Der transatlantische Datentransfer – eine unendliche Geschichte?
RA Jan Pohle
Am 7. 10. 2022 hat US-Präsident Joe Biden nach umfassenden Verhandlungen zwischen der EU und den USA zu einem Trans-Atlantic Data Privacy Framework einen Präsidialerlass (sog. “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”) unterzeichnet. Dieser stellt eine wesentliche Grundlage für den sehnlichst erwarteten neuen rechtlichen Rahmen für die Übermittlung personenbezogener Daten von EU-Bürgern in die USA dar.
Nachdem im Jahr 2015 das Safe-Harbor-Abkommen sowie im Jahr 2020 dessen Nachfolger Privacy-Shield – jeweils nach Klage des österreichischen Datenschutzrechtsaktivisten Max Schrems – durch den EuGH für ungültig erklärt worden sind, ist dies ein weiterer Versuch, dem Schutz personenbezogener Daten entsprechend den Vorgaben der DSGVO durch die USA hinreichend Rechnung zu tragen. Der EuGH hat das “Privacy Shield” wegen der umfassenden Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten aus der EU entscheidend kritisiert. Die Executive Order will nun gezielt diese Kritik aufgreifen. Der Zugriff auf Daten im Rahmen der Wahrung der nationalen Sicherheit der USA soll unter Berücksichtigung der bürgerlichen Rechte, insbesondere des Rechts auf Privatsphäre Betroffener auf ein erforderliches und verhältnismäßiges Maß begrenzt werden. Zudem sieht der Erlass ein zweistufiges Beschwerde- und Rechtsbehelfsverfahren vor. Betroffenen Personen soll es künftig möglich sein, bei aus ihrer Sicht erlittenen Datenzugriffsverstößen durch die US-Geheimdienste eine Beschwerde durch einen benannten Verantwortlichen des US-Geheimdienstes (sog. “Civil Liberties Protection Officer”) prüfen zu lassen. Dessen Entscheidung soll in einem zweiten Schritt vor einem neu errichteten, mit verbindlichen Abhilfebefugnissen ausgestattetem, unabhängigem “Gericht”, dem sog. “Data Protection Review Court” auf Antrag des Betroffenen anfechtbar sein.
Die Europäische Kommission hat dieses neue Regelwerk begrüßt. Nun soll ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO erarbeitet werden. So würde den USA ein gleichwertiges Datenschutzniveau gegenüber der EU attestiert. Dieses Ansinnen wird bereits kritisch beäugt. Denn der Erlass weist durchaus zahlreiche rechtliche Unklarheiten auf. So kann bereits in Frage gestellt werden, ob eine Executive Order überhaupt ein taugliches Instrument zur Umsetzung der DSGVO-Vorgaben darstellt. Es handelt sich nicht um ein parlamentarisch beschlossenes und bestandskräftiges Gesetz, sondern um eine interne Dienstanweisung mit Bindungswirkung für die Regierung sowie ihrer nachgeordneten Behörden. EU-Bürgern bleibt damit die unmittelbare gerichtliche Durchsetzbarkeit des Erlasses verwehrt. Problematisch ist zudem die Einrichtung des “Data Protection Court”. Trotz der Bezeichnung als “Gericht” wird die Einrichtung innerhalb des Ressorts des US Department of Justice erfolgen, einem Organ der Exekutive. Gemessen an dem Prüfungsmaßstab des Artikels 47 GRCH, der explizit einen wirksamen Rechtsbehelf bei einem Gericht verlangt, d. h. einem unabhängigen staatlichen Spruchkörper, bleibt das Schutzniveau des Erlasses hinter diesen Erfordernissen zurück.
Rechtsunsicherheiten bestehen zudem im Hinblick auf die Auslegung der Verhältnismäßigkeit. Zwar suggeriert die Executive Order durch ihre enthaltenen Beschränkungen von Datenverarbeitungen auf erforderliche und angemessene Fälle die Anerkennung eines europäischen Begriffsverständnisses. Nach US-amerikanischem Recht wird der Begriff der Verhältnismäßigkeit jedoch signifikant weiter ausgelegt als jener nach Art. 52 GRCh. Deutlich wird dies anhand der in der Executive Order explizit erlaubten Fortsetzung der “bulk surveillance” (Massenüberwachung). Europäische Daten, die an US-Server gesendet werden, dürfen in bestimmten Fällen künftig weiterhin in den NSA-betriebenen Programmen PRISM und Upstream gespeichert werden. Ähnlich umfassende Zugriffsmöglichkeiten haben US-amerikanische Behörden seit 2018 durch den sog. “Cloud-Act”, welcher insbesondere außerhalb der USA gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider gestattet.
Eines dürfte jedoch absehbar sein: Aufgrund der seit Verkündung des Erlasses ergangenen Kritik wird ein “Schrems-III”-Urteil immer wahrscheinlicher – Max Schrems hat sich jüngst entsprechend geäußert. Zuvor bleibt allerdings der Angemessenheitsbeschluss der Europäischen Kommission abzuwarten.
RA Jan Pohle*
* | Studium der Rechtswissenschaften an der Universität zu Köln; seit 1996 als Rechtsanwalt zugelassen. Lehrbeauftragter für Informationsrecht an der Carl von Ossietzky Universität Oldenburg. Seit Anfang 2011 Partner im Kölner Büro von DLA Piper. Schwerpunkte: Digitalisierung, IT- und Business Process Outsourcing, IT-Projekte und Datenschutz. Autor zahlreicher Veröffentlichungen zum IT- und Datenschutzrecht. |