Weiterer Schritt auf dem Weg zum neuen EU-U.S. Data Privacy Framework
Es gibt Hoffnung auf mehr Rechtssicherheit in transatlantischen Datentransfers: Am 7. Oktober 2022 hat US-Präsident Joe Biden die lang erwartete Executive Order (E.O.) unterzeichnet, welche die Basis für eine Neubeurteilung der Angemessenheit des US-Datenschutzniveaus bildet. Die E.O. sieht die Implementierung neuer Safeguards für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten und insbesondere die Einführung eines zweistufigen Abhilfeprozesses für Betroffene vor. Durch die Unterzeichnung setzen die USA die Ankündigung des im März 2022 mit der EU-Kommission geschlossenen „Agreements in Principle for a Trans-Atlantic Data Privacy Framework“ um.
Inhalte der Executive Order
Die Vereinigten Staaten hatten sich darin zu Reformen zum Schutz der Privatsphäre im Rahmen geheimdienstlicher Aufklärung verpflichtet und schafft infolgedessen mit der E.O: konkrete Sicherheitsmaßnahmen und Beschränkungen für das Tätigwerden von US-Nachrichtendiensten.
Nachrichtendienste sollen unter Nutzung von Fernmelde- und elektronischer Aufklärung (signals intelligence) nur noch zu in der E.O. aufgezählten nationalen Sicherheitszielen, unter Abwägung mit der Privatsphäre aller betroffenen Personen (unabhängig von Staatsangehörigkeit und Wohnsitz) und auch nur dann tätig werden, wenn die Aufklärung in ihrem konkreten Umfang notwendig ist, um einen legitimen Geheimdienstzweck zu erreichen.
Von besonderem Interesse wird wohl die Schaffung des mehrstufigen Abhilfemechanismus für Betroffene sein, da die vorherige, in Form eines Ombudsmanns eingerichtete Beschwerdestelle auf Grund ihrer direkten Verbindung zur US-Regierung und nicht vorhandener Investigationsbefugnisse gegenüber den Nachrichtendiensten als unzureichend galt. Die E.O. sieht nunmehr die Einrichtung eines mehrstufigen Mechanismus vor, um eine unabhängige und unverbindliche Überprüfung von „qualifizierten“ Beschwerden gegen die Datenverarbeitung durch US-Geheimdienste sicherzustellen.
Konkret sieht der Beschwerdemechanismus in einer ersten Stufe eine erste Überprüfung einer behaupteten Rechtsverletzung und die Bestimmung geeigneter Abhilfemaßnahmen durch den Civil Liberties Protection Officer of the Director of National Intelligence (CLPO) vor. Dessen Entscheidungen sind, vorbehaltlich der zweiten Stufe, für die Nachrichtendienste bindend. Die zweite Stufe sieht die Zuständigkeit eines neuen Data Protection Review Courts (DPRC) vor, welches auf Antrag die Entscheidung der ersten Stufe überprüfen kann. Dazu steht den Richtern das Recht zu, bei Beschwerden von EU-Bürgern zu ermitteln, Informationen von den Nachrichtendiensten zu verlangen und schließlich für die Nachrichtendienste bindende Entscheidungen zu treffen. Die Einrichtung dieses Gerichts wurde bereits durch den zuständigen Generalstaatsanwalt per Verordnung vom 07.10.2022 veranlasst.
Daneben sieht die E.O. als weiteren Kontrollmechanismus die Überprüfung der Geheimdienste sowie für ein jährliches Review des Abhilfeverfahrens durch das „Privacy and Civil Liberties Oversight Board (PCLOB)“ als Aufsichtsbehörde vor. Zudem werden Nachrichtendienste werden verpflichtet, ihre Richtlinien und Verfahren in Konsultation mit Generalstaatsanwalt, dem CLPO und the Privacy and Civil Liberties Oversight Board („PCLOB“) anzupassen, um die durch die E.O. aufgestellten Safeguards umzusetzen.
Erster Schritt in Richtung eines neuen Angemessenheitsbeschlusses
Auch wenn die lang erwartete Unterzeichnung der E.O. durch Biden ein erster Schritt in Richtung Erleichterung transatlantischer Datentransfers ist, hat allein das Tätigwerden der amerikanischen Regierung keinen Einfluss auf die aktuelle Rechtslage. Diese wird sich auch perspektivisch vor Ablauf des Jahres und bis in das erste Halbjahr 2023 hinein nicht ändern, denn die Kommission prüft nun zunächst auf Grundlage der neu geschaffenen Rechtslage, ob die Vereinigten Staaten damit ein dem EU-Datenschutz angemessenes Schutzniveau bieten.
Zwar befindet sich der Angemessenheitsbeschluss bereits in der Entwurfsphase, diesen erwartet nach umfassender Prüfung durch die Kommission jedoch noch eine Reise durch weitere EU-Institutionen: Nachdem der Europäische Datenschutzausschuss (EDSA) Möglichkeit zur Stellungnahme bekommen hat, beginnt das förmliche Prüfverfahren zum endgültigen Beschluss der Angemessenheit durch den Erlass eines entsprechenden Durchführungsrechtsakts. Im Rahmen des sogenannten Komitologieverfahrens wird ein Ausschuss bestehend aus Vertretern der Mitgliedsstaaten gebildet, der den Angemessenheitsbeschluss-Vorschlag prüft und eine Stellungnahme verfasst. Im Falle einer ablehnenden Stellungnahme besteht die Möglichkeit der Überarbeitung des Entwurfs durch die Kommission. Andernfalls erlässt die Kommission den Durchführungsrechtsakt.
Gleichzeitig ist bereits jetzt mit Klagen gegen den künftigen Angemessenheitsbeschluss zu rechnen: Die von Max Schrems gegründete NGO „noyb“ ist der Ansicht, dass auch die E.O. der Vereinigten Staaten den Anforderungen des EU-Rechts nicht entspricht, und hat angekündigt, hiergegen im Klagewege vorzugehen.
Aktuelle Auswirkungen und Ausblick
Mit diesem Erlass würde die Rechtssicherheit hinsichtlich transatlantischer Datenübermittlungen wesentlich steigen: personenbezogene Daten könnten auf Grundlage des Angemessenheitsbeschlusses ungehindert zwischen Datenverarbeitern in der EU und den Vereinigten Staaten ausgetauscht werden. Neben den Geheimdiensten werden aber auch US-Unternehmen, die aus Europa übermittelte Daten verarbeiten, in die Pflicht genommen: um von den Vorteilen des Trans-Atlantic Privacy Frameworks zu profitieren, muss eine Selbstzertifizierung beim U.S. Department of Affairs abgelegt werden.
Auch wenn die Feststellung der Angemessenheit wohl erst 2023 erfolgt: Die durch die Executive Order aufgestellten Safeguards existieren ab sofort. Ein Transfer Impact Assessment für Datenübermittlungen in die Vereinigten Staaten kann nunmehr einfacher durchgeführt werden.
Aktuelle Vorgaben zu Übermittlungen von personenbezogenen Daten in die Vereinigten Staaten fort: diese sind nach wie vor nur vorbehaltlich geeigneter Garantien gemäß Art. 46 DSGVO zulässig. Die bekannten Standardvertragsklauseln (SCCs) sind weiterhin in Auftragsverarbeitungsverträge einzubeziehen. Auch ist eine Umstellung auf die „neuen“ SCCs bis zum 27.12.2022 und die Durchführung des damit einhergehenden Transfer Impact Assessments (TIA) weiterhin geboten.