Der US-Präsident hat am 7. Oktober 2022 die Executive Order für die Implementierung des neuen Data Privacy Frameworks für den Datentransfer zwischen der EU und den USA („DPF“) unterzeichnet. Dies ist ein wichtiger Schritt zur Beseitigung der Rechtsunsicherheit, die seit dem Urteil des Europäischen Gerichtshofs in der Sache „Schrems II“ für Datentransfers in die USA besteht. Was Unternehmen nun beachten sollten, erfahren Sie hier.
Worum geht es?
Die US-Regierung hat am 7. Oktober auf der Website des White House mitgeteilt, dass Präsident Biden die Executive Order to Implement the European Union-U.S. Data Privacy Framework unterzeichnet hat. Damit schafft die US-Regierung die zusätzlichen rechtstaatlichen Garantien zum Schutz europäischer Bürger gegen einen Datenzugriff der US-Behörden und US-Geheimdienste, die sie mit der Europäischen Kommission im März 2022 vereinbart hatte. Die US-Regierung und die Europäische Kommission adressieren hiermit die rechtsstaatlichen Kritikpunkte an den bisherigen, nur sehr eingeschränkten Rechtsschutzmöglichkeiten europäischer Bürger, die den Europäischen Gerichtshof in seinem „Schrems II-Urteil“ im Juli 2020 (C-311/18) dazu veranlasst hatten, den bisherigen rechtlichen Mechanismus für Datentransfers in die USA für nichtig zu erklären.
Was ist Inhalt der Executive Order und wie geht es weiter?
Die Europäische Kommission geht ausweislich ihrer am selben Tag veröffentlichten FAQs davon aus, dass das EU-U.S. Data Privacy Framework (DPF) nunmehr – anders als seine Vorgänger, nämlich das EU/U.S.-Privacy Shield und das Safe Harbour-Abkommen – einer künftigen Überprüfung durch den Europäischen Gerichtshof standhalten wird. Die Kommission hat daher ein Verfahren für den Erlass eines neuen Angemessenheitsbeschlusses eingeleitet und es steht derzeit zu erwarten, dass eine solche Entscheidung im März 2023 ergehen wird. Mit einem solchen Angemessenheitsbeschluss stellt die Kommission gem. Art. 45 DSGVO fest, dass das betreffende Drittland ein angemessenes, mit der EU vergleichbares Datenschutzniveau bietet, so dass der Transfer personenbezogener Daten in das Drittland auch ohne zusätzliche Sicherungsmechanismen zulässig ist.
Nach Auffassung der US-Regierung und der Europäischen Kommission gibt die Executive Order Bürgern aus der EU verbindliche Garantien, die den Zugriff auf ihre Daten durch US-Geheimdienste auf das zum Schutz der nationalen Sicherheit Notwendige und Verhältnismäßige beschränken. Verbunden wird dies mit der Einrichtung eines neuen Rechtsbehelfsmechanismus, einschließlich der Möglichkeit einer Beschwerde des Betroffenen bei einem neu geschaffenen Datenschutzprüfungsgericht (Data Protection Review Court – DPRC).
Es bleibt allerdings abzuwarten, wie sich hierzu der Europäische Datenschutz-Ausschuss (EDSA) im Rahmen des Konsultationsverfahrens zur Vorbereitung des Angemessenheitsbeschlusses positionieren wird. NOYB, die Organisation von Max Schrems, hat bereits darauf hingewiesen, dass die Executive Order weiterhin massenhafte Überwachungen („bulk surveillance“) zulässt und Zweifel an der Unabhängigkeit des DPRC bestehen könnten, weil es sich insoweit nicht um ein gewöhnliches US-Gericht, sondern um eine verwaltungsinterne Sondergerichtsbarkeit handelt. Es bedarf keines Hellsehers, um zu prognostizieren, dass auch die rechtliche Wirksamkeit des DPF letztlich vor dem Europäischen Gerichtshof verhandelt werden wird – wenn auch dieses Mal die Chancen gut zu stehen sein, dass es den rechtsstaatlichen Anforderungen der EU-Grundrechte-Charta genügen könnte.
