Zum Jahresende lohnt ein Blick auf die Lage bei den Datentransfers in die USA. ECC-Club-Mitglied Rechtsanwalt Rolf Becker, Partner bei Wienke & Becker – Köln, erläutert den Stand der Dinge.
Neue Spielregeln für US-Behörden
Anfang Oktober 2022 hat US-Präsident Biden die “Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” erlassen. Dabei geht es um die Rechtsgrundlage für US-Datentransfers nach dem neuen „Trans-Atlantic Data Privacy Framework“, auf das sich EU Kommission und USA im März 2022 geeinigt hatten. Bis heute fehlt es an einer einfach handhabbaren tragfähigen Grundlage für US-Datentransfers, nachdem der Europäische Gerichtshof im Juli 2020 in der bekannten Schrems II Entscheidung das sogenannte Privacy Shield Abkommen gekippt hatte. Die USA boten aus Sicht der EU-Richter:innen auch über dieses Abkommen kein angemessenes Datenschutzniveau und deshalb sei der darauf basierende Beschluss der Europäischen Kommission zur Angemessenheit des Niveaus ungültig. Ein maßgeblicher Punkt für das Urteil waren die ausufernden Zugriffsrechte der US-Geheimdienste ohne ausreichende Rechtsschutzmöglichkeiten für Betroffene.
Executive Order
Die Executive Order mit Gesetzesrang soll als neuer Baustein des Datenschutzes den Spielraum der US-Behörden, insbesondere der Nachrichtendienste, auf verhältnismäßige Eingriffe für Zwecke der nationalen Sicherheit („erforderliche „necessary“ und angemessene „proportionate“ Fälle) beschränken. Dabei soll die Datenverarbeitung auf ein notwendiges Minimum reduziert werden. Allerdings bleibt die Massenüberwachung („bulk surveillance“) ausdrücklich zugelassen. Ausgerichtet auf die Hauptbedenken der europäischen Richter:innen wird ein zweistufiger Rechtsschutz für betroffene EU-Bürger:innen implementiert. Sie können über eine Aufsichtsbehörde indirekt Beschwerde beim behördeninternen Datenschutzbeauftragten einlegen und bei Nichtabhilfe das neue „Data Protection Review Court“ (Datenschutzprüfungsgericht) anrufen. Letzteres ist allerdings nach Verordnung vom Justizminister eingerichtet und eher der Exekutive zuzurechnen, als einer unabhängigen Gerichtsbarkeit eines Staates. Allerdings ist eine detaillierte Benachrichtigung über das Verfahren nicht vorgesehen. Man erfährt nur, dass keine Verstöße festgestellt wurden oder Abhilfemaßnahmen erforderlich waren.
Frühjahr 2023 neuer Angemessenheitsbeschluss als nächster Schritt
Die EU-Kommission sieht sich jetzt auf dieser Basis schon aufgerufen, im Rahmen eines entsprechenden Verabschiedungsverfahrens einen neuen Angemessenheitsbeschluss zu erlassen, auf den sich Unternehmen bei US-Datentransfers stützen können. Das wird aber noch bis ins Frühjahr 2023 dauern. Zudem wird der europäische Datenschutzausschuss dann dazu Stellung nehmen.
Neue Standardvertragsklauseln abschließen und TIA durchführen bzw. anpassen
Kaum ein Unternehmen kommt ohne Datentransfers in das Land der weltweiten digitalen Markführer bei Internetdiensten aus. Ohne Angemessenheitsbeschluss müssen als Vertragsgrundlage die aktuellen Standardvertragsklauseln (prüfen Sie, ob Sie wirklich die aktuellen sog. SCC nutzen; vgl. z.B. hier) herhalten. Dabei handelt es sich um ein vorgegebenes Vertragswerk für differenzierte Zwecke, welches jeweils den Datenschutz sicherstellen soll. Zudem muss jedes Unternehmen zu solchen Datentransfers in die USA ein Transfer Impact Assessment (TIA) durchführen. Nach Klausel 14 des SCC erklären und versichern die beteiligten Unternehmen einander, keine Hinderungsgründe für den Datentransfer erkannt zu haben. Dazu muss im Rahmen einer eigenen Analyse des Einzelfalls eine Beurteilung mit einer regelmäßig erneuerten Risikobewertung für die angestrebten Datenübermittlungen erfolgen. Es gibt dazu keine offiziellen Muster, aber Unternehmen sind gut beraten, hierzu standardisierte Prozesse vorzuhalten. Im Zweifel wird eine Datenschutzbehörde Ihr TIA bei einer Untersuchung anfordern. Darin dürfte es meist schwerfallen, vor dem Urteil des EuGH zu einem positiven Ergebnis bei der Beurteilung der staatlichen Eingriffsbefugnisse in den USA zu kommen.
Executive Order für Aktualisierung TIA nutzen
Unternehmen sollten die neue Executive Order in die Risikobetrachtung bei der Betrachtung der rechtlichen Bestimmungen im Bestimmungsland im jeweiligen TIA unbedingt einfließen lassen.
Behörden reagieren uneinheitlich
Der LfDI Baden-Württemberg beklagt in einer Stellungnahme vom 22.10.2022, dass die Executive Order (E.O.) als interne, von EU-Bürger:innen nicht einklagbare, Anweisung vonder nächsten Präsidentin oder dem nächsten Präsidenten auch schon wieder aufgehoben werden könnte und kritisiert die Rechtsbehelfe („Effektiver Rechtsschutz sieht anders aus.“), Die Behörde begrüßt die Order als Schritt aus der „inakzeptablen Rechtsunsicherheit, …in welche der EuGH unserer Unternehmen geführt hat“.
Die Datenschutzbehörde Hamburg sieht in ihrer als Antwort auf Baden-Württemberg zu sehenden Stellungnahme vom 29.11.2022 in der E.O. Garantien für europäische Bürgerinnen und Bürger, spricht von einem „probaten Regelungsinstrument in den USA für exterritoriale Anordnungen“ einem „effektiven Rechtsschutz“ und hält „reflexhafte und pauschale Kritik“ für „unangebracht“.
Fazit:
Insgesamt ist die Executive Order ein Schritt in die richtige Richtung. Zu kritisieren bleibt die unverständliche Intransparenz der Beschwerdeverfahren in einem Rechtsstaat. Vermutlich wird die EU-Kommission einen Angemessenheitsbeschluss fassen, begleitet von datenschutzrechtlicher Kritik, je nachdem, ob Vorbehalte im Beschluss angemessen Ausdruck finden. Damit wird es erst einmal wieder für europäische Unternehmen leichter werden, US-Dienstleister einzusetzen. Das letzte Wort dürfte aber erneut der EuGH behalten.
Unternehmen sind gut beraten, jetzt ihre TIA anzupassen.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!