Neue Angemessenheitsentscheidung der EU-Kommission zum Datentransfer mit USA gemäß Art. 45 Abs. 1 DSGVO
Am 10. Juli 2023 hat die EU-Kommission ihre Angemessenheitsentscheidung für das EU-US Data Privacy Framework verkündet.
Hintergrund:
Nachdem der EuGH im Urteil vom 16.7.2020, C-311/18 (CR 2020, 529) die auf dem sog. EU-US Privacy Shield beruhende Angemessenheitsentscheidung („AE“) vom 12.7.2016 für unzureichend und unwirksam erklärt hatte, hatte die EU Kommission Gespräche mit den US-Behörden geführt, um eine neue AE zu ermöglichen. Daraufhin wurde von US-Präsident Biden am 7.10.2022 die Executive Order („EO“) 14086 erlassen, in der die USA der EU weitreichende Zugeständnisse im Hinblick auf die vom EuGH in seinem Urteil geäußerten Kritikpunkte machen.
Effekt:
Der auf der EO beruhende sog. EU-US Data Privacy Framework ist als Nachfolger des EU-US Privacy Shield zu verstehen. Amerikanische Unternehmen können sich erneut verpflichten, die in der EO bzw. die in dem Framework festgelegten Grundsätze und Prinzipien bei ihrer Geschäftstätigkeit zu beachten bzw. umzusetzen. Wie schon unter dem Privacy Shield muss das Department of Commerce („DoC“) entsprechende Unternehmen zertifizieren. Sobald die Zertifizierung abgeschlossen ist und das jeweilige Unternehmen auf der vom DoC herausgegebenen Liste im Internet aufgeführt wird, ist ein Datenaustausch mit diesem Unternehmen, bei dem personenbezogene Daten von EU-Bürgern iSv Art. 4 DSGVO betroffen sind, wieder ohne weitere Bedingungen zulässig.
Mit anderen Worten: Ein Datenaustausch mit derart zertifizierten Unternehmen ist dann nicht mehr an die Verwendung der Standardvertragsklauseln nach Art. 46 DSGVO oder der Binding Corporate Rules nach Art. 47 DSGVO gebunden.
Vorteil für Standardvertragsklauseln:
Für diejenigen Unternehmen aus der EU, die dennoch weiterhin die Standardvertragsklauseln verwenden wollen, wird deren Nutzung deutlich vereinfacht, weil die AE bei der Durchführung des sog. Transfer Impact Assessments (TIA) nach Klausel 14 der Standardvertragsklauseln zu berücksichtigen ist mit der Folge, dass ein Datenaustausch dann mit amerikanischen Unternehmen – und zwar nach meiner Auffassung zumindest mit Unternehmen, die zertifiziert sind – grundsätzlich zulässig ist, weil mit der AE festgestellt ist, das das Datenschutzniveau in den USA ein dem in der EU vergleichbares d.h. ein angemessenes Schutzniveau iSv Art. 45 Abs. 1 DSGVO aufweist.
Details der AE v. 10. Juli 2023:
Die AE stellt auf 64 Seiten im Detail die Änderungen im amerikanischen Datenschutzrecht aufgrund der neuen EO und weiterer damit in Zusammenhang stehender Dokumente dar, die im Anschluss an die EO von amerikanischen Behörden herausgegeben wurden.
Neben den allgemeinen Datenschutzprinzipien (Zweckbindung, Transparenz, Minimierungsgrundsatz, Verantwortlichkeiten des jeweiligen Controllers etc.) erläutert die AE insbesondere die durch die neue EO geschaffenen Einschränkungen bei der Datenerhebung bzw. Verarbeitung insbesondere durch die Geheimdienste der USA wie z.B.:
- das Verhältnismäßigkeitsprinzip,
- Zweckbindung: die Zulässigkeit einer Datenerhebung nur für bestimmte in der EO aufgeführte, d.h. erlaubte Zwecke,
- Rechtsweg: die Schaffung eines neuen zweistufigen Redress Mechanism, mit dem ein sog. Data Protection Review Court erschaffen wird, d.h. ein unabhängiges, besonderes Gericht im Zuständigkeitsbereich des Department of Justice, das u.a. für Klagen von EU-Bürgern wegen einer unrechtmäßigen Datenverarbeitung zuständig sein wird.
Ähnlich wie beim Privacy Shield beinhaltet die AE diverse Annexe: Annex I beschreibt die EU-US Data Privacy Framework Principles des DoC, die Grundlage der Zertifizierung sind. Ein weiterer Anhang behandelt das Schiedsverfahren, das es EU-Unternehmen erlaubt, etwaige Streitigkeiten mit ihren US Geschäftspartnern auf diesem Wege zu klären. Das Schiedsverfahren kann im Übrigen auch von EU Bürgern in Anspruch genommen werden.
Die weiteren Anhänge beinhalten Briefe derjenigen US-Behörden, die direkt oder indirekt mit dem internationalen Datentransfer befasst sind, z.B. DoC, Federal Trade Commission (FTC) Secretary of Transportation (für den Datentransfer im Luftverkehr), Department of Justice, Office of the Director of National Intelligence Office. Diese Anhänge erläutern, dass und wie die vorgenannten Behörden die neuen Grundsätze zum internationalen Datentransfer umsetzen und insbesondere deren Beachtung durch zertifizierte Unternehmen durchsetzen werden.
