Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU und den USA angenommen. Damit hat die EU die notwendigen Voraussetzungen für den künftigen Datentransfer personenbezogener Daten aus der EU in die USA geschaffen. Der Schutz personenbezogener Daten werde nun in den Vereinigten Staaten in vergleichbarem Rahmen gewährleistet, wie dies in der EU der Fall ist, so die Kommission. Einzige zusätzliche Voraussetzung ist die Selbstzertifizierung der jeweiligen US- amerikanischen Organisationen, registriert durch das Department of Commerce.

Diese Aussage sorgt unter Datenschützern für Skepsis. Dies ist bereits der dritte Angemessenheitsbeschluss zwischen der europäischen Union und den Vereinigten Staaten. Das „Safe Harbour“-Abkommen (2000-2015) und der „Privacy Shield“ (2016-2020) gingen dem EU-US Data Privacy Framework voraus. Diese Angemessenheitsbeschlüsse wurden vom europäischen Gerichtshof für ungültig erklärt. Der bekannte Datenschutzaktivist Max Schrems zog in beiden Angelegenheiten vor Gericht und veranlasste durch die inzwischen unter seinem Namen bekannten Urteile „Schrems I“ und „Schrems II“ die Aufhebung dieser Angemessenheitsbeschlüsse.

Zentraler Kritikpunkt war stets die hoch invasive Überwachung von Daten durch die US-Behörden. Der „Foreign Intelligence Surveillance Act“ (FISA) sowie „Executive Order 12.333“ und die dadurch legitimierten, undurchsichtigen Überwachungsvorgänge durch die NSA standen schon damals der Gleichwertigkeit des US-amerikanischen Datenschutzniveaus entgegen. Art. 52 GRCh erlaubt den Eingriff in die anerkannten Rechte und Freiheiten, unter die auch der Schutz personenbezogener Daten fällt, nur unter der Maßgabe der Verhältnismäßigkeit. Diese ist bei so umfassenden Eingriffsmöglichkeiten ohne konkreten Anlass jedenfalls nicht gewährleistet gewesen. Vor allem, da FISA eine Überwachung ohne einen Gerichtsbeschluss oder „probable cause“ gestattet, wurde eine Gleichwertigkeit des Schutzes schlussendlich in beiden Fällen vom EuGH verneint. Ebenfalls konnte das in Art. 47 GRCh verankerte Recht auf wirksamen gerichtlichen Rechtsschutz durch die damalig eingesetzte „Ombudsperson“, eine Schiedsperson, bei Streitigkeiten um die Rechtmäßigkeit der Datenverarbeitung nicht gewährleistet werden.

Was hat sich nun also geändert?

Diese beiden großen Kritikpunkte wurden zur Kenntnis genommen. Infolgedessen erließ Präsident Biden einen neuen Executive Order 14086, um das dortige Datenschutzniveau an das europäische anzugleichen. Dabei handelt es sich zwar nicht um ein Parlamentsgesetz. Executive Orders entfalten dennoch gesetzliche Wirkung. Dieser Executive Order modifiziert die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten insoweit, dass die Verarbeitung „proportionate“, also verhältnismäßig, sein muss. So heißt es dort:

“signals intelligence activities shall be conducted only to the extent and in a manner that is proportionate to the validated intelligence priority for which they have been authorized.”

Doch EO 14086 ist kein europäisches Recht. Was der unbestimmte Rechtsbegriff der Verhältnismäßigkeit nach Ansicht der europäischen und US-amerikanischen Gerichte bedeutet, kann entscheidend voneinander abweichen. Dass eine harmonische Beurteilung dieses Begriffs jedenfalls in Zweifel zu ziehen ist, macht auch der spätere Wortlaut deutlich:

“Provided the signals intelligence collection is conducted consistent with and in the manner prescribed by this section of this order, this order does not limit any signals intelligence collection technique authorized under […] FISA.“

Sofern die bisherige Überwachung unter FISA also durch die USA als verhältnismäßig eingeschätzt wird, hat sich nicht viel geändert. Ob diese Neuerungen letztendlich den gleichen Schutz für personenbezogene Daten wie innerhalb der EU bedeutet, bleibt daher abzuwarten. Jedenfalls hat noyb, der Datenschutzverein um Max Schrems, bereits angekündigt auch gegen diesen Angemessenheitsbeschluss vorgehen zu wollen und diesen Aspekt erneut als einen der Hauptkritikpunkte benannt.

