Biden ebnet den Weg für ein neues EU-US-Datentransferabkommen

Biden ebnet den Weg

Neues Trans-Atlantic Privacy Framework soll Datentransfer von Europäern in die USA regeln

Keyfacts:

  • Der Europäische Gerichtshof (EuGH) hat bereits mehrfach klargemacht, dass das Datenschutzniveau in den USA nicht den EU-Standards entspreche und mehrere Abkommen für ungültig erklärt.
  • Mit der von Biden unterschriebenen „Executive Order“ zeichnet sich nach langer Zeit eine neue rechtssichere Lösung für den Transfer persönlicher Daten über den Atlantik ab.
  • Für europäische Unternehmen, die auf Cloud-Anbieter aus den USA setzen, ist es wichtig, dass Bewegung ins Thema kommt. Lange herrschte Rechtsunsicherheit.

    Mehr als sechs Monate sind vergangen, seit US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen sich grundsätzlich auf einen neuen transatlantischen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework“) geeinigt haben. Zuvor war das Privacy Shield als Grundlage für die Übermittlung personenbezogener Daten in die USA vom Europäischen Gerichtshof (EuGH) gekippt worden (wir berichteten: Privacy Shield 2.0? Der Weg ist frei für neues EU-US Datenschutzabkommen | KPMG Digital Hub). Nun endlich gibt es Neuigkeiten in diesem Zusammenhang: US-Präsident Joe Biden hat den Weg für ein neues Datentransferabkommen zwischen der EU und den USA freigemacht und am 7. Oktober 2022 die lang erwartete „Executive Order“ zur Umsetzung des EU-US Data Privacy Frameworks unterzeichnet. Die Durchführungsverordnung soll die Antwort auf die Anforderungen aus dem Schrems II-Urteil des Europäischen Gerichtshofes sein und die bemängelten Punkte beseitigen. Das wäre insbesondere für die Unternehmen in Deutschland, die als Cloud-Nutzer die großen amerikanischen Cloud-Anbieter einsetzen, die lang ersehnte Klarheit.

    Was sind die wesentlichen Neuerungen?

    Die neue Durchführungsverordnung enthält eine Reihe neuer bzw. angepasster „Safeguards“ und Rechte für von Überwachungsmaßnahmen betroffene EU-Bürger. Das Wichtigste im Überblick:

    Verhältnismäßigkeitsprüfungen bei nachrichtendienstlichen Tätigkeiten („Signal intelligence activites“):

    Die Durchführungsverordnung sieht neue Schutzmaßnahmen für nachrichtendienstliche Tätigkeiten vor: Sie sollen künftig nur zur Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden dürfen. Darüber hinaus müssen die Maßnahmen– analog zum Wortlaut des EU-Rechts – notwendig und verhältnismäßig sein. Dass nachrichtendienstliche Tätigkeiten „so angepasst wie möglich“ sein sollen, soll wortgetreu durch „notwendig und verhältnismäßig“ ersetzt werden. Eine Annäherung an EU-Recht ist durch Aufnahme des Verhältnismäßigkeitsgrundsatzes durchaus erkennbar, es bleibt allerdings fraglich, ob hier von derselben rechtlichen Bindung auszugehen ist. Das würde in der Praxis nämlich bedeuten, dass die in den USA durchgeführten Überwachungsmaßnahmen vermutlich in großen Teilen einzuschränken wären.

    Erweiterter Rechtsbehelfsmechanismus:


    1. CLPO
    prüft Beschwerden von EU-Bürgern
    Das neue Abkommen sieht einen erweiterten, zweistufigen Rechtsbehelfsmechanismus für von Überwachungsmaßnahmen betroffene EU-Bürger vor. Auf der ersten Ebene soll EU-Bürgern zukünftig ermöglicht werden, eine Beschwerde bei einem sogenannten „Civil Liberties Protection Officer“ (kurz: „CLPO“) einzureichen, der dafür verantwortlich ist, dass die US-Geheimdienste die Privatsphäre und Grundrechte einhalten. Der CLPO soll eine erste Prüfung durchführen und feststellen, ob die dem Abkommen zugrunde liegenden Sicherheitsvorkehrungen oder anderes geltendes amerikanisches Recht verletzt wurde.