Erste Bewertung:
Die neue AE ist nicht unumstritten:
EU-Ebene: Sowohl der Europäische Datenschussausschuss (EDSA) als auch das EU-Parlament hatten in ihren Stellungnahmen im Vorfeld Bedenken geäußert, dass die neue EO den Anforderungen des EuGH-Urteils ausreichend Rechnung tragen kann. Das EU-Parlament war sogar so weit gegangen, die EU-Kommission aufzufordern, keine AE für den EU-US Data Privacy Framework zu erlassen.
Rechtsweg: Es ist davon auszugehen, dass auch die neue AE wieder vor Gericht angegriffen werden wird und der EuGH in einem Zeitraum von ca. 2-4 Jahren hierüber wird entscheiden müssen. Wie bereits ausführlich dargestellt (Lejeune, CR 2022, 775), sieht die EO tatsächlich erhebliche Verbesserungen insbes. hinsichtlich der Befugnisse der amerikanischen Geheimdienste und hinsichtlich der Rechtsschutzmöglichkeiten für EU Bürger vor. Ob das letztlich aus Sicht des EuGH ausreichend sein wird, ist eine Frage, die nur dieses Gericht rechtsverbindlich beantworten kann. Ansatzpunkte zur Kritik sind insbesondere, dass:
- die sog. bulk collection also die anlasslose Massenspeicherung von personenbezogenen Daten zwar ausdrücklich auf 6 spezifizierte Zwecke begrenzt, aber nicht vollständig ausgeschlossen wird;
- der neu geschaffene Data Protection Review Court ein Sondergericht im Geschäftsbereich des Department of Justice und kein „ordentliches“ Gericht iSv Art. III der US Constitution ist;
- Klägern im Rahmen des Redress Mechanism, d.h. auch vor dem Data Protection Review Court kein Einblick bzw. Zugang zu geheimen Unterlagen gegeben werden darf und ihnen auch für den Fall, dass die Klage erfolgreich sein sollte, keine Details über eingeleitete Korrekturmaßnahmen mitgeteilt werden dürfen; und
- der Verhältnismäßigkeitsgrundsatz im US-Recht weniger deutlich ausgeprägt sei als unter dem Recht der EU.
Überzeugungskraft: Nach Auffassung des Verfassers dürften diese Kritikpunkte nicht ausreichen, um die neue AE für unzulässig zu erklären. Wie bereits unmittelbar nach dem Scheitern des Privacy Shields aufgezeigt (Lejeune, CR 2020, 716), ist die extraterritoriale Rechtsanwendung der DSGVO im Hinblick auf Fragen der nationalen Sicherheit mit überzeugenderen Argumenten nicht zulässig, weil das allein Sache der nationalen Mitgliedsstaaten ist (vgl. Art. 2 (2) (a) und Erwägungsgrund 16 Satz 1 DSGVO).
Politische Machbarkeit: Die USA sind der EU mit der neuen EO weit entgegengekommen. Es ist unwahrscheinlich, dass es nach einem neuen EuGH-Urteil gegen die EO noch weitergehende Zugeständnisse seitens der USA geben könnte, insbesondere wenn bei den Wahlen im nächsten Jahr ein Mitglied der republikanischen Partei zum Präsidenten der USA gewählt werden sollte.
Künftige Discovery personenbezogener Daten? Unklar ist, ob die Befugnisse amerikanischer Strafgerichte nach dem sog. CLOUD ACT, der bekanntlich u.U. die Herausgabe von in der EU befindlichen Unterlagen zulässt (auch wenn diese personenbezogene Daten von EU Bürgern beinhalten) durch die AE „abgesegnet“ werden:
- Pro: Dafür spricht, dass den USA durch die AE gemäß Art. 45 (1) DSGVO ein vergleichbares Datenschutzniveau bescheinigt wird und dass die AE unter 3.1. (Rn 90 ff) ausdrücklich auch die Befugnisse der „authorities for criminal law enforcement purposes“ unter Bezugnahme auf den Stored Communication Act, der bekanntlich den CLOUD ACT beinhaltet, erläutert.
- Contra: Dagegen könnte sprechen, dass durch die AE ein Datenaustausch mit Unternehmen ermöglicht werden soll, die vom DoC zertifiziert wurden. Eine derartige Zertifizierung scheidet natürlich für Gerichte aus.
Letztlich wäre es indes widersinnig, den USA einerseits mit der AE generell ein vergleichbares Schutzniveau einzuräumen, davon aber andererseits die Befugnisse der „ordentlichen“ Strafgerichte auszunehmen, insbesondere wenn die Herausgabe von Unterlagen durch eine gerichtliche Verfügung („warrant“) erfolgen müsste.
Fazit:
Zumindest bis zu einem neuen EuGH-Urteil sollte jetzt an der Front des internationalen Datentransfers mit den USA erst einmal „Ruhe einkehren“.