Auch der gewählte Lösungsansatz zur Gewährleistung wirksamen Rechtsschutzes bei Datenschutzverstößen in den Vereinigten Staaten bedarf näherer Untersuchung. Nicht US-Bürger können sich vor dortigen nationalen Gerichten nicht auf die europäischen oder US-amerikanischen Grundrechte berufen. Dahingehend trifft EO 14086 keine abweichende Regelung. Um der Kritik an der Schiedsperson abzuhelfen, wurde daher ein neues System entwickelt, welches diese ersetzt. Nun soll ein zweistufiger Apparat aus „Civil Liberties Protection Officer“ (CLPO) und „Data Protection Review Court“ (DPRC) wirksamen Rechtsschutz gewährleisten. So sollen Beschwerden zunächst dem CLPO angetragen werden, dessen Antwort jedoch bereits normiert ist:

“The CLPO shall after the review is completed, inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that the review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation”

Es wird der betroffenen Person mithin nur mitgeteilt, ob ein Verstoß festgestellt wurde und wenn dies der Fall ist, dass angemessene Maßnahmen getroffen wurden. Nähere Informationen werden nicht bereitgestellt. In einem zweiten Schritt kann die Entscheidung des CLPO zur Überprüfung vor den DPRC angetragen werden. Der DPRC kann die Entscheidung des CLPO zwar aufheben, ist aber an denselben Wortlaut in der Beantwortung gebunden. Hinzu kommt, dass der DPRC als Teil des Justizministeriums, also als Teil der Exekutive, eingerichtet ist. Es bleibt anzuzweifeln, ob dies dem geforderten judikativen Schutzniveau des Art. 47 GRCh genügen kann. Bereits im Februar, im Vorlauf des Angemessenheitsbeschlusses, äußerte das European Data Protection Board dahingehende Kritik. Dennoch entschied sich die Kommission für den Angemessenheitsbeschluss.

Wie geht es nun weiter?

Datenübermittlung in die USA ist damit im Rahmen des Art. 45 DSGVO möglich, solange diese an eine zertifizierte Organisation erfolgt. Diese können sich durch das Ausfüllen eines entsprechenden Formulars auf der Seite des Department of Commerce selbst zertifizieren. Die Kontrolle, dass die geforderten Schutzbestimmungen nach der Zertifizierung eingehalten werden, obliegt dem Department of Commerce. Um sicherzugehen, dass die Datenübermittlung nur an entsprechende Organisationen erfolgt, kann hier eingesehen werden, welche Organisationen sich bereits unter dem Data Privacy Framework selbst zertifiziert haben.

Für die nahe Zukunft bleibt abzuwarten, inwieweit die Interpretation der Verhältnismäßigkeit vor US-amerikanischen Gerichten sich mit der europäischen deckt und ob das neue zweistufige Beschwerdesystem innerhalb der Exekutive wirksamen Rechtsschutz entsprechend Art. 47 GRCh gewährleistet. Auch wenn ein gleiches Schutzniveau keine Identität des Schutzes bedeuten muss, wie die Kommission zu Anfang des Angemessenheitsbeschlusses betont, so ist doch auch dieses schon berechtigterweise in der Kritik.

Insgesamt wirft das EU-US Data Privacy Framework noch zu viele ungeklärte Fragen, insbesondere in der praktischen Umsetzung, auf, um bedenkenlos personenbezogene Daten in die USA zu übermitteln. Innerhalb des nächsten Jahres wird die Kommission selbst erneut evaluieren, ob das US-amerikanische Schutzniveau sich als gleichwertig beweisen konnte. Bis zu dieser Entscheidung ist jedenfalls noch angemessene Vorsicht geboten. Um ein ausreichendes Schutzniveau herzustellen, können weiterhin Standardvertragsklauseln entsprechend Art. 44 DSGVO mit US-Unternehmen abgeschlossen werden.

Können wir helfen?

Wenn Sie Probleme mit der Datenübermittlung in die Vereinigten Staaten in Ihrem Unternehmen haben oder Beratung in diesem Bereich benötigen, sprechen Sie uns gerne an! Unsere Kanzlei berät Sie gerne bei allen rechtlichen Fragen rund um die Datenübermittlung in Drittländer. Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.