Die digitale Transformation der europäischen Industrie wird nur gelingen, wenn Daten grenzüberschreitend und weltweit frei und sicher fließen können. Die Rechtssicherheit bei internationalen Datentransfers ist daher von besonderer Bedeutung. Am 7.10.2022 hat US-Präsident Biden ein Dekret („Executive Order“) unterzeichnet, das den neuen EU-US-Datenschutzrahmen Privacy Shield 2.0 im US-Recht verankert. Damit soll bei einem Datentransfer in die USA der Datenschutz im Sinne der Datenschutzgrundverordnung (DSGVO) gewährleistet werden. Das Dekret schränkt den Zugriff der amerikanischen Geheimdienste auf die in die USA übertragenen Daten ein und stärkt die Rechte der europäischen Bürger, sich gerichtlich gegen Überwachung zu wehren.
Für die europäische Industrie ist dieser Schritt enorm wichtig, da das ursprüngliche Privacy Shield vom Europäischen Gerichtshof (EuGH) im Jahr 2020 gekippt wurde. Die derzeitigen rechtlichen Rahmenbedingungen sind seither für den transatlantischen Datenverkehr mit erheblichen Rechtsunsicherheiten verbunden. Bereits im März 2022 hatten sich deshalb die USA und die EU auf einen neuen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework“) verständigt, der die Bedenken des EuGHs ausräumen soll. Auf dieser Grundlage hat US-Präsident Biden nunmehr die Executive Order Enhancing Safeguards for United States Signals Intelligence Activities zwecks Verankerung des TADAP-Frameworks im US-Recht erlassen.
Strengere Regeln für US-Geheimdienste
US-Geheimdienste dürfen personenbezogene Daten zukünftig nur noch bei der Verfolgung bestimmter nationaler Sicherheitsziele verarbeiten und müssen darauf achten, auch dann die Privatsphäre und Freiheitsrechte aller Betroffenen zu wahren. Die Verarbeitung ist nur zulässig, wenn sie verhältnismäßig ist, also einen legitimen Zweck verfolgt, sowie geeignet, erforderlich und angemessen ist. Die US-Geheimdienste sind verpflichtet, ihre internen Verfahren und Richtlinien zu überprüfen und zu aktualisieren, um diese Anforderungen umzusetzen. Verfahrensrechtlich wird die Einhaltung dieser Vorschriften durch eine Ausweitung von staatlicher Rechtsaufsicht und Compliance-Prüfungen sichergestellt.
Mehr Rechte für Betroffene
Für Betroffene, die der Ansicht sind, die Verarbeitung ihrer personenbezogenen Daten verstoße gegen geltendes US-Recht, ist künftig eine unabhängige Überprüfung der Datenverarbeitung auf Rechtmäßigkeit in einem zweistufigen Verfahren möglich. Auf der ersten Stufe kann eine qualifizierte Beschwerde an den Civil Liberties Protection Officer im Office of the Director of National Intelligence (CLPO) gerichtet werden, der eine Prüfung durchführt, eine verbindliche Entscheidung trifft und bei Bedarf Abhilfemaßnahmen einleitet. Diese Entscheidung kann in einer zweiten Stufe vor einem unabhängigen gerichtsähnlichen Data Protection Review Court auf Antrag überprüft werden.
Wann tritt das neue „Privacy Shield 2.0“ in Kraft?
Auf der Grundlage der Executive Order wird die EU-Kommission nunmehr das Verfahren für die Verabschiedung eines sogenannten Angemessenheitsbeschlusses nach der DSGVO einleiten. Dafür muss sie zunächst eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) einholen und das Europäische Parlament einbinden, das bei solchen Angemessenheitsentscheidungen ein Kontrollrecht hat. Danach kann die EU-Kommission die endgültige Angemessenheitsentscheidung treffen. Es ist davon auszugehen, dass die EU-Kommission in der ersten Jahreshälfte 2023 feststellen wird, dass die USA nunmehr ein angemessenes Schutzniveau im Sinne des Art. 45 Abs. 2 DSGVO gewährleistet, zumal Mitarbeiter der EU-Kommission am Entwurf der US-Executive Order mitgewirkt haben.
Ab dem Zeitpunkt dieser Feststellung wird das neue Privacy Shield 2.0 seine Wirksamkeit entfalten. Es ermöglicht dann den transatlantischen Datentransfer mit US-Unternehmen, die sich in diesem Rahmen zertifiziert haben. Hierzu müssen sich die US-Unternehmen in eine Liste des US-Handelsministeriums eintragen. Dies stellt eine Selbstzertifizierung des Unternehmens dar. Es verpflichtet sich damit, die Prinzipien des Privacy Shields einzuhalten.
EU-Kommission blickt optimistisch auf neuen Datentransfer
Ein neuer Datenschutzrahmen zwischen der EU und den USA ist dringend geboten. Insoweit ist das Privacy Shield 2.0 mit seiner Intention, mehr Rechtsklarheit und Rechtssicherheit zu schaffen und den transatlantischen Datentransfer für Unternehmen zu erleichtern, zu begrüßen. Die Kritiker, die mit ihrer Klage das ursprüngliche Privacy Shield-Abkommen zu Fall gebracht haben, sind bereits wieder in die Öffentlichkeit getreten und haben Zweifel angemeldet, dass auch Privacy Shield 2.0 mit EU-Recht vereinbar ist. Es bleibt jedoch abzuwarten, ob es tatsächlich erneut zu einem Klageverfahren vor dem EuGH kommt. Die EU-Kommission zeigt sich jedenfalls optimistisch, dass das Privacy Shield 2.0 einer Prüfung durch den EuGH Stand halten wird.
