Seit dem der EuGH im Oktober 2015 das Safe-Harbour Abkommen für unwirksam erklärte, ist der transatlantische Datenverkehr mit erheblichen Hürden und Unsicherheiten verbunden. Da praktisch fast alle europäischen Unternehmen auf die Datenverarbeitung von US-Dienstleistern angewiesen sind, ist das Verlangen nach einem rechtssicheren und nachhaltigen Abkommen zwischen der EU und den USA allgegenwärtig. Insbesondere amerikanische Mutterkonzerne hoffen, dass Datentransfers in die USA zukünftig vereinfacht werden. Neuester Hoffnungsträger ist das ›Trans-Atlantic Data Privacy Framework‹ (TADPF), das insbesondere den Zugriff von US-Geheimdiensten einschränken und den Schutz personenbezogener Daten von EU-Bürgern gewährleisten soll. Hierfür neu geschaffene Garantien sollen sich aus der vielversprechenden Verfügung 14086 („Executive Order“) des US-Präsidenten Joe Biden vom 7. Oktober 2022 ergeben. Ob hierdurch das durch den EuGH geforderte ›der Sache nach gleichwertiges Schutzniveau‹ auf Seiten der USA geschaffen wird, ist aber mehr als fraglich.
Am 11. Mai 2023 hat das EU-Parlament nun einen Entschließungsantrag eingereicht, mit welchem es die bisherigen amerikanischen Bemühungen stark kritisiert. Das K.O.-Kriterium ist dabei, dass die Rechte von EU-Bürgern mit Blick auf die Verarbeitung ihrer personenbezogenen Daten durch US-Unternehmen noch immer nicht den Rechten von US-Bürgern gleichgestellt sind. Insbesondere mangelt es auch weiter an rechtsstaatlichen Rechtsschutzmöglichkeiten für EU-Bürger und an Transparenz hinsichtlich der einschlägigen Datenschutz-Regelungen.
I. Hintergrund: Die DSGVO im internationalen Datentransfer
Während die Datenschutzgrundverordnung (DSGVO) in der EU einen starken Schutz personenbezogener Daten bietet, kann dieses Schutzniveau bei Datentransfers in oder Remote-Zugriff aus Drittländern (d.h. Länder außerhalb der EU bzw. des EWR) unterlaufen werden. Grund hierfür ist, dass in dem Drittland andere nationale Gesetze und internationale Verpflichtungen gelten, die mit den Regelungen der DSGVO nicht in Einklang zu bringen sind und ein niedrigeres Schutzniveau schaffen. Insbesondere in den USA kommen Behörden erweiterte Zugriffsrechte zu. Diese können dazu führen, dass ein Unternehmen personenbezogene Daten offenlegen muss, obwohl dies nach der DSGVO untersagt ist. Aus diesem Grund fordert die DSGVO, dass internationale Datentransfers zusätzliche Anforderungen erfüllen (Art. 44 DSGVO ff.).
Für einzelne Länder hat die EU-Kommission das dort geltende Schutzniveau geprüft und kam zu dem Ergebnis, dass diese dem Schutzniveau der EU entsprechen. In solchen Fällen wurde ein sogenannter „Angemessenheitsbeschluss“ (Art. 45 DSGVO) erlassen, aufgrund dessen personenbezogene Daten vereinfacht transferiert werden können. Eine Liste dieser Drittländer kann hier eingesehen werden – Die USA fallen nicht darunter.
II. Die Gescheiterten: Safe-Harbour und EU Data Privacy Shield
Zwar gab es in der Vergangenheit bereits zwei Abkommen mit denen Datentransfers in die USA vereinfacht werden sollten – beide sind jedoch durch den EuGH für unwirksam erklärt worden: Zunächst erklärte der EuGH im Oktober 2015 das „Safe-Harbour“-Abkommen (Urt. v. 06.10.2015, Az. C-362/14 “Schrems I”) für unwirksam, und im Juli 2020 ereilte dessen Nachfolger, das „EU Data Privacy Shield“, (Urt. v. 16.07.2020, Az. C-311/18 “Schrems II”) dasselbe Schicksal. Der EuGH stützte sich im Wesentlichen darauf, dass die Abkommen keine ausreichenden Rechtsschutz- und Überwachungsmöglichkeiten für EU-Bürger hinsichtlich der Zugriffe der US-Behörden schaffen und die Grundrechte der betroffenen EU-Bürger daher nicht ausreichend schützen würden. Vor diesem Hintergrund forderte das EU-Parlament die Europäische Kommission am 20. Mai 2021 auf, keinen neuen Angemessenheitsbeschluss für die USA zu erlassen, sofern diese keine hinreichenden Gesetzesrahmen schaffen.
III. Aktuelle Entwicklungen – das EU-Parlament spricht Klartext!
Am 25. März 2022 teilten die Präsidentin der EU-Kommission von der Leyen und der amerikanische Präsident Biden nach einem gemeinsamen Treffen mit, dass gegenwärtig an einem neuen Abkommen zwischen der EU und den USA gearbeitet wird – dem ›Trans-Atlantic Data Privacy Framework‹ (TADPF). Am 7. Oktober 2022 unterzeichnete Biden die Verfügung 14086, in welcher Schutzmaßnahmen festgelegt und ein Gremium für die Einreichung von Beschwerden für EU-Bürger geschaffen wurden. Die EU-Kommission leitete daraufhin am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für die USA ein.
