Am 13.12.2022 hat die EU-Kommission den Entwurf einer Angemessenheitsentscheidung gem. Art. 45 DSGVO bezüglich des Datentransfers mit den USA („EU-U.S. Data Privacy Framework“) veröffentlicht. Der Entwurf war erwartet worden, nachdem die EU-Kommission am 25.3.2022 mit den USA eine neue Vereinbarung zum internationalen Datentransfer zwischen der EU und den USA angekündigt hatte („Trans-Atlantic Data Protection Framework“), siehe hierzu Lejeune, CRi 2022, 60) und Präsident Biden am 7.10.2022, wie ebenfalls angekündigt, eine neue Executive Order „on Enhancing Safeguards for United States Signals Intelligence Activities“ erlassen hatte (ausführlich hierzu Lejeune, CR 2022, 775).
Struktur & Inhalt des Kommissionsentwurfs
Von der Struktur her entspricht der Entwurf weitgehend der Angemessenheitsentscheidung, die die EU-Kommission im Jahr 2016 auf der Grundlage des sog. „EU-US Privacy Shields“ (vgl. dazu Lejeune, ITRB 2016, 201) erlassen hatte und die der EuGH im Schrems II Urteil (EuGH, Urt. v. 16.7.2020- C-311/18, CR 2020, 529; dazu ausführlich Botta, CR 2020, 505 und Voigt, CR 2020, 513) für unwirksam erklärt hatte.
Die EU-Kommission begründet auf 58 Seiten mit 216 Randnummern auf der Grundlage der in Annex 1 aufgeführten „EU-U.S. Data Privacy Framework Principles“ des Department of Commerce, aus welchen Gründen das US-amerikanische Datenschutzrecht wie vom EuGH gefordert im Wesentlichen gleichwertig („essentially equivalent“) im Vergleich zur DSGVO ist, so dass eine neue Angemessenheitsentscheidung getroffen werden kann. Wie beim EU-US Privacy Shield ist ein weiterer Annex angefügt, der ein bindendes Schiedsverfahren für Beschwerden von EU-Bürgern gegenüber amerikanischen Unternehmen in Fällen vorsieht, in denen EU-Bürger Datenschutzverstöße geltend machen, die ihre personenbezogenen Daten betreffen. Ebenso wie beim EU-US Privacy Shield beinhalten die weiteren Annexe schriftliche Zusagen gegenüber der EU-Kommission von US-Behörden, die mit dem Thema des EU-U.S. Data Privacy Frameworks befasst sind. Insofern sind insbesondere folgende Briefe mit Zusagen zu erwähnen:
- Brief von Gina Raimondo, U.S. Secretary of Commerce,
- Brief von Lina M. Chan, Federal Trade Commission, in dem auf insgesamt 68 Verfahren verwiesen wird, in denen die FTC als Aufsichtsbehörde gegen US-Unternehmen wegen Verstößen gegen datenschutzrechtliche Regelungen vorgegangen ist
- Brief von Pete Buttigieg, Department of Transportation
- Brief von Bruce C. Swartz, U.S. Department of Justice
- Brief von Christopher C. Fonzone, Office of the Director of National Intelligence
Die neue Executive Order
Der wesentliche Unterschied zum EU-US Privacy Shield liegt in der von US-Präsident Biden am 7.10.22 erlassenen Executive Order (EO). In dieser Verwaltungsanweisung (Verordnung) werden verbindliche Garantien zugesagt, die die Aktivitäten der amerikanischen Sicherheitsbehörden einschränken. Es wird insbesondere geregelt, dass:
- Datenzugriff: Zugriffe auf personenbezogene Daten von EU-Bürgern nur zulässig sind, wenn dies zur Aufrechterhaltung der nationalen Sicherheit notwendig ist,
- Verhältnismäßigkeit: eine Beeinträchtigung der Rechte der Bürger verhältnismäßig sein muss,
- Zwecke: Zugriffe nur zu bestimmten in der EO aufgeführten Zwecken erlaubt sind und für bestimmte andere Zwecke ausdrücklich untersagt.
