Neue Entwicklungen zu Datentransfers an US-Dienstleister

13.01.2023  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

In Sachen Datentransfers vom EU-Ausland in die USA ergeben sich Neuerungen. Fast jedes Unternehmen hat mit US-Firmen zu tun, die im Land des digitalen Weltmarktführers residieren.

Daraus entstehen, seit dem Fall des Privacy Shield, bei der transatlantischen Verarbeitung personenbezogener Daten kaum zu lösende, datenschutzrechtliche Probleme. Hierzu wirft Rechtsanwalt Rolf Becker, Partner bei Wienke & Becker – Köln, einen Blick auf den Stand der Dinge. Was folgt nach Executive Order und kommenden Angemessenheitsbeschluss der EU-Kommission?

Biden und die Executive Order

Anfang Oktober 2022 hat US-Präsident Biden die “Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” erlassen. Dabei geht es um die Rechtsgrundlage für US-Datentransfers nach dem neuen „Trans-Atlantic Data Privacy Framework“, auf das sich EU-Kommission und USA im März 2022 geeinigt hatten. Bis heute fehlt es an einer einfach handhabbaren tragfähigen Grundlage für US-Datentransfers, nachdem der Europäische Gerichtshof im Juli 2020 in der bekannten Schrems II Entscheidung das sog. Privacy Shield Abkommen gekippt hatte. Die USA boten aus Sicht der EU-Richter auch über dieses Abkommen kein angemessenes Datenschutzniveau und deshalb sei der darauf basierende Beschluss der Europäischen Kommission zur Angemessenheit des Niveaus ungültig. Ein maßgeblicher Punkt für das Urteil waren die ausufernden Zugriffsrechte der US-Geheimdienste ohne ausreichende Rechtsschutzmöglichkeiten für Betroffene.

Executive Order

Die Executive Order mit Gesetzesrang soll als neuer Baustein des Datenschutzes den Spielraum der US-Behörden, insbesondere der Nachrichtendienste, beschränken auf verhältnismäßige Eingriffe für Zwecke der nationalen Sicherheit („erforderliche „necessary“ und angemessene „proportionate“ Fälle). Dabei soll die Datenverarbeitung auf ein notwendiges Minimum reduziert werden. Allerdings bleibt die Massenüberwachung („bulk surveillance“) ausdrücklich zugelassen. Ausgerichtet auf die Hauptbedenken der europäischen Richter wird ein zweistufiger Rechtsschutz für betroffene EU-Bürger implementiert. Sie können über eine Aufsichtsbehörde indirekt Beschwerde beim behördeninternen Datenschutzbeauftragten einlegen und bei Nichtabhilfe das neue „Data Protection Review Court“ (Datenschutzprüfungsgericht) anrufen. Letzteres ist allerdings nach Verordnung vom Justizminister eingerichtet und eher der Exekutive zuzurechnen, als einer unabhängigen Gerichtsbarkeit eines Staates. Allerdings ist eine detaillierte Benachrichtigung über das Verfahren nicht vorgesehen. Man erfährt nur, dass keine Verstöße festgestellt wurden und keine Abhilfemaßnahmen erforderlich waren.

Frühjahr 2023: Neuer Angemessenheitsbeschluss als nächster Schritt

Die EU-Kommission sieht sich jetzt auf dieser Basis aufgerufen, im Rahmen eines entsprechenden Verabschiedungsverfahrens einen neuen Angemessenheitsbeschluss zu erlassen, auf den sich Unternehmen bei US-Datentransfers stützen können. Das wird allerdings noch bis ins Frühjahr 2023 dauern. Bereits am 13.12.2022 veröffentlichte die Kommission dazu bereits einen Entwurf. Der Text wurde dem Europäischen Datenschutzausschuss (EDSA) vorgelegt.

Didier Reynders, Kommissar für Justiz:

„In den vergangenen Monaten haben wir den amerikanischen Rechtsrahmen, der durch das US-Dekret geschaffen wurde, in Bezug auf den Schutz personenbezogener Daten bewertet. Wir gehen nun mit Zuversicht zum nächsten Schritt des Annahmeverfahrens über. Unsere Analyse hat ergeben, dass in den USA jetzt strenge Garantien bestehen, die eine sichere Übermittlung personenbezogener Daten zwischen den beiden Seiten des Atlantiks ermöglichen.“

Zudem wird der europäische Datenschutzausschuss dann dazu Stellung nehmen.

