Die EU-Kommission hat nun (am 13. Dezember 2022) den Entwurf eines Äquivalenzbeschlusses für die USA dem Europäischen Datenschutzausschuss (EDSB) zur Stellungnahme vorgelegt. Basis ist, dass sich die Vereinigten Staaten sich nun – vorgeblich – verpflichten, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die aus der EU in die USA übermittelt werden.
Volltext: https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en
EU-US-Datenschutzrahmen ersetzt EU-US Privacy Shield
Somit folgt voraussichtlich dieser „EU-US Data Privacy Framework“ auf den EU-US Privacy Shield, der im sogenannten „Schrems II“-Urteil (Rs. C‑311/18) des Europäischen Gerichtshofs (EuGH) für ungültig erklärt worden war, weil dieses kein mit der EU vergleichbares Datenschutz-Niveau gewährleistete. Grund war der weitreichende Zugriff durch US-Behörden, insbesondere des Nachrichtendienstes, auf personenbezogene Daten von EU-Bürgern: Die pauschale und undifferenzierte Massenerhebung personenbezogener Daten verstößt gegen das Verhältnismäßigkeitsprinzip aus Artikel 52 Grundrechtecharta, zudem besteht kein ausreichender Rechtsschutz für EU-Bürger, da ihnen als Nicht-Amerikaner keine Beschwerde- bzw. Klagemöglichkeit offensteht.
Das führte in den letzten zweieinhalb Jahren zu erheblicher Unsicherheit bei Europäischen Unternehmen, die sich diverser Dienstleister aus den USA bedienen bzw. bedienen wollten. Und das nicht nur in Fällen, die einen geplanten und fortgesetzten Datentransfer in die USA vorsahen, wie die Verwendung eines US-Cloud- oder SaaS-Anbieters – was gar nicht so selten war, schließlich stammen viele der interessanten Lösungen und Dienstleister der Digitalbranche nach wie vor aus den USA und Europäische Alternativen sind vielfach rar. Auch die bloße Möglichkeit des Zugriffs von US-Behörden auf in der EU oder dem Europäischen Wirtschaftsraum (EWR) gespeicherten Daten, weil etwa der Mutterkonzern des Host-Providers den fraglichen US-Gesetzen unterlag, kann leicht in schweres Fahrwasser führen. Ein deutscher Mittelständler wird zum Beispiel gegenüber Microsoft (siehe Azure Cloud) kaum Chancen auf Durchsetzung der von den Aufsichtsbehörden geforderten zusätzlichen Sicherheitsmaßnahmen haben, die einen Zugriff technisch faktisch ausschließen. Umgekehrt hatten US-Unternehmen wie der Facebook- und Instagram-Mutterkonzern Meta schon davor gewarnt, dass man sich ohne baldige Einigung zwischen der EU und den USA gezwungen sähe, seine Dienste, hier die sozialen Medien, in Europa abzuschalten.
Bedenken des EuGH aufgenommen
Der Beschlussentwurf soll nun den Bedenken des EuGH Rechnung tragen, indem sie erweiterte rechtliche Pflichten für Unternehmen und erweiterte Rechtsbehelfsmöglichkeiten für Einzelpersonen beinhaltet. Maßgeblich ist ein Executive Order des US-Präsident Biden vom 7. Oktober 2022 (EO 14086 on Enhancing Safeguards for United States Signals Intelligence), der die schon im Frühjahr von der EU-Kommission und der US-Regierung angekündigte Grundsatzvereinbarung in US-Recht umsetzen soll.
Die Anforderungen des EuGH werden darin im Wesentlichen wie folgt adressiert:
- Den Zugriff auf personenbezogene Daten von EU-Bürgern aufgrund nachrichtendienstlicher Tätigkeiten wird auf erforderliche („necessary“) und angemessene („proportionate“) Fälle begrenzt, was den Beschränkungen im Sinne des europäischen Verhältnismäßigkeitsprinzips nahekommt.
- Ein zweistufiges Beschwerde- bzw. Rechtsbehelfsverfahren wird implementiert mit einem Civil Liberties Protection Officer im Office of the Director of National Intelligence (CLPO) auf erster Ebene, der als unabhängige Stelle Beschwerden über bestimmte Verstöße im Zusammenhang mit den Aktivitäten des US-Nachrichtendienstes unter Abwägung der beiderseitigen Interessen untersuchen und gegebenenfalls Maßnahmen treffen soll.
- Als weitere ebene wird ein Data Protection Review Court (Datenschutzprüfungsgericht) installiert, das die Entscheidungen des CLPO auf Antrag überprüfen soll. Das Gremium besteht aus sechs Personen, die nicht der US-Regierung angehören und Erfahrungen im Europäischen und US-Datenschutz sowie nationaler Sicherheit haben.
Im Übrigen soll wieder wie bei den untergegangenen Safe Harbour und Privacy Shield das Prinzip der Selbstverpflichtung bzw. -zertifizierung genutzt werden, mit Überwachungs- und Kontrollkompetenzen des Department of Commerce (DoC).
Nächste Schritte
Der nächste Schritt ist die Genehmigung durch einen Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Auch das Europäische Parlament hat ein Kontrollrecht bei Angemessenheitsentscheidungen. Sobald diese Schritte abgeschlossen sind, kann die Kommission die endgültige Angemessenheitsentscheidung erlassen. Das soll im Sommer 2023 passieren.
In der Folge soll das Funktionieren des EU-US-Datenschutzrahmens regelmäßig von der EU-Kommission zusammen mit den europäischen Datenschutzbehörden und den zuständigen US-Behörden (DoC) überprüft. Die erste Überprüfung wird innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses stattfinden.
Kritik
Es gibt natürlich auch Kritik an dem Konzept, nicht zu knapp. Eine Auswahl:
- Der Executive Order ist als interne Anweisung an Regierung und nachgeordnete Behörden kann jederzeit vom Präsidenten – zumal wenn dieser nicht (mehr) Biden heißen sollte – geändert oder zurückgenommen werden. Er ist kein Gesetz, weshalb auch fraglich ist, wie er sich zu anderen hier in Frage stehenden US-Regulierungen verhält.
- Ist das Datenschutzprüfungsgericht als „arbitration“ unabhängiger als die Ombudsmänner des Privacy Shield, ist es wirklich vergleichbar mit einem rechtsstaatlichen Gericht und verhindert zum Beispiel das Aussieben „unbeliebter“ Beschwerden durch hohe inhaltliche und formelle Anforderungen nicht doch den geforderten unmittelbaren Rechtsschutz für betroffene EU-Bürger? Zumal die Betroffenen nicht informiert darüber werden, ob sie Gegenstand von nachrichtendienstlichen Aktivitäten waren.
- Die in der EU kritisierte anlasslose Überwachung durch US-Behörden ist damit ausdrücklich nicht abgeschafft und wann genau man in den USA einen Zugriff auf Daten als für die nationale Sicherheit erforderlich und angemessen erachtet, geht daraus auch nicht hervor.
Max Schrems, der Datenschutz-Aktivist, der schon die zwei Vorgänger des EU-US-Datenschutzrahmens zu Fall gebracht hat, bezweifelt dementsprechend, dass der Executive Order weit genug geht. Er geht davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert werde. Ich fürchte, er hat recht, denn der Entwurf für die Äquivalenzentscheidung bietet nach erster Durchsicht meiner Ansicht nach keine überzeugenden Antworten auf die Kritikpunkte. Aber immerhin: für eine gewisse Zeit dürfte die in der Wirtschaft ersehnte Ruhe einkehren.