EU-US Data Privacy Framework: Alte Idee, neu verpackt?

Rechtliche Einordnung des EU-US Data Privacy Framework

Formal handelt es sich wie bei den beiden Vorgängerregelungen weder um ein bilaterales Abkommen noch um ein Gesetz. Vielmehr handelt es sich um einen einseitigen Angemessenheitsbeschluss der EU-Kommission.

Der Angemessenheitsbeschluss beruht zum einen auf bestimmten Dokumenten der US-Administration, die als Annexes beigefügt sind. Dabei handelt es sich um die sog. „EU-U.S. Data Privacy Framework Principles“ des U.S. Department of Commerce und ein weiteres Annex „Arbitral Model“, welches der Regelungen zum Schiedsverfahren für Beschwerden enthält. Daneben sind weitere Annexe angefügt, die schriftliche Informationen der U.S. Administration gegenüber der EU-Kommission enthalten. Die Gesamtheit dieser Dokumente bildet das „EU-US Data Privacy Framework“ im engeren Sinne.

Zum anderen stützt sich der Angemessenheitsbeschluss auf die von US-Präsident Biden am 7 Oktober 2022 erlassene Executive Order (EO) 14086, „Enhancing Safeguards for United States Signals Intelligence Activities“, und 28 CFR part 201 zur Änderung der Vorschriften des Justizministeriums zur Einrichtung eines „Data Protection Review Court“.

Inhaltliche Neuerungen gegenüber dem Privacy Shield Framework

Das EU-US Data Privacy Framework versucht den vom EuGH in seiner Schrems II-Entscheidung geäußerten Bedenken Rechnung zu tragen. Dieser hatte im Wesentlichen zwei zentrale Punkte beanstandet. Zum einen die unverhältnismäßige Massenüberwachung durch US-Geheimdienste und zum anderen das mangelhafte Rechtsbehelfsverfahren.

Dem erstgenannten Kritikpunkt will man durch die neu erlassene EO 14086 Rechnung tragen, mit der die PPD-28 (Presidential Policy Directive), die noch dem Privacy Shield Framework zu Grunde lag, ersetzt wurde. Die EO 14086 regelt die Zwecke und die Anforderungen an den Umfang der Überwachung durch die US-Geheimdienste. Dabei wurden gegenüber der bisherigen PPD-28 einzelne Regelungen detaillierter und konkreter als bisher gefasst. Ferner hat der vom EuGH geforderte Grundsatz der Verhältnismäßigkeit, an dem sich nachrichtendienstliche Überwachungstätigkeiten messen lassen müssen, jetzt zumindest sprachlich Eingang in die EO 14086 gefunden. So wurde der bisher in der PPD-28 noch verwendete Begriff „so maßgeschneidert wie möglich“ (as tailord as feasible) durch Begriff „verhältnismäßig“ (proportionate) ersetzt. Ob dies letztlich ausreichend sein wird, um dem vom EuGH geäußerten Bedenken Rechnung zu tragen, wird sich zeigen. Denn Fakt ist auch, dass weitere zentrale, vom EuGH unter anderem beanstandete Rechtsgrundlagen für die Überwachungstätigkeiten der U.S.-Geheimdienste, wie FISA Sec. 702 und die EO 12333 im Rahmen des  EU-U.S. Data Privacy Framework nicht angepasst worden; sie gelten unverändert fort.

Weiterer zentraler Kritikpunkt des EuGH war das mangelhafte Rechtsbehelfsverfahren, welches bislang über einen so genannten Ombudsmann-Mechanismus geregelt war. Dieser wird nunmehr durch ein zweistufiges Rechtsbehelfsverfahren ersetzt. Zunächst können betroffene EU-Bürger jetzt eine Beschwerde beim „Civil Liberties Protection Officer“ (CLPO) einlegen. Auf der zweiten Stufe besteht dann die Möglichkeit, die Entscheidung des CLPO von dem neu geschaffenen „Data Protection Review Court“ (DPRC) überprüfen zu lassen. Der DPRC ist allerdings kein Gericht, sondern Teil der Executive, dessen Mitglieder weitgehend unabhängig sein sollen.

„Der Angemessenheitsbeschluss der EU-Kommission ist zunächst aus Sicht vieler Unternehmen zu begrüßen. Fraglich ist allerdings, wie lange diese Rechtssicherheit anhalten wird.“

Stefan Breider, Rödl & Partner

Über die beiden vorgenannten Punkte hinaus, lassen sich allerdings kaum nennenswerte Unterschiede zur Vorgängerregelung finden. So entsprechen die neuen „EU-U.S. Data Privacy Framework Principles“ in weiten Teilen den bisherigen Privacy Shield Principles, die sich an Datenschutzvorgaben der DSGVO zwar orientieren, ohne diese jedoch zu übernehmen. Unternehmen, die diesen Prinzipien ausreichend Rechnung tragen können sich – wie bisher auch – in einem Selbstzertifizierungsverfahren vom U.S. Department of Commerce entsprechend zertifizieren lassen.

Ausblick

Der Angemessenheitsbeschluss der EU-Kommission ist zunächst aus Sicht vieler Unternehmen zu begrüßen. Mit dem Angemessenheitsbeschluss wird der Datentransfer an US-Unternehmen, die nach dem EU-US Data Privacy Framework zertifiziert wurden, wieder auf eine verlässliche Rechtsgrundlage gestellt. Eine Datenübermittlung an solche zertifizierten Unternehmen ist dann ohne weitere Voraussetzungen von dem Angemessenheitsbeschluss gedeckt.

Fraglich ist allerdings, wie lange diese Rechtssicherheit anhalten wird. In den einschlägigen Fachkreisen hat sich bereits erheblicher Widerstand gegen die Neuregelung formiert. Allen voran hat der österreichische Datenschützer und Vorsitzende der Non-Profit-Organisation nyob Max Schrems bereits angekündigt, die Sache voraussichtlich (wieder) zum EuGH zu tragen. Dies wäre dann Schrems-III.

Auch wenn die US-Administration der Auffassung ist, mit dem neuen EU-US Data Privacy Framework beispiellose Verpflichtungen eingegangen zu sein, zur Stärkung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten. Im Hinblick auf US-Überwachungs- und Spionagetätigkeiten, wird es daher entscheidend darauf ankommen, ob es gelingt den EuGH davon zu überzeugen, dass die Anforderungen, die der EuGH in seiner Schrems-II-Entscheidung aufgestellt hat, nunmehr umgesetzt wurden.

Über den Autor:
Stefan Breider ist Rechtsanwalt bei Rödl & Partner, Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter. Ein besonderer Schwerpunkt seiner Tätigkeit liegt unter anderem in der Beratung bei der Umsetzung von Cloud-Modellen und regulatorischen Anforderungen für Tech-Unternehmen und Digitale Gatekeeper auf nationaler und europäischer Ebene.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.