müssen, und zwar „unabhängig von Nationalität und Wohnort der Person“.

Rechtsbehelfe

Die Executive Order etabliert außerdem einen neuen, zweistufigen Rechtsschutzmechanismus für Einzelpersonen.

Im ersten Schritt kann eine Beschwerde beim Civil Liberties Protection Officer (CLPO) eingereicht werden, der die Forderung prüft und entsprechende Abhilfemaßnahmen veranlasst, falls ein Verstoß festgestellt wird.

Ist die Person, die die Beschwerde eingereicht hat, mit der Einschätzung des CLPO nicht einverstanden, kann sie im zweiten Schritt bei einem sogenannten Data Protection Review Court Einspruch einlegen, das die Entscheidung des CLPO aufheben und neue Abhilfemaßnahmen festlegen kann, denen die Geheimdienste entsprechen müssen.

Warum wurde statt einem Gesetz eine Executive Order erlassen?

Das liegt vor allem an den politischen Abläufen in den USA, aber auch an den Differenzen zwischen der demokratischen und republikanischen Partei.

Es gab bereits einen Entwurf für ein Bundesgesetz, der auf beiden Seiten Zustimmung gefunden hatte. Nancy Pelosi erklärte jedoch, sie würde kein Bundesgesetz akzeptieren, das den Gesetzen des Bundesstaates Kalifornien „vorgreift“, und verhinderte damit die Verabschiedung des Gesetzes.

Eine Executive Order lässt sich wesentlich leichter umsetzen, weil sie allein auf einer Entscheidung des aktuellen US-Präsidenten beruht. Die EO gab Präsident Biden die Möglichkeit, die vom EuGH angesprochenen Probleme anzugehen und den Datenfluss zwischen der EU und den USA wiederherzustellen.

Außerdem sind Executive Orders rechtsgültig und können nicht einfach vom Kongress der USA außer Kraft gesetzt werden. Der amtierende Präsident kann sie jedoch revidieren. Angenommen, Präsident Biden verliere die nächste US-Präsidentschaftswahl. In diesem Fall könnte sein Nachfolger die Executive Order zurücknehmen oder ergänzen, was Vereinbarungen zwischen der EU und den USA in Bezug auf transatlantische Datenflüsse beeinträchtigen könnte.

Wie geht es also weiter mit internationalen Datentransfers?

Am 13. Dezember 2022 hat die Europäische Kommission dem Europäischen Datenschutzausschuss (EDSA) den Entwurf eines Angemessenheitsbeschlusses vorgelegt und das Verfahren zu dessen Annahme eingeleitet.

Üblicherweise folgt der Prozess ab diesem Punkt dem folgenden Ablauf:

1. Stellungnahme des EDSA

Der EDSA prüft den Beschluss der EU-Kommission und gibt eine unverbindliche Stellungnahme ab. Das bedeutet, die Kommission kann die Einschätzung des EDSA ignorieren, was allerdings unwahrscheinlich ist. Zu diesem Zeitpunkt hat die Kommission auch die Möglichkeit, den Beschluss zu ergänzen. 

2. Stellungnahme des Europäischen Parlaments

Das Europäische Parlament kann eine Stellungnahme zum Thema abgeben, übt jedoch keine formelle Rolle im Prozess aus.

3. Zustimmung der Mitgliedsstaaten

Im wohl wichtigsten Schritt des Prozesses versucht die Kommission, die Zustimmung der Vertreter aller EU-Mitgliedsstaaten einzuholen. Der Beschluss muss er von der Mehrheit, d. h. 55 % der EU-Mitgliedsstaaten (entspricht 65 % der EU-Gesamtbevölkerung) angenommen werden. 

4. Umsetzung des Beschlusses

Erhält der Beschluss die Zustimmung der Mitgliedsstaaten, wird er formell angenommen und tritt nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Dieser Vorgang dauert in der Regel etwa sechs Monate. Beim EU-US DPF ist daher nicht vor März 2023 mit der Annahme des Angemessenheitsbeschlusses zu rechnen. Außerdem wird der Beschluss voraussichtlich nur unter der Bedingung umgesetzt, dass die USA den in der EO festgelegten Rechtsschutz aufrechterhalten.

Die EU muss auch vom US Attorney General als für das EU-US DPF „qualifizierter Staat“ benannt werden. Dies gilt allerdings als reine Formalität.

Was beduetet das Transatlantic Data Privacy Framework für die transatlantischen Datenflüsse?

Wenn nun alles glatt läuft und der Entwurf für den Angemessenheitsbeschluss angenommen und umgesetzt wird, bliebe die USA zwar offiziell ein Drittland aus Sicht der EU, der Datentransfer würde allerdings erleichtert werden.

Durch Bidens Unterschrift unter der Executive Order signalisierten die USA ihre Bereitschaft, sich beim Datenschutz den Vorgaben der EU anzunähern. Überraschend ist das deshalb, weil die USA sich dadurch in ihre eigene Gesetzgebung eingreifen lassen – und das ist für das Land eher untypisch. Auf jeden Fall deutet die Unterschrift darauf hin, dass die USA bereit sind, sich in Sachen Datenschutzrecht zu verbessern.

Sie sind gespannt, wie es weitergeht? Dann geht es Ihnen genauso wie uns. Wir halten Sie hier auf dem Blog auf jeden Fall auf dem Laufenden. Abonnieren Sie unseren Newsletter und erfahren Sie so direkt von Neuigkeiten in Datenschutz, Informationssicherheit und Compliance.