In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Auf der Zielgeraden? Teil 1: Datentransfers aus der EU in die USA
Donnerstag, 22. Juni 2023
Es ist Juni und wir nähern uns der Halbzeit des Jahres 2023. Dies nehmen wir zum Anlass, einen Blick auf die Entwicklungen zweier datenschutzrechtlicher „Dauerbrenner“ zu werfen, deren Abschluss viel oder auch wenig Veränderungen mit sich bringen könnte.
Was hat sich in Sachen Erleichterung der Datenübermittlungen aus der EU in die USA getan?
Zuletzt berichteten wir im Oktober 2022 über die vom US-amerikanischen Präsidenten Joe Biden unterzeichnete Durchführungsverordnung (Executive Order: EO 14086) zur Umsetzung des Datenschutzrahmens zwischen der Europäischen Union und den USA vom 7. Oktober 2022. In Folge des sogenannten Schrems II-Urteils vom Europäischen Gerichtshof vom 16. Juli 2020 (Rechtssache C-311/18) durfte eine Übermittlung von Daten aus der EU in die USA nicht mehr auf eine EU-US-Privacy-Shield-Zertifizierung des Daten empfangenden US-Unternehmens gestützt werden. Stattdessen mussten EU-Unternehmen aufwendige Risikobetrachtungen vornehmen, sogenannte Transfer Impact Assessments („TIA“), um die Datenübermittlung datenschutzkonform durchführen zu können. Nun sollte durch die Einführung einer neuen EU-US-Zertifizierung für US-Unternehmen und die von Präsident Biden erlassene EO 14086 alles wieder einfacher werden. Vorausgesetzt: Der EU-Kommission würden die von den zertifizierten US-Unternehmen einzuhaltenden Datenschutzprinzipien und die aus der EO 14086 folgenden Änderungen am US-Rechtsrahmen ausreichen, um von einem mit der EU vergleichbaren Datenschutzniveau auszugehen.
Tatsächlich startete die EU-Kommission unter Berücksichtigung der neuen EO 14086 im Dezember 2022 in das Verfahren zur Annahme eines US-Angemessenheitsbeschlusses. Sie veröffentlichte den Entwurf eines solchen Angemessenheitsbeschlusses. In dem Entwurf setzt sich die EU-Kommission detailliert mit der Rechtslage in den USA auseinander und kommt zu dem Ergebnis, dass für Datenübermittlungen in die USA an solche Unternehmen/Organisationen, die sich nach dem neuen „Data Privacy Framework“ zertifizieren lassen, ein mit der EU vergleichbares Datenschutzniveau bestünde. In der Folge wäre eine Übermittlung an die zertifizierten US-Unternehmen ohne weitere Maßnahmen möglich. Insbesondere könnte auf die Erstellung eines TIA zur Bewertung des mit der Datenübermittlung einhergehenden Risikos verzichtet werden. Klingt erstmal gut? Zahlreiche kritische Stimmen bewerten dies anders.
Den Anfang machte im Februar 2023 der Europäische Datenschutzausschuss (EDSA) mit seiner Stellungnahme zum Entwurf der EU-Kommission. Der EDSA begrüßte, dass der US-Rechtsrahmen für nachrichtendienstliche Tätigkeiten durch die Verabschiedung der EO 14086 geändert werde. Er erachtet die in der EO 14086 geregelten Sicherheitsvorkehrungen als eine bedeutende Verbesserung, da die Begriffe der Notwendigkeit und der Verhältnismäßigkeit in den US-Rechtsrahmen im Kontext der Nachrichtenübermittlung aufgenommen würden. Wenn nach den Voraussetzungen der EO 14086 zudem die EU als qualifizierte Organisation für regionale wirtschaftliche Einheit eingestuft würde, stünde für Betroffene aus der EU zudem in den USA ein neuer Rechtsbehelfsmechanismus zur Verfügung, um Verletzungen von Datenvorschriften in den USA zu verfolgen bzw. verfolgen zu lassen.
Andererseits vermisst der EDSA im US-Recht zu einigen datenschutzrelevanten Themen klare Regelungen und Definitionen. So äußert der EDSA beispielsweise auf Seite 3 seiner Stellungnahme, dass im Hinblick auf die rasante technologische Entwicklung spezifische Regeln für automatisierte Entscheidungsfindungen erforderlich seien, um einen ausreichenden Schutz personenbezogener Daten beim Einsatz von KI-Anwendungen zu gewährleisten. Der einzelne Betroffene solle das Recht haben, die der automatisierten Entscheidung zugrunde liegende Logik zu kennen, die Entscheidung anzufechten und ein menschliches Eingreifen zu erwirken, wenn die Entscheidung erhebliche Auswirkungen auf die Person habe.
Weitere Bedenken des EDSA fasste der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seiner Pressemitteilung 7/2023 wie folgt zusammen:
„Anlass für Bedenken sieht der EDSA vor allem bei der Massenerhebung von Daten, die ‚Bulk Collection‘, für die weder eine unabhängige Vorab-Kontrolle noch eine systematische unabhängige nachträgliche Überprüfung durch ein Gericht oder eine unabhängige Stelle vorgesehen ist.“
Schließlich forderte der EDSA die EU-Kommission dazu auf, die fortwährende Angemessenheit des Datenschutzniveaus in den USA alle drei statt vier Jahre zu überprüfen. Die Kommission solle ein Auge darauf haben, wie sich die neuen Regelungen in der Praxis auswirkten und insbesondere wie die US-Behörden die neuen Schutzmaßnahmen umsetzten.
