Neue Entwicklungen zum Transatlantischen Datenschutzrahmen zwischen EU & USA
Aktueller Stand zu Übertragungen personenbezogener Daten in die USA
Europäische Unternehmen arbeiten weiterhin in Unsicherheit, wenn sie Daten in die USA übermitteln. Nachdem das EU-US-Privacy Shield vom EuGH in 2020 durch das Schrems-II-Urteil für unwirksam erklärt wurde, hat die Europäische Kommission die Standardvertragsklauseln aktualisiert. Diese stellen eine geeignete Garantie gem Art. 46 Abs. 2 lit. c) DSGVO für einen sicheren und datenschutzkonformen Datentransfer dar.
In der Praxis sind dabei zwei Punkte zu berücksichtigen:
- Zum einen sehen sich Unternehmen in der Pflicht, für alle Datenübermittlungen in Drittländer die aktualisierten Standarddatenschutzklauseln abzuschließen. Verträge, die die alten Standardvertragsklauseln enthalten, müssen bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden.
- Zum anderen sehen die neuen Standarddatenschutzklauseln vor, dass beide Vertragsparteien zusichern keinen Grund zur Annahme zu haben, dass Rechtsvorschriften und Gepflogenheiten im Bestimmungsland die Erfüllung datenschutzrechtlicher Anforderungen gefährden (vgl. Klausel 14 lit. a Standarddatenschutzklauseln). Vor dem Hintergrund der Schrems-II Entscheidung werden Unternehmen regelmäßig Bedenken an der Übertragung personenbezogener Daten in die USA haben. Daher sind Unternehmen, neben dem eigentlichen Vertragsabschluss, zusätzlich zu einer Risikobewertung der Datenübertragung (engl. Transfer Impact Assessment) verpflichtet (vgl. Klausel 14 lit. d Standarddatenschutzklauseln).
Unternehmen stellen sich daher die Frage, wie lange noch in dieser unsicheren Lage agiert werden soll. Ein neuer Angemessenheitsbeschluss der EU-Kommission, in dem ein angemessenes Datenschutzniveau der USA anerkannt wird, könnte hierzu Abhilfe schaffen. Dies setzt allerdings zunächst ein gleichwertiges Datenschutzniveau in den USA zur EU voraus, was zuletzt im Schrems-II Urteil verneint wurde.
Neue Bewegung durch die Executive Order des US-amerikanischen Präsidenten
US-Präsident Joe Biden macht nun Hoffnung auf eine Neuauflage eines solchen Angemessenheitsbeschlusses. Mit der Unterzeichnung der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities” vom 7. Oktober 2022, sichert er Änderungen der US-amerikanischen Datenschutzgesetze zu. Die Executive Order ist eine Durchführungsverordnung und ist damit eine unmittelbar geltende und rechtlich bindende Vorgabe für US-Behörden. Im Kern soll die Verordnung den Datenschutz von europäischen Bürgern hinsichtlich der Abhöraktivitäten von US-Geheimdiensten verbessern.
Bereits im März hatten sich die EU-Kommission und die US-Regierung im Rahmen einer Pressemitteilung die Intention für einen „Transatlantischen Datenschutzrahmen“ (engl. Trans-Atlantic Data Privacy Framework, kurz TADPF) bekräftigt. USA und EU einigten sich dabei auf eine Selbstverpflichtung der USA zu Reformen zum Schutz der Privatsphäre und bürgerlicher Freiheiten. Durch die Executive Order wurde dafür der rechtliche Rahmen geschaffen, auf deren Grundlage die EU-Kommission einen neuen Angemessenheitsbeschluss prüfen kann.
Die Bestätigung des gleichwertigen Datenschutzniveaus in den USA auf Basis der Executive Order könnte einen neuen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO für den Datentransfer in die USA begründen. Somit würde eine Garantie für die sichere und rechtmäßige Datenübermittlung geschaffen werden. Zudem würde ein Angemessenheitsbeschluss die Verwendung der Standarddatenschutzklauseln ersetzen.
Was sagen die Aufsichtsbehörden und Datenschützer zur mittelbaren Wirkung der Executive Order?
In einem Q&A der EU-Kommission werden die Anpassungen, die durch die Executive Order erwirkt werden, als signifikante Verbesserung im Vergleich zum unwirksam erklärten EU-US Privacy Shield betrachtet. „Ziel […] war es, die vom Gerichtshof der EU im Urteil Schrems II geäußerten Bedenken auszuräumen und eine dauerhafte und zuverlässige Rechtsgrundlage für den transatlantischen Datenverkehr zu schaffen. Dies spiegelt sich in den in der Durchführungsverordnung enthaltenen Garantien wider […].“, so die EU-Kommission. Eine offizielle Stellungnahme der deutschen und europäischen Aufsichtsbehörden liegt zu diesem Zeitpunkt nicht vor. Allerdings können die deutschen Aufsichtsbehörden nach § 21 BDSG einen neuen Angemessenheitsbeschluss gerichtlich angreifen.
Auch werden wieder kritische Stimmen lauter, denen zufolge es abzuwarten bleibt, ob ein neuer Angemessenheitsbeschluss einer rechtlichen Prüfung durch den EuGH standhält, so auch der Datenschützer und Datenschutz-Aktivist Max Schrems, der sich bereits skeptisch gegenüber der Executive Order äußerte. In einer ersten Stellungnahme des Europäischen Zentrums für Digitale Rechte (NOYB) – einer Organisation zur Durchsetzung des europäischen Datenschutzes, in der Max Schrems Vorstandsvorsitzender ist – gehe man davon aus, dass ein neuer Angemessenheitsbeschluss auf Grundlage der Executive Order ebenfalls wieder vom EuGH für unwirksam erklärt würde. Weiter erklärt Schrems: „Die EU und die USA würden versuchen, ein weiteres Abkommen ohne rechtliche Basis herbeizuführen.“ Zudem wird in der Stellungnahme angekündigt, dass man eine weitere Klage beim EuGH einreiche, wenn sich aus der rechtlichen Analyse eines neuen Angemessenheitsbeschlusses keine Übereinstimmung mit dem EU-Recht ergibt.
Was gilt bis dahin und wie sollten sich Unternehmen verhalten?
Bis zu einem neuen Angemessenheitsbeschluss bleibt die beschriebene Rechtsunsicherheit bei der Datenübermittlung in die USA für Unternehmen bestehen. Aktuell bleibt nur die Verwendung der Standarddatenschutzklauseln, um geeignete Garantien für den Drittlandtransfer zu gewährleisten (unter Berücksichtigung der oben beschriebenen Aspekte). Mit einem Angemessenheitsbeschluss ist frühstens im Frühjahr 2023 zu rechnen.
Abzuwarten bleibt zusätzlich, ob ein neuer Angemessenheitsbeschluss rechtlich Bestand hat, oder dieser durch ein erneutes EuGH-Urteil für unwirksam erklärt werden wird.