In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Datenaustausch zwischen der EU und den USA: Executive Order zur Umsetzung des Datenschutzrahmens zwischen der Europäischen Union und den USA wurde von Präsident Biden unterzeichnet
Montag, 17. Oktober 2022
Der US-amerikanische Präsident Joe Biden unterzeichnete am Freitag, 7. Oktober 2022, eine Durchführungsverordnung (Executive Order) zur Umsetzung des Datenschutzrahmens zwischen der Europäischen Union und den USA. Diese Executive Order soll den Grundstein für das von den USA und der EU am 25. März 2022 angekündigte EU-U.S. Data Privacy Framework (EU-U.S. DPF) legen. Hintergrund des EU-U.S. DPF war das sogenannte Schrems II-Urteil vom Europäischen Gerichtshof vom 16. Juli 2020 (Rechtssache C-311/18), in dem die Richter den Durchführungsbeschluss zum transatlantischen Datenschutzabkommen „Privacy Shield“ für unwirksam erklärten, unter anderem, weil nach Ansicht des EuGH US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen sowie dem EU-Bürger keine Rechtsbehelfe zur Seite stehen und daher der Datenschutzstandard in den USA nicht dem in der EU entspreche.
Welchen Inhalt hat die Executive Order?
Die Executive Order soll die Bedenken des EuGH aus dem Schrems II-Urteil ausräumen und verbindliche Garantien schaffen, um das EU-U.S. DPF zu ermöglichen. Die wesentlichen Eckpunkte des Schrems II-Urteils sind (1) der nahezu uneingeschränkte Zugang von US-Geheimdiensten zu Daten von EU-Bürgern und (2) die fehlende Möglichkeit des EU-Bürgers, Rechtsbehelfe gegen unrechtmäßige Verarbeitung seiner Daten zu ergreifen.
(1) Dem ersten Punkt versucht die Executive Order dadurch zu begegnen, dass neue Anforderungen für die US-Geheimdienste und Spionageaktivitäten nur in Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden dürfen. Der Wortlaut der Executive Order orientiert sich zudem an dem Wortlaut des EU-Rechts (vgl. Artikel 52 der Charta der Grundrechte der Europäischen Union (GRCh)) und enthält Wörter wie „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate). Außerdem sollen geheimdienstliche Maßnahmen nur durchgeführt werden, wenn diese notwendig sind, um eine validierte nachrichtendienstliche Priorität voranzutreiben und nur in dem Ausmaß und auf eine Weise, die dieser Priorität angemessen ist. Der Verein non of your business (NOYB) rund um Max Schrems kritisiert, dass die neuen Begrifflichkeiten „theoretisch eines der Probleme lösen könnten, wenn die USA das Wort "verhältnismäßig" wie der EuGH auslegen würde (…)“. Außerdem werden die Massenüberwachungssysteme der USA explizit in der Executive Order erwähnt und erlaubt (siehe Abschnitt 2 (c)(ii)), wenn die Informationen zur Förderung einer validierten nachrichtendienstlichen Priorität erforderlich sind und vernünftigerweise nicht durch gezielte Erhebung gewonnen werden können.
(2) Im zweiten Schritt soll ein mehrstufiger Mechanismus für Rechtsbehelfe geschaffen werden. Die Rechtsmittelmöglichkeiten sind:
- Erste Stufe: Civil Libertins Protection Officer (CLPO)
Auf der ersten Stufe können EU-Bürger eine Beschwerde bei dem sogenannten "Civil Liberties Protection Officer" der US-Geheimdienste einreichen. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und die Grundrechte einhalten. - Zweite Stufe: Data Protection Review Court (DPRC)
Auf der zweiten Stufe haben Einzelpersonen die Möglichkeit, die Entscheidung des Civil Liberties Protection Officer vor dem neu geschaffenen Data Protection Review Court anzufechten. Das Gericht wird sich aus Mitgliedern zusammensetzen, die nicht der US-Regierung angehören, auf der Grundlage spezifischer Qualifikationen ernannt werden, nur aus schwerwiegenden Gründen entlassen werden können und keine Anweisungen von der Regierung erhalten dürfen. Der Data Protection Review Court wird befugt sein, Beschwerden von EU-Bürgern zu untersuchen, und ebenso dazu, einschlägige Informationen von Nachrichtendiensten einzuholen. Auch wird er verbindliche Abhilfeentscheidungen treffen können. Stellt das Gericht beispielsweise fest, dass Daten unter Verstoß gegen die in der Executive Order vorgesehenen Garantien erhoben wurden, kann es die Löschung der Daten anordnen.
Auch dieser Punkt wird scharf von NOYB kritisiert. NOYB führt auf, dass es sich bei dem Gericht nicht um ein Gericht im juristischen Sinne von Artikel 47 GRCh oder der US-Verfassung, sondern um eine Einrichtung innerhalb der Exekutive der US-Regierung handelt.
Was sind die nächsten Schritte?
Auf Grundlage der verabschiedeten Executive Order wird die europäische Kommission nun an einem Angemessenheitsbeschluss arbeiten. Für das Verfahren muss die Kommission zunächst eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) einholen. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen. Bevor ein endgültiger Angemessenheitsbeschluss in Bezug auf die USA steht, wird also sicherlich noch einige Zeit vergehen und es ist abzusehen, dass auch das EU-U.S. DPF juristisch (von NOYB) angegriffen wird.
Handlungsempfehlungen
Die Executive Order wird auch ohne transatlantisches Abkommen bereits unmittelbare Auswirkungen für Datenübermittlungen in die USA haben: Aufgrund des Schrems II-Urteils sind Datenexporteure zur Durchführung eines sogenannten Transfer Impact Assessments verpflichtet und müssen in diesem Zusammenhang die nationale Rechtslage im Land des Datenimporteurs bewerten. Hierbei wird die geänderte Rechtslage in den USA künftig zu berücksichtigen sein. Bereits durchgeführte und dokumentierte Transfer Impact Assessments sollten entsprechend aktualisiert und neu bewertet werden. Unsere Expertinnen und Experten unterstützen Sie herbei gerne.
