Ist Die DS-GVO-konforme Datenübermittlung in die USA bald problemlos möglich? – Teil I

Einleitung

Im ersten Teil der Beitragsreihe wird ein Abstract der unverbindlichen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu dem Entwurf des „Trans-Atlantic Data Privacy Framework“ – das neue Datenschutzabkommen zwischen der EU und den USA – dargestellt.  

In den folgenden Beiträgen werden die einzelnen Kritikpunkte mit den geforderten Nachbesserungsbedarf des EDSA detaillierter unter die Lupe genommen. 

Worum geht es? 

US-amerikanische Gesetze erlauben den US-Geheimdienst den Zugriff auf personenbezogene Daten, die aus der EU in die USA übermittelt bzw. dort verarbeitet werden. Personenbezogene Daten genießen in der EU jedoch ein höheres Schutzniveau als in den USA. Deshalb hat der EuGH das EU-US-Datenschutzschild 2020 („Privacy Shield“) im sog. Schrems ll-Fall für ungültig erklärt (Rechtssache C-3111/18). Nach „Safe Harbour“ war das „Privacy Shield“ das zweite Abkommen, welches als Absicherung für die Datenübermittlung in die USA diente. Für einen angemessenen Datenrechtsschutz musste nach dem Kippen dieses zweiten Abkommens also erneut eine neue Regelung her. Auf politischer Ebene einigte man sich daher auf ein neues, drittes Abkommen: das „Data Privacy Framework“, kurz „DPF“. 

Im Oktober 2022 erließ US-Präsident Biden als Ausfluss des neuen EU-US Abkommens eine Verordnung (US Executive Order (EO) 14086), die darauf abzielt, das Datenschutzniveau für alle von Überwachungsmaßnahmen betroffenen Personen zu erhöhen, um insbesondere die EU-Datenschutzanforderungen bei Datenübermittlungen in die USA zu erfüllen. Die EU-Kommission veröffentlichte daraufhin am 13.12.2022 den Entwurf eines Angemessenheitsbeschlusses, um die USA auf Basis der neuen US-Verordnung als sog. Sicheres Drittland zu deklarieren.   

Der Europäische Datenschutzausschuss (EDSA) wurde von der EU-Kommission um Stellungnahme zum Angemessenheitsbeschluss gebeten. Diese Stellungnahme veröffentliche der EDSA am 28.02.2023. In dieser Bewertung geht es insbesondere um die kommerziellen Aspekte als auch um den Zugang zu und um die Verwendung von personenbezogenen Daten aus der EU durch die öffentlichen US-Stellen.  

Obwohl die Bewertung kritische Aspekte aufzeigt, legt die EU-Kommission die Ablehnung des Beschlusses jedoch nicht nahe. Vielmehr empfiehlt der EDSA, dass die geltend gemachten Bedenken berücksichtigt und die Europäische Kommission die geforderten Klarstellungen vornimmt, um die Begründung ihres Entscheidungsentwurfes zu festigen. 

Wie schätzt der EDSA den Angemessenheitsbeschluss insgesamt ein? 

Der EDSA stellt insgesamt fest, dass der US-Rechtsrahmen aufgrund der erlassenen EO 14086 nun konkrete Zwecke benennt, wann Daten erhoben werden dürfen und dass Prinzipien der Verhältnismäßigkeit zu berücksichtigen sind. Aber es bedarf der genauen Überwachung, dass und wie die Anforderungen in der Praxis umgesetzt werden. Dazu gehört auch die Überprüfung der internen Strategien und Verfahren auf Behördenebene. 

Was kritisiert der EDSA am Beschlussentwurf?  

Die Liste ist lang und es lässt sich daraus ableiten, wie der Entwurf einzuschätzen ist. Die wesentlichen Kritikpunkte sind: 

