Thought Leadership
Kaum wurde das transnationale Abkommen für die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) angekündigt, prognostizieren Datenschützer dessen Aufhebung durch den Gerichtshof der Europäischen Union (EuGH).
Was stellt das Abkommen rechtlich dar?
Die Datenschutz-Grundverordnung (DSGVO) soll trotz zunehmenden Datenaustauschs durch Technologisierung und Globalisierung ein hohes Schutzniveau für personenbezogene Daten gewährleisten – innerhalb der EU und für personenbezogene Daten, die in Drittländer gesendet werden.
Eine Übermittlung in ein Drittland darf nach Art. 45 Abs. 1 DSGVO grundsätzlich nur dann erfolgen, wenn die Anforderungen der DSGVO durch ein entsprechendes Schutzniveau in dem Drittland gewährleistet sind. Ist dies gegeben, kann die Europäische Kommission (EU-Kommission) auf Grundlage des Art. 45 Abs. 3 DSGVO einen sogenannten Angemessenheitsbeschluss erlassen. Personenbezogene Daten können dann rechtskonform in das Drittland übermittelt werden, ohne dass es weiterer Anstrengungen der Verantwortlichen oder der Auftragsverarbeiter im Sinne des Art. 4 DSGVO bedarf.
Wie ist der aktuelle Stand?
Nachdem der EuGH das erste Abkommen zum Datentransfer in die USA „Safe Harbour“ mit Urteil vom 06. Oktober 2015 (C-362/14) durch Aufhebung des entsprechenden Angemessenheitsbeschlusses beendete, wurde mit Urteil vom 16. Juli 2020 (C-311/18) auch das Nachfolgeabkommen „Privacy Shield“ durch den EuGH für ungültig erklärt.
Die Gründe für die Aufhebung des “Privacy Shield”-Abkommens lagen unter anderem an den unverhältnismäßigen Beschränkungen der europäischen Grundrechtecharta aufgrund der umfassenden Eingriffsbefugnisse amerikanischer Sicherheitsbehörden. Es fehlte außerdem an einer wirksamen Rechtsdurchsetzung, um sich als Nicht-US-Bürger gegen diese Eingriffe zu wehren.
Das neue, im März 2022 von EU-Kommission und US-Regierung angekündigte „EU-US Data Privacy Framework“ (EU-US DPF) soll insbesondere dieser Kritik Rechnung tragen. Geeinigt hatte man sich damals bereits unter anderem auf die Beschränkung der Datenzugriffsmöglichkeiten der US-Geheimdienste und die Installation eines Rechtsbehelfssystems einschließlich eines Datenschutzgerichts.
Im Oktober 2022 veröffentlichte die US-Regierung ein Dekret (Executive Order 14086) des US-Präsidenten, dass die rechtliche Umsetzung der Vereinbarung von März 2022 darstellen soll. Die EU-Kommission plant auf dieser Grundlage, den Datenschutz in den USA für angemessen zu erklären und veröffentlichte hierzu den Entwurf des EU-US DPF.
Genügt das neue Abkommen den EU-Standards?
Mit seiner am 28. Februar 2023 veröffentlichten Stellungnahme zum EU-U.S. Data Privacy Framework (EU-US-DPF) Entwurf begrüßt der Europäische Datenschutzausschuss (EDSA) die Verbesserungen zu den Vorgängerabkommen. Auf der Grundlage der Rechtsprechung des EuGHs und den bereits gescheiterten Vorgängerabkommen empfiehlt der EDSA jedoch Nachbesserungen und regelmäßige Überprüfungen des Datenschutzniveaus im Abstand von drei Jahren.
Die Vorschläge des EDSA betreffen unter anderem die Vorschriften zur Massendatenerfassung von aus der EU stammenden Daten durch US-Geheimdienste, die auch nach dem Abkommen wahl- und unterschiedslos sowie ohne Richtervorbehalt möglich bleiben soll.
Zwar sieht der US-Erlass vor, dass Datenzugriffe durch US-Geheimdienste nur zu bestimmten nationalen Sicherheitszielen erfolgen dürfen und bestimmt gleichzeitig Löschpflichten. Viele der definierten Zwecke können jedoch sehr weit ausgelegt werden. So ist die Erfassung von Daten zur Verfolgung von transnationalen Gefahren, die die “global security” beeinflussen, zulässig. Auch die Erfassung von Daten dem Schutz vor fremden Militäraktivitäten (“protecting against foreign military […] activities”) oder dem Schutz vor Bedrohungen des Personals der USA (“protecting against threats to the personnel of the United States”), stellen ein legitimes Ziel für Datenzugriffe durch US-Geheimdienste dar. Durch diese weiten, nicht näher konkretisierten Begriffe besteht die Gefahr, dass der im US-Erlass genannte Grundsatz der „minimization“, die Speicherung von so wenig Daten wie möglich, in der Praxis leerlaufen könnte.
