IT & Datenschutz
Vorheriger Beitrag

Das European U.S. Data Privacy Framework kommt – aber führt es auch zu einem neuen Angemessenheitsbeschluss für die USA?

17. Oktober 2022 von Robert Faußner, M.A.

Europäische und US-amerikanische Unternehmen warten dringend auf eine Nachfolgeregelung zum Privacy Shield, und somit auf eine Rechtsgrundlage für einen erleichterten Transfer personenbezogener Daten in die USA.

Nach langen Verhandlungen zwischen der Europäischen Union und den USA (Blogbeitrag vom 04.04.2022), hat US-Präsident Joe Biden nun am 07.10.2022 eine sogenannte Executive Order unterzeichnet. Dabei handelt es sich um eine Durchführungsverordnung mit Gesetzesrang zur Regelung bestimmter Sachverhalte, die ohne Zustimmung des US-Kongresses Rechtswirkung entfaltet.

Die mit dem European U.S. Data Privacy Framework (EU-U.S. DPF) in Zusammenhang stehende Executive Order dient dem Zweck, der EU-Kommission die Einleitung des Verfahrens zur Erteilung eines Angemessenheitsbeschluss zu ermöglichen. In einem solchen stellt die EU-Kommission fest, dass personenbezogene Daten in einem bestimmten Drittland (= Land außerhalb der EU bzw. des EWR), einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen.

Durch einen Angemessenheitsbeschluss für die USA soll der Transfer personenbezogener Daten von der EU in die USA erleichtert, aber vor allem datenschutzkonform ermöglicht werden.

Mit der Verkündung eines entsprechenden Angemessenheitsbeschlusses ist vermutlich zum ersten bzw. zweiten Quartal des Jahres 2023 zu rechnen.

1. Inhalt der Executive Order

Nach einer durch das Weiße Haus verlautbarten Pressemitteilung, beinhaltet die Executive Order folgende wesentliche Inhalte:

  • Zugriffsbeschränkungen gegenüber US-Geheimdiensten. Die Executive Order garantiert, dass diese nur noch in dem Umfang auf Daten zugreifen können, welcher für den Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
  • Aktualisierungspflicht der US-Geheimdienste ihrer Strategien und Verfahren, um die in der Executive Order enthaltenen neuen Garantien für den Schutz der Privatsphäre zu berücksichtigen.
  • Einführung eines mehrstufigen Prozesses mit dem EU-Bürger eine unabhängige und verbindliche Überprüfung sowie Rechtsmittel garantiert wird. Grundlage dieses Prozesses ist die Feststellung eines „Datenschutzverstoßes“ durch die US-Behörden, indem diese unter Verstoß gegen geltendes US-Recht personenbezogene Daten verarbeiten.

2. Datenschutzrechtliche Bewertung des European U.S. Data Privacy Framework

Aus dem Blickwinkel europäischer Datenschützer und Datenschutz-Aufsichtsbehörden dürften zu Recht Zweifel an der Rechtssicherheit des European Union U.S. Data Privacy Framework bestehen, da die Executive Order jederzeit durch einen US-Präsidenten aufgehoben werden kann, wodurch auch dem EU-U.S. DPF seine rechtliche Grundlage entzogen wäre. Zudem gilt es in der praktischen Umsetzung erst noch zu prüfen, wie es mit der, durch die US-Regierung signalisierten, Bereitschaft zur Wahrung der Privatsphäre bzw. des Datenschutzrechts von EU-Bürgern tatsächlich bestellt ist und inwiefern bei einem Festhalten an den derzeitigen US-Sicherheitsgesetze (CLOUD Act, FISA 702 & EO 12333) ein der EU vergleichbares Datenschutzniveau erreicht werden kann.

Es sind unter anderem diese Faktoren, die Zweifel zulassen, ob das EU-U.S. DPF den Anforderungen des Europäischen Datenschutzrechts mit seinem hohen Datenschutzniveau gerecht werden kann. Sollte dies nicht der Fall sein, droht dem EU-U.S. DPF die Beendigung durch den EuGH in Form eines  „Schrems III“ Urteils und somit das gleiche Schicksal wie es auch das Privacy Shield in Schrems II ereilt hat.

3. Wie geht es nun weiter?

Zunächst wird die EU-Kommission einen Entwurf der Angemessenheitsfeststellung veröffentlichen. Die EU-Kommission prüft in diesem Zusammenhang insbesondere diejenigen Faktoren, welche nach dem europäischen Wertesystem für die Umsetzung eines effektiven Datenschutzes erforderlich sind.

  • Nach der nicht abschließenden Aufzählung des Art. 45 Abs. 2 DS-GVO zählt zu diesen Faktoren vor allem:
  • Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Grundfreiheiten,
  • Regelungen zur Weiterübermittlung von Daten an andere Drittländer,
  • Vorhandensein unabhängiger Aufsichtsbehörden sowie
  • Drittstaat eingegangene Verpflichtungen in Bezug auf personenbezogene Daten

Im Nachgang muss eine Stellungnahme der Europäischen Datenschutzausschusses und ein positives Votum der Mitgliedstaaten eingeholt werden.  

Erst nach diesem Verfahren, welches bis zu sechs Monaten in Anspruch nehmen kann, wäre die EU-Kommission in der Lage den neuen Angemessenheitsbeschluss anzunehmen. Hiermit ist im ersten ggf. erst im zweiten Quartal des Jahres 2023 zu rechnen.