Privacy Shield II – Datenfreihandel außerhalb des Rechtsstaats?

Eine gewisse Rechtsunsicherheit bleibt noch

Die Übermittlung personenbezogener Daten zwischen der EU und den USA ist eines der dominanten Topoi im technologie- und datenschutzrechtlichen Diskurs. Seit 2020 herrschte hier ein rechtliches Vakuum, nachdem der EuGH in seinen berühmten Schrems I- und Schrems II-Entscheidungen die alten Rechtsgrundlagen kassierte (EuGH, RIW 2015, 736 und RIW 2020, 754). Die beteiligten Akteure transatlantischer Datentransfers fanden sich so einem rechtlichen Unruheherd wieder, der das Vertrauen in die Wirksamkeit der europäischen Datenwirtschaftsordnung nicht unerheblich erodiert hat und für die Praxis internationaler Datenströme, insbesondere durch Software-Anwendungen, ein untragbarer Zustand war.

Am 10. 7. 2023 veröffentlichte die Europäische Kommission ihren neuen Angemessenheitsbeschluss (C(2023) 4745 final) hinsichtlich des Datenschutzniveaus in den USA. Dieser bildet die neue Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU über den Atlantik bildet. Die Rechtsunsicherheit für den Datenfreihandel ist damit jedoch nicht endgültig gebannt.

Grundlage des Angemessenheitsbeschlusses sind die im “EU-US Data Privacy Framework” vereinbarten Anpassungen des US-Nachrichtendienstrechts, die nach Auffassung der EU-Kommission nunmehr ein angemessenes Schutzniveau i. S. d. Art. 45 Abs. 1 Satz 1 DSGVO gewährleisten. Wesentliche Neuerungen im US- Nachrichtendienstrecht ergeben sich aus der Executive Order-14086, die sich klar an den vom EuGH formulierten Kritikpunkten der Schrems-II-Entscheidung ausrichtet. Zum einen werden die Zugriffsrechte der US-Nachrichtendienste auf personenbezogene Daten auf einen “verhältnismäßigen” Umfang begrenzt. Zum anderen wird ein zweistufiges Rechtsbehelfsverfahren zugunsten betroffener Nicht-US-Bürger eingeführt, um auch eine effektive Überwachung der Garantien sicherzustellen.

Ob diese Änderungen des US-Nachrichtendienstrechts jedoch auch tatsächlich ein gleichwertiges Schutzniveau begründen, wird am Maßstab rechtsstaatlicher Garantien kritisch beurteilt. Die Zweifel an den Anpassungen durch das “Privacy Framework” beziehen sich auf drei zentrale Fragenkreise:

Zunächst seien die Rechtswirkungen einer Executive Order gegenüber US- Nachrichtendiensten und anderen Behörden unklar. In der Tat kennt das EU-Recht keine vergleichbare exekutive Rechtssetzungsbefugnis. Indes kommt es für einen Angemessenheitsbeschluss nach Art. 45 Abs. 2 DSGVO gerade nicht auf formelle Kriterien an, sondern auf materielle Gleichwertigkeit, die durchaus durch exekutive Rechtssetzung erreicht werden kann.

Ein weiterer und sehr erheblicher Kritikpunkt betrifft die weiterhin nur vage Eingrenzung US-nachrichtendienstlicher Zugriffsbefugnisse. Zwar wird in der Executive Order-14086 der Begriff der “Verhältnismäßigkeit” der Verarbeitung durch US-Nachrichtendienste eingeführt, ohne jedoch diesen zu definieren oder auf eine etablierte Praxis zu verweisen. Dies schließt freilich nicht aus, dass sich eine äquivalente Praxis nun noch entwickelt.

Schließlich wird die konkrete Ausgestaltung des Rechtsschutzverfahrens zugunsten Betroffener bemängelt. Der neu einzurichtende Data Protection Review Court sei zu stark in die behördlichen Strukturen des US-Department of Justice integriert, um wirklich unabhängig entscheiden zu können. Dies sei nicht mit dem Recht auf einen wirksamen Rechtsbehelf aus Art. 47 GRCh vergleichbar. Indes kommt es auch hier auf die konkrete Umsetzung an, denn auch Art. 47 GRCh stellt keineswegs auf formelle Kriterien ab, es geht stets um materiell zum Europarecht gleichwertige Gewährleistungen.

Im Wesentlichen positiv ist auch die Stellungnahme des European Data Protection Board von Februar 2023. Diese wirft indes ebenfalls wichtige Fragen auf, die sich etwa auf die Transparenz des neuen Rechtsrahmens selbst beziehen, der durch seine zahlreichen Verweisungen tatsächlich recht opaque wirkt. Hier wäre allerdings Abhilfe durch Leitfäden des European Data Protection Board selbst denkbar.

Insgesamt ist mit großer Wahrscheinlichkeit von einer zeitnahen Überprüfung des Angemessenheitsbeschlusses durch den EuGH auszugehen, bei der die rechtsstaatlichen Anforderungen an den außereuropäischen Datentransfer erneut als strenger Maßstab angelegt werden dürften, da sich der EuGH inzwischen auch als Garant einer “Digitalen Souveränität” der Europäischen Union versteht (Roßnagel MMR 2023, 64; Denga GRUR 2022, 1113). Das Urteil lässt sich freilich nicht mit Sicherheit vorhersagen, wenngleich Grund für Optimismus besteht, dass im dritten Anlauf (nach den Safe-Harbour-Principles von 2000 und dem Privacy Shield I von 2015) ein tragender Rechtsrahmen für transatlantische Transfers personenbezogener Daten errichtet wurde.

Fazit: Der neue Rechtsrahmen für transatlantische Transfers personenbezogener Daten greift die vom EuGH formulierten Anforderungen im Wesentlichen konsequent auf. Er ist damit durchaus geeignet, eine sichere Grundlage für den Datenexport in die USA darzustellen. Freilich wird es ganz wesentlich darauf ankommen, wie der “Privacy Shield II” gelebt wird – insbesondere inwieweit tatsächlich objektiver Rechtsschutz gewährleistet ist und das Konzept der Verhältnismäßigkeit ausgelegt und durchgesetzt wird.

Die hier nur angedeuteten Fragen werden in RIW 10/2023 noch eingehend behandelt und in den Kontext einer ausführlichen chronologischen Betrachtung des Rechtsrahmens für transatlantischen Datenhandel gestellt.

PD Dr. Michael Denga, Halle-Wittenberg