Die Hoffnung auf den zeitnahen Abschluss des TADPF, könnte aber nun enttäuscht werden: Das EU-Parlament hat den Entwurf am 11. Mai 2023 kritisiert und damit ein Zeichen dafür gesetzt, dass der Abschluss – und damit auch der vereinfachte Datentransfer in die USA – wohl weiter in die Ferne rückt. Das EU-Parlament verdeutlichte in seinem Entschließungsantrag zwar, dass die Verfügung 14086 zum Teil ›bedeutende Zusagen‹ enthalte. Es stellte jedoch gleichzeitig fest, dass weiterhin keine hinreichenden Garantien, die einen der DSGVO ›der Sache nach gleichwertiges Schutzniveau‹ für EU-Bürger vor den US-Behörden gewährleisten könnten, geschaffen wurden. Das EU-Parlament erachte die Verfügung 14086 mithin als unzureichend:
Das EU-Parlament hob die neu geschaffene Möglichkeit für EU-Bürger, gegen Datenverarbeitungen von US-Behörden einen Rechtsbehelf bei einem Datenschutz-Überprüfungsgericht einzulegen, positiv hervor. Im selben Zuge bemängelte es allerdings, dass das zuständige Überprüfungsgericht und das dort durchzuführende Verfahren nicht rechtsstaatlichen Ansprüchen entsprechen: Das Überprüfungsgericht ist Teil der Exekutive und seine Richter werden nur für eine Amtszeit von vier Jahren benannt. Insbesondere aber kann der amerikanische Präsident jederzeit Richter entlassen und Entscheidungen des Gerichts – auch im Geheimen – außer Kraft setzen. Die Unabhängigkeit der Richter ist damit nicht gewährleistet. Zudem kann das Überprüfungsgericht jederzeit Entscheidungen als Verschlusssache einstufen und den Beschwerdeführern so den Zugang verwehren. Zuletzt können vor dem Überprüfungsgericht auch keine Schadensersatzansprüche eingeklagt werden.
Darüber hinaus argumentierte das EU-Parlament, dass das Verbot für US-Behörden, Massendaten von in den USA lebenden US-Bürgern zu sammeln, noch immer nicht für EU-Bürger gilt. Eine solche staatliche Massenüberwachung ist unrechtmäßig und läuft dem Vertrauen der EU-Bürger und der europäischen Unternehmen in die digitale Wirtschaft zuwider.
Positiv hebt das EU-Parlament zwar hervor, dass durch die Verfügung 14086 nun das europäische Verhältnismäßigkeitsprinzip Eingang in die Bewertung der Zulässigkeit der Datenverarbeitung durch die US-Behörden gefunden hat. Allerdings ist der hierin enthaltene Verhältnismäßigkeitsgrundsatz nicht mit dem der EU vergleichbar und wird ausschließlich im Lichte des US-Rechts – und nicht des EU-Rechts – ausgelegt.
Ein weiteres Problem sieht das EU-Parlament darin, dass der Präsident Verfügungen jederzeit anpassen kann. Dies gilt insbesondere für Auflistungen von Zielen, zu deren Zwecke personenbezogene Daten durch US-Behörden verarbeitet bzw. nicht verarbeitet werden dürfen. Hiermit geht ein erheblicher Mangel an Klarheit und Vorhersehbarkeit der geltenden Datenschutznormen einher und der Präsident hat es in der Hand, neue Rechtsgrundlagen zu schaffen. Die EU muss über solche präsidialen Anpassungen nicht einmal informiert werden.
Schließlich hebt das EU-Parlament hervor, dass die USA – im Gegensatz zu sämtlichen Drittländern, für die ein Angemessenheitsbeschluss ergangen ist – über kein Datenschutzgesetz auf Bundesebene verfügen.
IV. Das EU-Parlament hofft auf Nachjustierungen - wir auch!
Zwar ist die EU-Kommission nicht auf die Zustimmung des EU-Parlaments angewiesen und ein (vor-)schnelles Handeln der EU-Kommission würde den Prozess verkürzen, die Freude über das Abkommen könnte aber nur kurz währen, wenn der EuGH diesem erneut einen Riegel vorschiebt. Es bleibt daher zu hoffen, dass die EU-Kommission mit den USA in weitere Verhandlungen tritt und die vom EU-Parlament formulierten Bedenken angemessen adressiert. Nur so kann ein Rechtsrahmen geschaffen werden, der einen rechtssicheren Datentransfer in die USA gewährleistet. Bis dahin bedarf der Datentransfer in die USA zusätzlicher Schutzmaßnahmen und Unternehmen sind gezwungen auf die Vereinbarung der Standardvertragsklauseln (›SCCs‹) oder im Konzern auf die Vereinbarung verbindlicher interner Datenschutzvorschriften (›Binding Corporate Rules‹) zurückzugreifen. Für weitere Informationen zu den SCCs und dem ›Intra Group Data Transfer Agreements‹ (IGDTA) lohnt sich ein Blick auf unseren Blogbeitrag aus letztem Jahr.