    2. Datenschutz-Gericht überprüft Entscheidung des CLPO

    Auf zweiter Ebene ist ein unabhängiges Datenschutz-Überprüfungsgericht („Data Protection Review Court“) vorgesehen. An dieses können sich betroffene Personen wenden und Berufung gegen die Entscheidung des CLPO einlegen. Das Datenschutz-Überprüfungsgericht soll befugt sein, die Beschwerden zu untersuchen und hierbei einschlägige Informationen von Nachrichtendiensten einzuholen. Darüber hinaus soll es verbindliche Abhilfeentscheidungen, wie beispielsweise die Anordnung der Löschung von Daten, wenn diese unter Verstoß der Durchführungsverordnung erhoben wurden, treffen können.
    Es bleibt spannend, ob die vorgesehenen Erweiterungen eine tatsächliche Verbesserung des bereits im Privacy-Shield-Abkommen vorgesehenen Ombudsmann-Systems darstellt. Dieses wurde vom Europäischen Gerichtshof seinerzeit als nicht unabhängig genug eingeschätzt und führte letztendlich auch dazu, dass das Privacy-Shield-Abkommen für unwirksam erklärt wurde. Mit Blick auf die erweiterten Befugnisse ist abzuwarten, inwieweit echte Abhilfeentscheidungen und Durchgriffsmöglichkeiten bestehen werden.

    Fortschritt für die Absicherung internationaler Datentransfers

    Das neue Datentransferabkommen ist sicherlich ein wesentlicher Schritt in die richtige Richtung. Mit der Einführung des Verhältnismäßigkeitsgrundsatzes und der erweiterten Rechtsbehelfsmechanismen in Form des CLPO und Datenschutz-Überprüfungsgerichtes sind tiefgreifende Änderungen im Hinblick auf eine unabhängigere Überprüfung zur Einhaltung geltender Sicherheitsvorschriften im Zusammenhang mit der Übermittlung personenbezogener Daten in die USA erkennbar.

    Ein Abkommen, das dem EuGH standhält?

    Gleichwohl sind auch auf den ersten Blick Schwächen erkennbar, die hoffentlich durch weitere Konkretisierungen behoben werden können. Denn eines ist klar, der Europäische Gerichtshof (EuGH) wird sich sicherlich auch mit dem neuen Datentransferabkommen beschäftigen müssen. Zwar hat sich die EU-Kommission unter der Leitung von Ursula von der Leyen positiv hinsichtlich der umfassenden Erweiterungen der Datenschutzrechte geäußert und sieht eine ausreichende Grundlage für einen Angemessenheitsbeschluss, allerdings hat Max Schrems, der schon das Privacy Shield zum Kippen gebracht hat, bereits erste kritische Aussagen zur Durchführungsverordnung veröffentlicht. Eine erneute Klage des österreichischen Datenschützers ist wohl äußerst wahrscheinlich.

    Wie geht es nun weiter?

    Die EU-Kommission ist dennoch zuversichtlich gestimmt und arbeitet nun nach Verabschiedung der Durchführungsverordnung und den dazugehörigen weiteren Verordnungen zur Umsetzung der Anforderungen in den USA am Entwurf eines neuen Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA. Daraufhin wird dann das Annahmeverfahren des Angemessenheitsbeschlusses eingeleitet, das unter anderem aus der Einholung einer Stellungnahme des Europäischen Datenschutzausschusses und Zustimmung eines Ausschusses, der sich aus Vertretern der EU-Mitgliedsstaaten zusammensetzt, besteht. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen. Erst nach Abschluss dieser Schritte können der finale Angemessenheitsbeschluss getroffen werden und personenbezogene Daten auf dieser Grundlage an solche Unternehmen in die USA übermittelt werden, die sich – genau wie schon beim Privacy Shield – verpflichten, eine Reihe detaillierter Datenschutzanordnungen umzusetzen. In der Zwischenzeit müssen wohl Standardvertragsklauseln und Data Transfer Impact Assessments bei Übermittlungen personenbezogener Daten in die USA und Einsatz von Public Cloud Services der Hyperscaler vorerst das Mittel der Wahl bleiben.

    Cloud-Monitor 2023: Financial Services

    Unsere Studie „Cloud-Monitor 2023: Financial Services. Nutzung von Cloud Computing im Finanzsektor“ zeigt Ihnen, wie Sie durch den Einsatz von Cloud-Lösungen Ihre IT-Landschaft transformieren und Prozesse optimieren können.

    Studie herunterladen