In diversen Pressemitteilungen der deutschen Aufsichtsbehörden fand der EDSA einhellige Zustimmung zu seinen Ausführungen.
Vor einem Monat (im Mai) äußerte sich nun auch das EU-Parlament zur Angemessenheit des Datenschutzes bei EU-US-Transfers. Das EU-Parlament erachtet die Änderungen des US-Rechtsrahmens als nicht ausreichend und fordert die EU-Kommission auf, den Angemessenheitsbeschluss vorerst nicht zu erlassen. Einige der Kritikpunkte des EU-Parlaments sind:
- Die in der EO 14086 aufgenommenen Begriffe der Notwendigkeit und Verhältnismäßigkeit seien mit dem EU-Verständnis nicht vergleichbar. Zu kritisieren sei insbesondere, dass nach der EO 14086 US-Analysten nicht für jede Überwachungsentscheidung eine Bewertung der Verhältnismäßigkeit vornehmen müssten.
- Es gebe keine hinreichenden Schutzmechanismen für den Fall der Massenerhebung von Daten („Bulk Collection“). Insbesondere fehle es an einer unabhängigen vorherigen Zustimmung sowie an klaren und strengen Vorschriften für die Datenspeicherung, die vorübergehende Massenerhebung sowie für die Weitergabe der gewonnenen Daten.
- Die Executive Order 14086 finde keine Anwendung auf Daten, auf die die US-Behörden auf anderem Wege zugriffen, beispielsweise im Rahmen des Cloud Act oder des US Patriot Act.
- Zwar sei ein Rechtsbehelfsmechanismus geschaffen worden, der es betroffenen Personen in der EU ermögliche, eine Beschwerde einzureichen, die Entscheidungen des „Datenschutz-Überprüfungsgerichts“ würden jedoch als Verschlusssache eingestuft und weder veröffentlicht noch dem Beschwerdeführenden zugänglich gemacht.
- Das „Datenschutz-Überprüfungsgericht“ sei Teil der Exekutive und nicht der Judikative. Der amerikanische Präsident könne die Entscheidungen des „Datenschutz-Überprüfungsgerichts“ außer Kraft setzen und die „Richter“ während ihrer vierjährigen Amtszeit abberufen.
- Die Vereinigten Staaten verfügten im Gegensatz zu allen anderen Drittländern, für die im Rahmen der Datenschutzgrundverordnung ein Angemessenheitsbeschluss angenommen worden sei, über kein Datenschutzgesetz auf Bundesebene. Außerdem könne die EO 14086 vom amerikanischen Präsidenten jederzeit geändert oder aufgehoben werden.
- Die EU und ihre Mitgliedstaaten seien (noch) nicht als Länder benannt, die befugt wären, vor dem „Datenschutz-Überprüfungsgericht“ einen Rechtsbehelf einzulegen.
Ob die EU-Kommission die Entschließung des EU-Parlaments tatsächlich zum Anlass nimmt, die Annahme des US-Angemessenheitsbeschluss hinauszuschieben oder sich nach einer Bewertung der Kritikpunkte gleichwohl für eine (zeitnahe) Annahme entscheidet, bleibt abzuwarten. Da die US-Behörden für die Umsetzung der neuen Vorgaben noch bis zum Oktober 2023 Zeit haben, liegt die Vermutung nahe, dass zumindest diese Umsetzungsfrist von der EU-Kommission abgewartet werden wird. Gegen diese Vermutung spricht, dass die EU-Kommission mit der offiziellen Beteiligung der EU-Mitgliedstaaten nunmehr begonnen hat. Sollten die Kritikpunkte des EU-Parlaments von der EU-Kommission in dem finalen Angemessenheitsbeschluss keine Berücksichtigung finden und ggf. nicht in neuen Verhandlungen mit der US-Regierung angegangen werden, steht zu befürchten, dass sich diese Kritikpunkte in einem weiteren „Schrems-Urteil des Europäischen Gerichtshofes“ niederschlagen werden. Konsequenz wäre, dass auch dieser Angemessenheitsbeschluss gekippt werden könnte. Vor dem Hintergrund ist es fraglich, ob US-Unternehmen überhaupt den Aufwand betreiben werden, sich nach den neuen EU-US-Data-Privacy-Framework-Grundsätzen zertifizieren zu lassen.
Es empfiehlt sich daher weiter, für EU-US-Datenübermittlungen auf die gängigen Mechanismen, wie den Abschluss der von der EU-Kommission herausgegebenen EU-Standardvertragsklausel, zu setzen und daneben eine Risikobetrachtung in einem TIA durchzuführen.
Einen Vorteil hat das Verfahren zur Annahme eines US-Angemessenheitsbeschlusses jedoch in jedem Fall: Für die im TIA vorzunehmende Betrachtung der US-Rechtslage lässt sich nunmehr auf die Ausführungen der EU-Organe zum US-Recht Bezug nehmen. Insbesondere der Entwurf der EU-Kommission bietet sich hier als Quelle an. Einen Teil der Arbeit kann man damit zumindest effizienter gestalten und den Aufwand reduzieren.