Neue Standardvertragsklauseln abschließen und TIA durchführen bzw. anpassen

Kaum ein Unternehmen kommt ohne Datentransfers in das Land des weltweiten digitalen Markführers bei Internetdiensten aus. Ohne Angemessenheitsbeschluss müssen als Vertragsgrundlage die aktuellen Standardvertragsklauseln (prüfen Sie, ob Sie wirklich die aktuellen sog. SCC nutzen; vgl. z. B. hier) herhalten. Dabei handelt es sich um ein vorgegebenes Vertragswerk für differenzierte Zwecke, welches jeweils den Datenschutz sicherstellen soll. Zudem muss jedes Unternehmen zu solchen Datentransfers in die USA ein Transfer Impact Assessment (TIA) durchführen. Nach Klausel 14 des SCC erklären und versichern die beteiligten Unternehmen einander, keine Hinderungsgründe für den Datentransfer erkannt zu haben. Dazu muss im Rahmen einer eigenen Analyse des Einzelfalls eine Beurteilung mit einer regelmäßig erneuerten Risikobewertung für die angestrebten Datenübermittlungen erfolgen. Es gibt dazu keine offiziellen Muster, aber Unternehmen sind gut beraten, hierzu standardisierte Prozesse vorzuhalten. Im Zweifel wird eine Datenschutzbehörde Ihr TIA bei einer Untersuchung anfordern. Darin dürfte es meist schwerfallen, vor dem Urteil des EuGH zu einem positiven Ergebnis bei der Beurteilung der staatlichen Eingriffsbefugnisse in den USA zu kommen.

Executive Order für Aktualisierung TIA nutzen

Unternehmen sollten die neue Executive Order in die Risikobetrachtung bei der Betrachtung der rechtlichen Bestimmungen im Bestimmungsland im jeweiligen TIA unbedingt einfließen lassen.

Behörden sind zurückhaltend

Der LfDI Baden-Württemberg beklagt in einer Stellungnahme vom 22.10.2022, dass die Executive Order (E.O.) als interne, vom EU-Bürger nicht einklagbare, Anweisung vom nächsten Präsidenten auch schon wieder aufgehoben werden könnte und kritisiert die Rechtsbehelfe („Effektiver Rechtsschutz sieht anders aus.“), Die Behörde begrüßt die Order als Schritt aus der „inakzeptablen Rechtsunsicherheit, …in welche der EuGH unserer Unternehmen geführt hat“.

Die Datenschutzbehörde Hamburg sieht in ihrer als Antwort auf Baden-Württemberg zu sehenden Stellungnahme vom 29.11.2022 in der E.O. Garantien für europäische Bürger, spricht von einem „probaten Regelungsinstrument in den USA für exterritoriale Anordnungen“, einem „effektiven Rechtsschutz“ und hält „reflexhafte und pauschale Kritik“ für „unangebracht“.

Fazit

Insgesamt ist die Executive Order ein Schritt in die richtige Richtung. Zu kritisieren bleibt die unverständliche Intransparenz der Beschwerdeverfahren in einem Rechtsstaat. Vermutlich wird die EU-Kommission einen Angemessenheitsbeschluss fassen, begleitet von datenschutzrechtlicher Kritik, je nachdem, ob Vorbehalte im Beschluss angemessen Ausdruck finden. Damit wird es erst einmal wieder für europäische Unternehmen leichter werden, US-Dienstleister einzusetzen. Das letzte Wort dürfte aber erneut der EuGH behalten, denn Schrems steht mit seiner Organisation noyb bereits in den Startlöchern.

Max Schrems:

"Wir werden den Entscheidungsentwurf in den nächsten Tagen im Detail analysieren. Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen."

Unternehmen sind gut beraten, jetzt ihre TIA anzupassen.

Bild: Pixabay (Pexels, Pexels Lizenz)

nach oben