Was bedeutet dies für die gegenwärtige Rechtslage?
Die Executive Ordner ändert an der bisherigen, unsicheren Rechtslage für Datentransfers in die USA (noch) nichts. Bis zu einem (etwaigen) Angemessenheitsbeschluss der EU-Kommission müssen Unternehmen, worauf die Kommission auch in ihren FAQ hinweist, sich weiter der gegenwärtig möglichen Transfermechanismen bedienen. Im Regelfall müssen Unternehmen dazu mit dem Datenimporteur in den USA die Standardvertragsklauseln (SCC) vom 4. Juni 2021 und zusätzliche vertragliche oder technische Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus vereinbaren. Die Executive Order ändert insbesondere nichts daran, dass Standardvertragsklauseln in Altverträgen bis zum 27. Dezember 2022 durch die aktuellen SCC vom 4. Juni 2021 ersetzt werden müssen. Auch die Vornahme einer dokumentierten Datentransfer-Folgenabschätzung („TIA) nach Ziffer 14 der SCC ist nach wie vor zwingend. Im Rahmen eines solchen TIA können allerdings die neuen Rechtsschutzmechanismen der Executive Order berücksichtigt werden, sobald sie tatsächlich implementiert sind. Nach Section 3(d)(i) der Executive Order soll der Attorney General binnen 60 Tagen die notwendigen Bestimmungen zur Einrichtung des Data Protection Review Courts verkünden.
Was bedeutet dies für die künftige Rechtslage?
Es wäre allerdings ein Irrglaube anzunehmen, dass die Vereinbarung von Standardvertragsklauseln und die Durchführung von TIA schon demnächst obsolet würde. Zum einen ist ein Angemessenheitsbeschuss der EU-Kommission zwar sehr wahrscheinlich, aber es ist auch nicht ausgeschlossen, dass die notwendige Stellungnahme des EDSA und das Prüfungsrecht des europäischen Parlaments einem solchen Beschluss noch Steine in den Weg legen könnten. Zum anderen ist derzeit kaum vorherzusagen, ob das DPF künftig vor dem Europäischen Gerichtshof Bestand haben wird. Sollte der Europäische Gerichtshof künftig auch das DPF einkassieren, so dürfte diese Entscheidung, ebenso wie im Fall des EU-U.S. Privacy Shields, Rückwirkung entfalten. Es dürfte deshalb zu empfehlen sein, an der bereits unter Geltung des Privacy Shields bewährten Best Practice festzuhalten, vorsorglich zumindest auch die Standardvertragsklauseln zu vereinbaren. Im Verhältnis zu U.S.-Unternehmen hat dies zudem den Vorteil, damit zugleich die rechtlichen Anforderungen an einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO zu erfüllen, dessen Voraussetzungen die Data Processing Addendums U.S-amerikanischer Anbieter andernfalls häufig nicht gewährleisten würden.
Was ist Unternehmen zu raten?
Auch wenn die Executive Order vom 7. Oktober 2022 die berechtigte Hoffnung nährt, dass die mit dem Datentransfer in die USA verbundene Rechtsunsicherheit noch im ersten Quartal 2023 durch einen Angemessenheitsbeschuss der EU-Kommission gelindert werden könnte, sind Unternehmen gleichwohl gut beraten, weiterhin die datenschutzrechtlichen Risiken ihrer Datenexporte in die USA zu reduzieren. Insbesondere sollten hierzu Altverträge bis zum 27. Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt und bei Neuverträgen die vom US-Anbieter ggfls. angebotenen technischen Maßnahmen (wie z.B. eine Data Residency innerhalb der EU oder Bring-your-own-Key-Verschlüsselungen) vereinbart werden. Schließlich sollten Unternehmen im Rahmen der neuen SCC auch weiterhin TIA dokumentieren – zumindest insoweit ist die Executive Order aber bereits heute hilfreich.