Internationaler Datentransfer nach Schrems II:
Executive Order des US-Präsidenten ist ein wichtiger Schritt, der aber viele Fragen offenlässt
LfDI Dr. Stefan Brink: „Dass die US-Regierung im Hinblick auf das Datentransfer-Abkommen aktiv wird, ist ein wichtiger Schritt in die richtige Richtung. Um Europa langfristig nicht als wichtigen Handels- und Unternehmenspartner zu verlieren, muss sich die USA auf die Europäische Kommission und die europäischen Datenschutzgrundsätze zubewegen. Die Regelungen der Executive Order lassen jedoch erhebliche Defizite erkennen.“
US-Präsident Biden hat am 7. Oktober eine Executive Order (Durchführungsverordnung) erlassen, welche die angekündigte Grundsatzvereinbarung zum Datentransfer zwischen den USA und der EU in US-Recht umsetzen soll. Darin werden die Anforderungen des Europäischen Gerichtshofs aus dem sogenannten Schrems II-Urteil adressiert, indem unter anderem der weitreichende Zugriff auf Daten im Rahmen der nationalen Sicherheit sowie das Beschwerde- und Rechtsbehelfsverfahren angepasst wurden.
Der LfDI BW begrüßt grundsätzlich, dass die US-Regierung im Hinblick auf das Datentransfer-Abkommen aktiv wird. Ein tragfähiges Abkommen sei insbesondere für exportorientierte europäische Unternehmen und für alle, die US-amerikanische Dienstleister einsetzen, dringend notwendig, so LfDI Brink. Das Urteil des Europäischen Gerichtshofs habe bei vielen deutschen und europäischen Unternehmen zu einer Rechtsunsicherheit geführt, und wenn die US-Unternehmen nicht auf den wichtigen und starken europäischen Markt verzichten wollten, müsste die US-Regierung die europäische Rechtsprechung nachvollziehen und sich auf die europäischen Regeln einlassen.
LfDI Brink sieht trotz der erfreulichen Entwicklung und dem Erlass der Executive Order erhebliche rechtliche Unklarheiten. Hierzu gehören:
– Es stellt sich die Frage, inwieweit eine Executive Order überhaupt ein wirksames Instrument zur Umsetzung der Anforderungen der Datenschutz-Grundverordnung DS-GVO sein kann. Sie stellt eine interne Anweisung an Regierung und nachgeordnete Behörden dar und ist kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz.
– Die Einhaltung einer bloßen Executive Order ist insbesondere für EU-Bürger_innen nicht einklagbar.
– Zudem ist nicht klar, wie sich die Executive Order zu anderen bestehenden US-Regulierungen wie dem Cloud Act verhält.
– Die jetzt enthaltenen Beschränkungen von Datenverarbeitungen auf erforderliche und angemessene Fälle wirken zwar wie ein Zugeständnis im Sinne des europäischen Verhältnismäßigkeitsprinzips – jedoch ist die Auslegung des Rechtsbegriffs der Verhältnismäßigkeit in Europa und den USA unterschiedlich, sodass unklar bleibt, wann aus Sicht der USA ein Zugriff für die nationale Sicherheit zulässig bleibt.
– An die Einreichung einer Beschwerde von EU-Bürger_innen werden erhebliche Anforderungen gestellt. Es werden Mindestangaben aufgeführt, die erfüllt sein müssen, sodass ein Aussieben „unerwünschter“ Beschwerden möglich bleibt.
– Beschwerdeführer_innen werden zudem ausdrücklich nicht darüber informiert, ob sie Gegenstand von nachrichtendienstlichen Aktivitäten der US-Behörden waren, sondern erhalten lediglich eine standardisierte Mitteilung, die besagt, dass die Überprüfung ihrer Beschwerde abgeschlossen ist. Derselbe Wortlaut ist für eine nachfolgende Entscheidungen des „Gerichts“ vorgegeben.
– Dieser Data Protection Review Court wird nach der Verordnung des Justizministers innerhalb seines Ressorts eingerichtet. Er dürfte damit der Exekutive zuzurechnen sein, was seiner (richterlichen) Unabhängigkeit entgegensteht.
Der Europäische Gerichtshof hatte zudem nicht nur Rechtsbehelfe gegen ein staatliches Ausspähen verlangt, sondern die Beendigung dieser anlasslosen Überwachung selbst. Davon kann aber derzeit nicht ausgegangen werden; der vom Gericht geforderte Systemwechsel findet nicht statt.
Der Landesbeauftragte Brink: „Die Europäischen Kommission wird nun zu entscheiden haben, ob ein der Sache nach gleichwertiger Schutz der personenbezogenen Daten in den USA gegeben ist. Fraglich ist bereits, ob die Kommission allein auf Grundlage der Executive Order überhaupt in der Lage ist, das Datenschutzniveau in den USA neu zu bewerten und einen Angemessenheitsbeschluss zu erlassen. Die Vielzahl der noch zu klärenden offenen Fragen lässt Zweifel daran aufkommen. In dieser elementaren Datenschutzfrage brauchen die Bürger_innen der EU allerdings ebenso Rechtssicherheit wie die hiervon tangierten europäischen und ausländischen Unternehmen. Sollte die Europäische Kommission die Grundrechte der EU-Bürger_innen nun zum dritten Mal in Folge hinter wirtschaftliche Interessen zurücktreten lassen, dann kann das der Europäische Gerichtshof schwerlich akzeptieren.“
Weitere Informationen:
Am 16. Juli 2020 erklärte der Europäische Gerichtshof in seinem sogenannten „Schrems II“-Urteil (Rs. C‑311/18) das EU-US Privacy Shield für ungültig, weil dieses kein mit der EU vergleichbares Datenschutz-Niveau gewährleistet. Das Gericht stellte dabei zum einen auf den weitreichenden Zugriff durch US-Behörden, insbesondere des Nachrichtendienstes, auf Daten von Wirtschaftsunternehmen ab, die personenbezogene Daten von EU-Bürger_innen verarbeiten. Die pauschale und undifferenzierte Massenerhebung personenbezogener Daten verstößt danach gegen das Verhältnismäßigkeitsprinzip aus Artikel 52 der Grundrechtecharta. Zum anderen sieht das Gericht keinen ausreichenden Rechtsschutz für EU-Bürger_innen, da ihnen als Nicht-Amerikaner_innen keine Beschwerdemöglichkeit gegen den Zugriff auf die eigenen Daten und kein Zugang zu unabhängigen Gerichten offensteht. Datenübermittlungen in die USA können mithin nicht mehr auf das Privacy Shield gestützt werden.
Im März dieses Jahres verkündeten die Europäische Kommission und US-Präsident Biden, eine grundsätzliche Einigung über einen neuen EU-US-Datenschutzrahmen erzielt zu haben. In den vergangenen Monaten erfolgte die nicht-öffentliche Arbeit an der endgültigen Festlegung und Umsetzung dieser Vereinbarung.
Die Durchführungsverordnung des US-Präsidenten findet sich hier: https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.