Der US-Erlass verlangt bei Datenzugriffen stets die Verhältnismäßigkeit zwischen den verfolgten Zwecken und den Auswirkungen auf die Privatsphäre der von den Zugriffen betroffenen Personen zu wahren. Dies ist eine Reaktion auf die Kritik des EuGHs. Jedoch schweigt der US-Erlass zur Definition der Verhältnismäßigkeit und damit zum Prüfungsmaßstab der US-Behörden. Es kann insofern noch nicht abgeschätzt werden, wie die US-Behörden die Verhältnismäßigkeit prüfen und ob der EuGH damit die Anforderungen, die er im Urteil „Schrems II“ aufgestellt hat, als erfüllt ansieht.
Das zu etablierende zweistufige Rechtsbehelfssystem, welches die Anforderungen des EuGHs erfüllen soll, ist ebenfalls nicht frei von Kritik. Das neue Rechtsbehelfssystem sieht im Wesentlichen vor, dass die EU-Bürger ihre Beschwerden über die Datenaufsichtsbehörden in die USA übermitteln. Dort erfolgt durch die Sicherheitsdienste eine erste Prüfung auf Verstöße gegen das US-Recht. Diese Einschätzung kann in einem zweiten Schritt vor einem Datenschutzüberprüfungsgericht überprüft werden. Dieses neu einzusetzende Gericht untersteht dem US-Generalstaatsanwalt, welcher in Absprache mit den US-Sicherheitsbehörden das Gericht mit erfahrenen Datenschutzrechtlern als Richtern besetzen soll.
Der EDSA spricht von erheblichen Verbesserungen in Bezug auf eine größere Unabhängigkeit des Rechtsbehelfssystems im Vergleich zum Vorgängerabkommen. Gleichzeitig äußert er Bedenken, dass es keine Möglichkeit gibt, das Ermittlungsergebnis zu erfahren. Rechtsschutz Suchenden wird lediglich mitgeteilt, dass entweder kein Verstoß gegen US-Recht feststellbar war oder, wenn ein Verstoß festgestellt werden konnte, Abhilfe geschaffen wurde. Dieser Prozess mag eine Verbesserung zum Vorgängerabkommen darstellen, jedoch bleibt er intransparent.
Stehen wir vor Schrems III?
Der österreichische Rechtsanwalt und Datenschützer Max Schrems, der in beiden EuGH-Verfahren zu den Vorgängerabkommen – auch bekannt als „Schrems I“ und „Schrems II“ – als Kläger auftrat, stellte bereits eine Klage in Aussicht. Er vermutet bezüglich des jüngsten Entwurfs einen weiteren „eklatanten Verstoß gegen unsere [EU-]Grundrechte“ und dass der Angemessenheitsbeschluss „einer Anfechtung vor dem [EuGH] nicht standhalten wird“. Max Schrems vertritt die Ansicht, dass das Datenschutzüberprüfungsgericht vollständig der Exekutive unterstellt, und damit kein vom EuGH gefordertes unabhängiges Gericht sei.
Was bedeutet das für Unternehmer?
Für Unternehmen ist die Frage, ob das neue Abkommen den EU-Standards genügt, nicht nur relevant, weil die Nutzung grenzüberschreitender digitaler Infrastrukturen zunimmt, sondern auch weil Unternehmen auf diese Datenverarbeitungsprozesse zumindest teilweise angewiesen sind. Gleichzeitig sind Verstöße gegen die DSGVO dringend zu vermeiden, weil diese Sanktionen wie empfindliche Bußgelder zur Folge haben können.
Für die Nutzung von Datenverarbeitungen in Drittländern, für die ein Angemessenheitsbeschluss nicht vorliegt, wie den USA, sind Unternehmen auf alternative DSGVO-Instrumente angewiesen. Unternehmen bewegen sich also in keinem Rechtsvakuum. Die Implementierung dieser Instrumente, um der DSGVO gerecht zu werden, wie etwa die Verwendung von Standardvertragsklauseln, ist jedoch sehr zeit- und kostenintensiv.
Wie geht es weiter?
Wie die Stellungnahme des EDSA und die Äußerung von Max Schrems deutlich zeigen, bestehen bereits jetzt große Zweifel an der Rechtmäßigkeit des EU-US DPF in seiner aktuellen Fassung. Die aktuellen Entwicklungen zeigen jedoch auch einen deutlichen politischen Willen zur Umsetzung eines solchen Abkommens. Sollte der Entwurf in der derzeitigen Fassung umgesetzt werden, ist absehbar, dass dieser erneut vor dem EuGH verhandelt werden wird. Der EuGH und der EDSA haben den Verhandlungsparteien jedoch konkrete Vorgaben an die Hand gegeben, die sie berücksichtigen sollten. So oder so sind alle Augen jetzt auf die EU-Kommission gerichtet.
