EU-US-Datentransfer

News, 12.10.2022

 

Am siebten Oktober hat Joe Biden die Präsidialverfügung unterschrieben, auf deren Basis ein Nachfolger für das gescheiterte Privacy Shield möglich werden soll.

Mit dem Erlass legt die US-Regierung die Grundlage für einen neuen Rechtsrahmen für die Übermittlung von Daten von Europäerinnen und Europäern in die USA. Der Europäische Gerichtshof (EuGH) hatte das Privacy Shield in seiner damaligen Form vor über zwei Jahren für ungültig erklärt, wodurch Unternehmen einer erheblichen Rechtsunsicherheit ausgesetzt wurden.

Dazu sollen aber zunächst die Hintergründe erläutert werden. Die Datenschutzgrundverordnung (DSG-VO) gestattet die Übermittlung von personenbezogenen Daten in ein Drittland nur dann, wenn dort ein angemessenes Schutzniveau sichergestellt ist. 2016 hatte die EU mit den USA ein Privacy Shield verhandelt, um geregelte Datentransfers in die USA zu ermöglichen. Am 16. Juli 2020 hatte der EuGH diesen Beschluss für ungültig erklärt (Schrems II-Urteil), da die personenbezogenen Daten von EU-Bürgerinnen und -Bürgern in den USA unverhältnismäßigen Zugriffen durch die amerikanischen Sicherheitsbehörden ausgesetzt seien.

Nun hat US-Präsident Joe Biden eine „Executive Order“, also ein Präsidialdekret unterzeichnet, welches die Grundlage für ein Nachfolgeabkommen darstellt. In diesem werden im Wesentlichen fünf Bereiche geregelt. Zunächst wurden die sogenannten „Schutzmaßnahmen für Bürger“ gegenüber den Nachrichtendiensten gestärkt. Die Aktivitäten zur „Verfolgung definierter nationaler Sicherheitsziele“ müssen nun auch verhältnismäßig sein. Die Sicherheitsbehörden bekommen außerdem Anforderungen auferlegt, wie sie mit personenbezogenen Daten umzugehen haben, die von Nachrichtendiensten gesammelt werden. Darüber hinaus werden die Sicherheitsbehörden aufgefordert, ihre Verfahren an die im Dekret enthaltenen Garantien anzupassen und das „Privacy and Civil Liberties Board“ wird beauftragt, die Umsetzung der Vorgaben zu überprüfen. Schließlich soll, fünftens, ein „mehrschichtiger Mechanismus“ etabliert werden. Geplant ist, dass dieser den Bürgerinnen und Bürgern der Europäischen Union ermöglicht, eine Überprüfung und Schadensersatz zu fordern, sollten sie das Gefühl haben, ihre Daten würden in unzulässiger Weise verarbeitet werden.

Die Wirtschaft hofft, dass diese Vorlage möglichst schnell in ein neues Abkommen umgesetzt wird, damit es für EU-US-Datentransfers wieder eine solide Rechtsgrundlage gibt. Einzelfallprüfungen, wie sie derzeit notwendig sind, bedeuten für die Unternehmen eine große Belastung.

Optimal ist die Lösung jedoch nicht. Ein Präsidialdekret ist kein ordentliches Gesetz, sondern eine Art Dienstanweisung des Präsidenten, welche jederzeit von Biden oder seinen Nachfolgern ausgesetzt werden kann. Die EU hatte eigentlich auf eine stabile Rechtsverankerung gepocht. Der Erlass von Biden ist auch noch keine endgültige Regelung, sondern lediglich der Startschuss für das EU-Verfahren für einen sogenannten Angemessenheitsbeschluss. Dieser wird dem Justizkommissar Didier Reynders zufolge mindestens sechs Monate dauern.

Auch Maximilian Schrems, der mit seinem Verein Noyb.eu und einer Klage das Privacy Shield  und schon dessen Vorgängerregelung „Safe Harbor“ erst vor dem EuGH gebracht hatte, kritisiert das neue Abkommen und zweifelt an dessen rechtlicher Basis. Er geht davon aus, dass auch dieses vom EuGH kassiert werden wird. Brüssel hingegen zeigt sich zuversichtlich, dass das Gesetz vor Gericht bestehen kann.

Ob es so weit kommt, bleibt abzuwarten. Es ist jedoch wichtig, dass eine Lösung gefunden wird, da einige Unternehmen unter der bestehenden Rechtsunsicherheit leiden. Die Transfers von personenbezogenen Daten aus der EU in die USA sind für einige existenziell.