• Fehlen von detaillierten Informationen über den rechtlichen Kontext in den USA zum besseren Verständnis der DPF-Grundsätze, wie z.B. die fehlende Beschreibung der nach US-Recht geltenden Verpflichtungen zum Schutz der Privatsphäre. 
• Nach der Verordnung besteht die Möglichkeit, die Pflicht zur Einhaltung der im DPF-genannten Grundsätze einzuschränken. Ohne die vollständige Kenntnis des US-Rechts sowohl auf Bundes- als auch auf Staatsebene, ist der Umfang der Einschränkungsmöglichkeiten im DPF nicht klar erkenntlich, sodass zur Klarstellung des Anwendungsbereichs die Einschränkungen im Beschlussentwurf aufgenommen werden müssen.  
• Unstrukturierte Anhänge erschweren das Auffinden und Nachschlagen von Informationen. 
• Uneinheitliche Verwendung von Begriffen wie „Verarbeitung“, kann zu Rechtsunsicherheiten führen. 
• Es bedarf einer Klarstellung des Umfangs des Auskunftsrechts betroffener Personen sowie die Forderungen dies im Haupttext des Angemessenheitsbeschlusses und nicht nur als ergänzende Erläuterung in den Fußnoten aufzunehmen. 
• Keine Erläuterungen zur Ausübung des Widerspruchsrecht. 
• Befreiung von der Vertragspflicht für gruppeninterne Übermittlungen, sodass Weiterübermittlungen von Daten nicht nur für begrenzte und spezifizierte Zwecke auf der Grundlage eines Vertrags zwischen der DPF-Organisation und dem Dritten bzw. einer vergleichbaren Vereinbarung innerhalb einer Unternehmensgruppe erfolgen darf, wenn auch der Dritte zur Einhaltung des Schutzniveau verpflichtet ist.  
• Fehlende spezifische Schutzmaßnahmen bzgl. der rasanten Entwicklungen im Bereich der automatisierten Entscheidungsfindung und des Profilings – zunehmend mit Hilfe von KI-Technologie. 
• Überprüfungen der Einhaltung der DPF-Grundsätze beschränken sich auf formale Anforderungen (z.B. ausbleibende Reaktion von benannten Kontaktstellen), obwohl die Überprüfung der Einhaltung der materiellen Anforderungen entscheidend ist.  
• Fehlende nähere Erläuterung, ob Rechtsbehelfe es der betroffenen Person ermöglichen, Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten oder die Berichtigung oder Löschung dieser Daten zu erwirken. 
• Fehlende nähere Erläuterungen zu den Grundsätzen und Garantien für die Weiterverwendung von Daten, insbesondere in Bezug auf geltenden Vorschriften und Schutzmaßnahmen für die Weiterübermittlung, Weiterverwendung und Offenlegung personenbezogener Daten, die zu Strafverfolgungszwecken in den USA erhoben und anschließend in Drittländer, auch im Rahmen internationaler Abkommen, übermittelt werden. 
• Fehlende Definition des Begriffs „Signals Intelligence“ – Informationen, die durch die Erfassung und Analyse der elektronischen Signale und Kommunikationen eines bestimmten Ziels gewonnen werden – in der EO 14086. 
• Fehlende Abhängigkeit der Annahme des Beschlusses von der Annahme aktualisierter Strategien und Verfahren zur Umsetzung von der EO 14086 durch alle US-Geheimdienste. 
• Fehlende Klarheit über die Bewertung von geltenden Aufbewahrungsvorschriften für personenbezogene Daten von US-Personen, die so nicht als Maßstab für EU-Personen herangezogen werden können. 
• Die Möglichkeit in der EO 14086, dass der Präsident der Vereinigten Staaten weitere Ziele in Bezug auf die Verordnung in die Liste aufnehmen kann. 
• Mangelnde Überprüfung, ob internationale Abkommen mit Drittländern oder internationalen Organisationen bestehen, die besondere Bestimmungen für die internationale Übermittlung personenbezogener Daten durch Nachrichtendienste an Drittländer vorsehen könnten. 

Fazit zur Stellungnahme des EDSA 

Insgesamt nimmt der EDSA positiv zur Kenntnis, dass die EO 14086 im Vergleich zum vorherigen 

Rechtsrahmen wesentliche Verbesserungen bietet, insbesondere im Hinblick auf die Einführung der 

Grundsätze der Notwendigkeit und Verhältnismäßigkeit von datenschutzrechtlichen Eingriffen und des individuellen Rechtsbehelfs für betroffene Personen in der EU.  

In Anbetracht der oben dargestellten Kritikpunkte schlägt der EDSA vor, dass die Bedenken ausgeräumt werden und die EU-Kommission die geforderten Klarstellungen liefert. Dies würde die Begründung des Beschlussentwurfs festigen und eine genaue Überwachung der konkreten Umsetzung dieses neuen Rechtsrahmens, insbesondere der darin vorgesehenen Garantien, in den künftigen gemeinsamen Überprüfungen sicherstellen.