Neuer Anlauf für US-Datentransfers
Co-Autorin: Dr. Nathalie Alon, LL.M.
Nach der Aufhebung des Privacy Shields durch den Europäischen Gerichtshof hat US-Präsident Joe Biden eine neue Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission geschaffen. Vorerst bleibt die Rechtsunsicherheit aber weiter bestehen.
Datentransfers zwischen der EU und den USA sind spätestens seit der Aufhebung des EU-US Privacy Shields höchst umstritten. Der Europäische Gerichtshof (EuGH) hatte das Abkommen aufgrund mangelnden Datenschutzes in den USA gekippt. Seither besteht große Rechtsunsicherheit.
Ändern könnte das nun eine im Oktober präsentierte Executive Order von US-Präsident Joe Biden. Sie soll als Grundlage für einen „Angemessenheitsbeschluss“ der Europäischen Kommission dienen und den Datenaustausch wieder erleichtern. Gibt es damit bei transatlantischen Datentransfers wieder Klarheit?
Kritik an Bidens Verordnung hatte es prompt vom Datenschutzverein NOYB gehagelt. Demnach sei die unverhältnismäßige Massenüberwachung weiterhin fester Bestandteil von US-Geheimdienstaktivitäten. Es seien zwar nun die Worte „necessary“ und „proportionate“ aus dem EU-Recht in das US-Recht überführt worden, jedoch ohne sich darauf zu einigen, ob sie dieselbe Bedeutung wie in der EU haben.
Zudem soll in den USA zwar ein sogenannter „Data Protection Review Court” (DPRC) eingerichtet werden, an den sich Unionsbürgerwenden können. Dieser würde aber nach wie vor nicht dem Standard der Europäischen Grundrechte auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht genügen, kritisieren die Datenschützer.
Deutliche Verbesserung
Eine skeptische Haltung ist angesichts der vergangenen EuGH-Entscheidungen nachvollziehbar. Es sollte dabei aber nicht übersehen werden, dass die Verordnung Verbesserungen mit sich bringt.
Der DPRC ist im Falle einer Überprüfung in Panels von drei „Richtern” organisiert. Die Auswahl der Juristen wird durch den Justizminister in Abstimmung mit dem Handelsminister, dem Direktor des Nationalen Geheimdienstes und dem Privacy and Civil Liberties Oversight Board erfolgen. Die „Richter” dürfen nicht nur zum Zeitpunkt ihrer Erstbestellung, sondern auch in den vorangegangenen zwei Jahren nicht Teil der Exekutive gewesen sein und müssen Erfahrung im Bereich des Datenschutzes vorweisen. Die Absetzung eines Mitglieds durch den Justizminister ist etwa im Falle von Fehlverhalten oder Untauglichkeit möglich, allerdings nur unter strengen Voraussetzungen. Der DPRC ist zudem nicht, wie die vormalige Ombudsperson, den Weisungen des Außenministers unterstellt. Insofern wurde hier zumindest auf dem Papier eine deutliche Verbesserung erreicht.
Weiters beschränkt sich die Executive Order auch in Bezug auf Überwachungsmaßnahmen keineswegs auf die Aufnahme der Begriffe „necessary“ und „proportionate“. Seitenweise werden Garantien beschrieben, die implementiert werden sollen, um den Verhältnismäßigkeitsgrundsatz der EU-Grundrechtecharta zu wahren. Dies soll durch eine Interessenabwägung zwischen der Bedeutung der Überwachungstätigkeit und den Auswirkungen auf die Grundrechte der betroffenen Personen erreicht werden. Zudem dürfen Überwachungsmaßnahmen lediglich zur Verwirklichung von Zielen vorgenommen werden, die nunmehr genau definiert sind.
Sollte der erwartete Angemessenheitsbeschluss trotz der Fortschritte der US-Regierung nicht im Einklang mit strengen Vorgaben des EU-Rechts stehen, schließt NOYB eine neuerliche Befassung durch den EuGH nicht aus. Es dürfte somit nur eine Frage der Zeit sein, bis der EuGH sich wieder mit dem Datentransfer in die USA beschäftigen muss.
Unsicherheit bleibt
Klar ist: Ein Angemessenheitsbeschluss und die damit verbundene Rechtssicherheit werden noch auf sich warten lassen. Bis dahin stehen die übrigen Instrumente zu internationalen Datenübermittlung, wie Standardvertragsklauseln, zur Verfügung. Weiterhin muss dabei ein Transfer Impact Assessment durchgeführt werden, bei dem die Risiken des Datentransfers ermittelt und allenfalls eingedämmt werden. Es sind deshalb nach wie vor zusätzliche Maßnahmen, wie Pseudonymisierung oder Verschlüsselung, notwendig, um Übermittlungen in die USA aufgrund von Standardvertragsklauseln rechtssicher durchzuführen zu können.
Die US-Regierung hat sich im Zuge der neuen Executive Order mit den Kritikpunkten des EuGH auseinandergesetzt und hat einige Veränderungen vorgenommen. Wie die tatsächliche Implementierung der angeführten Maßnahmen erfolgt und ob dies in der Praxis genügen wird, um ein angemessenes Datenschutzniveau für Unionsbürger zu schaffen, wird die Zukunft zeigen.
Hinweis: Dieser Beitrag wurde aufgrund der potenziellen Auswirkung auf andere EU-Mitgliedstaaten auch auf Englisch verfasst.