Im ersten Teil unserer Beitragsreihe zum Thema EU-US-Datentransfer ging es um die Gründe der bisher gescheiterten Datenschutzabkommen mit den USA. In diesem zweiten und letzten Teil geht es nunmehr darum, zu prüfen, ob und mit welchem Inhalt sich ein neues Datenschutzabkommen anbahnt. Wird ein datenschutzkonformer Datentransfer in die USA bald möglich?

EU-U.S. Data Privacy Framework (EU-US-Datenschutzrahmen) als neues Datenschutzabkommen?

Im Zuge der aktuellen Verhandlungen über einen wirksamen EU-US-Datenverkehr scheint sich ein neues Datenschutzabkommen anzubahnen. Am 07.10.2022 hat der US-Präsident Joe Biden nämlich die sogenannte „Executive Order“ unterzeichnet, die eine regierungsinterne Direktanweisung zur Umsetzung eines Datenschutzrahmens zwischen der EU und den USA darstellt.

In der Regierungserklärung des Weißen Hauses heißt es u.a., dass ein unabhängiger und verbindlicher Mechanismus geschaffen werde, um Einzelpersonen zu ermöglichen, Rechtsmittel gegen illegale Datenverarbeitungen durch US-Geheimdienste einzulegen. Zudem sollen weitere Sicherheitsvorkehrungen ergriffen werden, um die Datenverarbeitung durch amerikanische Geheimdienste auf das Notwendige einzugrenzen. So sollen nach dem neuen Abkommen sicherheitsbehördliche Datenzugriffe und Massenspeicherungen von persönlichen Daten nur noch zur Verfolgung klar eingegrenzter nationaler Sicherheitsziele durchgeführt werden. Dabei sollen die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Nationalität oder ihrem Wohnsitzland berücksichtigt werden. Geheimdienste sollen nur dann Zugriff auf Daten erhalten können, wenn dies erforderlich erscheine, um bestimmte Spionageaktivitäten durchzuführen.

Erste Kontrollstelle für Beschwerden von Betroffenen: Ein „Sonder-Beauftragter“

Darüber hinaus sollen aufgrund des Datenschutzabkommens neue Richtlinien für Nachrichtendienste eingeführt werden, um die Privatsphäre von Betroffenen effektiver zu schützen. Geplant sei auch, Untersuchungsstellen für Beschwerden von Betroffenen einzurichten. So soll ein sogenannter „Beauftragter für den Schutz der bürgerlichen Freiheiten“ als erste Überprüfungsstelle die Beschwerden von Betroffenen entgegennehmen und prüfen. Hierbei soll es sich um einen Mitarbeiter der Direktion des nationalen Nachrichtendienstes handeln. Dieser soll künftig prüfen, ob die Datenverarbeitung durch US-Behörden tatsächlich rechtmäßig erfolgt. Ist dies nicht der Fall, soll der Beauftragte geeignete Abhilfemaßnahmen gegenüber den Sicherheitsbehörden ergreifen dürfen. Allerdings sollen diese Maßnahmen nicht sofort verbindlich gelten. Erst nach einer zweiten Prüfung durch eine zweite Untersuchungsstelle sollen die Maßnahmen und Entscheidungen des Beauftragten gegenüber den US-Sicherheitsbehörden verbindliche Wirkung entfalten.

Zweite Kontrollstelle für Beschwerden: Das Datenschutzgericht

Als zweite Überprüfungsebene für Beschwerden soll ein sogenanntes „Datenschutz-Überprüfungsgericht“ („Data Protection Review Court“) eingerichtet werden, das mit unabhängigen Richtern besetzt werde. Das neue Datenschutzabkommen soll vorsehen, dass Betroffene mit einem Antrag dieses Gericht anrufen können sollen, um eine unabhängige Prüfung der Entscheidung des Sonder-Beauftragten in die Wege zu leiten. Erst die Entscheidungen der dort sitzenden Richter sollen für die US-Sicherheitsbehörden verbindlich sein. Anrufen könne man das Datenschutzgericht allerdings nur mithilfe eines von diesem Gericht ausgewählten und auf Datenschutz spezialisierten Rechtsanwalts.