Zudem werden nicht nur Verfahren eingeführt, die eine wirksame Überwachung der neuen Garantien ermöglichen sollen, sondern auch ein zweistufiges Rechtsbehelfsverfahren, für das mit dem sog. Data Protection Review Court ein eigenes spezielles Gericht gegründet wird, dessen Richter unabhängig sein müssen.
Weiteres Vorgehen
Der Kommissionsentwurf der Angemessenheitsentscheidung wird jetzt dem Europäischen Datenschutzausschuss und dem EU-Parlament zur Stellungnahme übermittelt. Es ist davon auszugehen, dass diese Abstimmungsprozesse mehrere Monate in Anspruch nehmen werden und eine (endgültige) Angemessenheitsentscheidung frühestens im Sommer 2023 getroffen werden kann.
Sofern diese Angemessenheitsentscheidung getroffen wird, können amerikanische Unternehmen wie schon im Rahmen des EU-US Privacy Shields im Wege der Selbstzertifizierung dem neuen EU-U.S. Data Privacy Framework beitreten, sich auf der Webseite des Department of Commerce registrieren lassen und sich der Aufsicht durch die zuständigen Behörden, insbesondere der Federal Trade Commission (FTC) und des Department of Commerce (DoC) unterwerfen.
Erste Einschätzung
Mit der Executive Order vom 7.10.22, die dem EU-U.S. Data Privacy Framework unterliegt, haben die USA der EU weitreichende Zugeständnisse hinsichtlich der Befugnisse der Sicherheitsbehörden, der Einräumung entsprechender Garantien für die Sicherheit der personenbezogenen Daten von EU-Bürgern im Rahmen der Aktivitäten der Sicherheitsbehörden und nicht zuletzt im Hinblick auf mögliche Rechtsschutzmaßnahmen für EU-Bürger bei Verstößen gegen die vorgenannten Grundsätze eingeräumt.
Echo deutscher Datenschutzbehörden
Gleichwohl wurden diese Zugeständnisse in der Presse u.a. von Vertretern deutscher Datenschutzbehörden (siehe z.B. LfDI Baden-Württemberg, „USA-EU: Datentransfer nach der Durchführungsverordnung des US Präsidenten“, PM v. 26.10.2022; demgegenüber aber BfDI Hamburg, „Datenschutz in den USA – aktuelle Lage“, PM v. 29.11.2022) als unzureichend kritisiert. Es wird u.a. behauptet, dass eine Executive Order kein bindendes Recht schaffen könnte, dass die eingeräumten Garantien hinsichtlich der Erforderlichkeit einer Datenerhebung und der Verhältnismäßigkeit gemessen an den Maßstäben der DSGVO nicht ausreichend seien und dass es sich bei dem neuen Data Protection Review Court nicht um ein echtes Gericht, sondern nur um eine dem Department of Justice untergeordnete Dienststelle handele.
Verfassungsrechtliche Befugnis des U.S. Präsidenten
Diese Kritikpunkte erscheinen nicht zutreffend. Nach richtiger Rechtsauffassung kann ein amerikanischer Präsident aufgrund der ihm nach Art. II der amerikanischen Verfassung eingeräumten Befugnisse durchaus bindendes Recht schaffen, auch wenn dadurch die Befugnisse der Sicherheitsbehörden aufgrund von Gesetzen wie z.B. dem Foreign Intelligence Surveillance Act (FISA) beschränkt werden. Diese Befugnisse erlauben dem Präsidenten auch, ein besonderes Gericht einzusetzen (überzeugende Nachweise aus Literatur und insbesondere Rechtsprechung hierzu bei Lejeune, CR 2022, 775 Rz. 54 f.).
Ausblick
Letztendlich wird erneut der EuGH darüber entscheiden müssen, ob eine neue Angemessenheitsentscheidung Bestand haben wird oder ob die Unternehmen dann wieder nur auf der Grundlage der Standardvertragsklauseln einen Datentransfer zwischen der EU und den USA durchführen können, soweit personenbezogene Daten von EU-Bürgern betroffen sind.