US-Datenschutzaufsicht

Außerdem sei die „US-Aufsichtsbehörde für den Schutz der Privatsphäre und der bürgerlichen Freiheiten“ („Privacy and Civil Liberties Oversight Board“) aufgefordert worden, datenschutzrelevante Strategien und Abläufe der Geheimdienste zu überprüfen. Es soll sichergestellt werden, dass diese Verfahrensweise der Geheimdienste mit der Anweisung des US-Präsidenten übereinstimmen. Zugleich soll die Aufsichtsbehörde jährlich überprüfen, ob die Behörden die Entscheidungen und Abhilfemaßnahmen des Sonder-Beauftragten und des Datenschutzgerichts tatsächlich umsetzen und befolgen.

Schrems kündigt Überprüfung an – Wird es ein Schrems III geben?

Maximilian Schrems, der sowohl das Safe Harbor- als auch das Privacy Shield-Abkommen zu Fall brachte, hat sich bereits angekündigt und zum möglichen neuen Datenschutzabkommen wie folgt positioniert:

Schrems befürchtet, dass die USA ihre Massenüberwachungssysteme nicht einschränken werden. So würden sämtliche europäische Daten, die an US-Provider gesendet werden, weiterhin in Programmen wie PRISM und UPSTREAM landen, obwohl der EuGH diese Form der Überwachung bereits zweimal als unverhältnismäßig und damit rechtswidrig eingestuft habe. Er kritisiert zudem, dass anstelle eines unabhängigen Gerichts ein Beauftragter als Mitarbeiter des „Director of National Intelligence“ erste Beschwerdestelle für Betroffene werden soll. So könne eine unabhängige Prüfung von Datenverarbeitungen der US-Geheimdienste nicht stattfinden. Darüber hinaus stelle das geplante US-Datenschutzgericht als zweite Kontrollstelle ebenfalls kein unabhängiges Gericht im Sinne der EU-Grundrechtecharta dar.

Schrems sagt: „Wir prüfen das nun genauer, aber auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtliche Basis. Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ Es könnte folglich „Schrems III“ geben.

Ausblick

Zu begrüßen ist zumindest, dass die US-Regierung sich bemüht, die Urteile des EuGH umzusetzen. Dass Betroffenen aus der EU nunmehr ermöglicht werden soll, gegen illegale Datenverarbeitungen durch US-Behörden in den USA vorzugehen, ist ein Schritt in die richtige Richtung. Ob und wie ein betroffener EU-Bürger in den USA seine Datenschutzrechte wird geltend machen können, bleibt abzuwarten. Fraglich bleibt natürlich auch, wie der EuGH das Datenschutzabkommen bewerten wird, falls es zustande kommen sollte. Wir würden uns in jedem Fall nachhaltige Lösungen für die Datenverarbeitung zwischen den USA und der EU, ohne den Umweg über Schrems III, sehr wünschen!

Sollte das neue Datenschutzabkommen zustande kommen und die EU-Kommission darauf beruhend tatsächlich einen Angemessenheitsbeschluss erlassen, wird der EU-USA-Datenverkehr wesentlicher einfacher erfolgen können als bisher. Dies gilt zumindest so lange, bis kein entgegenstehendes EuGH-Urteil ergeht. Mit Blick auf deutsche Unternehmen werden hierbei selbstverständlich auch die Auffassungen und Empfehlungen der hiesigen Datenschutzaufsichtsbehörden eine wichtige Rolle spielen.

Wir beobachten die Reaktionen deutscher Datenschutzbehörden genau und werden die Entwicklungen in der Rechtsprechung zum Thema Datenschutzabkommen verfolgen.

Haben Sie Fragen zu EU-US-Datenübermittlungen bzw. zu einem möglichen Schrems III? Sprechen Sie uns gerne an.

Die auf Datenschutz spezialisierten Software-Entwickler unseres Schwesterunternehmen „Byte Solution“ haben ein softwarebasiertes Datenschutz-Management-System entwickelt: die sogenannte „Privacy-Management-Cloud“ (kurz: PRIMA Cloud). Die PRIMA Cloud enthält neben anderen Datenschutz-Funktionalitäten auch den „Vertragsmanager“. Hier können Sie sämtliche datenschutzrelevante Verträge verwalten und strukturieren. Die PRIMA-Cloud leitet Sie an, Ihre Prozesse im Unternehmen sofort datenschutzkonform zu gestalten.

Bernhard Brands und das Team der Brands Consulting stehen Ihnen gerne in Fragen des Datenschutzes zur Verfügung. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse. Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!

Ähnliche Beiträge