Das Internet und die Digitalisierung sind derzeit ohne Dienstleistungen amerikanischer Unternehmen nicht denkbar. Datentransfers zu diesen Unternehmen lassen sich daher kaum vermeiden. Indessen umfassen viele dieser Datentransfers personenbezogene Daten, so dass das europäische Datenschutzrecht in Form der Datenschutzgrundverordnung (DSGVO) regelmäßig zu beachten ist. Dieses unterwirft den Datentransfer in Gebiete außerhalb des europäischen Wirtschaftsraums (EWR) – so genannte „Drittländer“ – allerdings diversen Vorgaben, die in Art. 44 ff. DSGVO geregelt sind. Daher sind Datentransfers an amerikanische Unternehmen nur dann zulässig, wenn diese Vorgaben beachtet werden. Eine wichtige praktische Grundlage für Datentransfers in Drittländer findet sich in Art. 45 DSGVO, der so genannte Angemessenheitsbeschluss. Danach darf ein Datentransfer in solche Drittländer vorgenommen werden, für die die EU-Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau bietet.
Einen solchen Angemessenheitsbeschluss gab es für die USA zuletzt mit dem sogenannten „Privacy Shield“-Abkommen aus dem Jahr 2016. Eben diesen Angemessenheitsbeschluss erklärte der EuGH jedoch in seinem „Schrems II“-Urteil vom 16. Juli 2020 für ungültig. Der EuGH kam zu dem Ergebnis, dass im Privacy Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts ein Vorrang eingeräumt wurde, der Eingriffe nicht auf ein verhältnismäßiges Maß beschränkte – es konnten mehr als nur die zwingend notwendigen Daten erhoben werden. Des Weiteren seien keine geeigneten Rechtsmittel eröffnet gewesen.
Nach dem Urteil behalfen sich auch die bislang unter dem Privacy Shield zertifizierten Unternehmen alternativ mit dem Abschluss von Standardvertragsklauseln gem. Art. 46 DSGVO. Diese bieten jedoch aufgrund der durch das Schrems II Urteil bestimmten sehr hohen Anforderungen für den Datentransfer in ein Drittland nur eingeschränkt Abhilfe. Vor allem die Durchführung eines aufwändigen „Transfer Impact Assessment“ (TIA) unter Berücksichtigung des Rechtsniveaus beim Drittlandempfänger erweisen sich in der Praxis als komplexe Herausforderung. Wegen des damit verbundenen Aufwandes besteht seit jeher der Wunsch nach einer Neuauflage des Privacy Shields. Lange Zeit war es trotz Verhandlungen allerdings unklar, ob es dazu kommen würde. Überraschend haben sich die USA und die EU am 25. März 2022 politisch auf das so genannte „Trans-Atlantic Data Privacy Framework“ (TADPF) geeinigt, welches die Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission bilden soll. Wie im Vorfeld von Rechtswissenschaftlern antizipiert (vgl. hier und hier), soll die Umsetzung auf Seiten der USA durch eine Executive Order (näheres zu diesem Instrument hier) und nicht durch ein Gesetz geschehen. Ob dies reicht, wird einer genauen Prüfung bedürfen. Der politischen Einigung müssen nun aber Umsetzungsrechtsakte auf Seiten der USA vorbereitet werden, welche die EU-Kommission einem Angemessenheitsbeschluss zugrunde legen kann.
Die Einigung
Die Europäische Kommission und die US-Regierung haben eine „grundsätzliche“ Einigung über einen neuen Rahmen für das Privacy Shield angekündigt, der einen reibungslosen Datenverkehr zwischen der EU und den USA ermöglichen soll. Einzelheiten wurden nicht bekannt gegeben, aber das Weiße Haus erklärte in seiner Pressemitteilung, die USA seien „beispiellose Verpflichtungen“ eingegangen, um:
- den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei den Aktivitäten der US-Signalaufklärung („signals intelligence activities“) zu stärken;
- einen neuen Rechtsbehelfsmechanismus mit unabhängiger und verbindlicher Autorität einzurichten, und
- die bestehende Aufsicht über die Aktivitäten im Bereich der Signalnachrichtendienste zu verstärken.
Weiter heißt es, dass das Rahmenwerk sicherstelle, dass
- die Erhebung von Signalen nur dann erfolgen dürfe, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich sei, und den Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen dürfe;
- EU-Bürger einen neuen, mehrstufigen Rechtsbehelfsmechanismus nutzen könnten, zu dem auch ein unabhängiges Datenschutzprüfungsgericht („Data Protection Review Court“) gehöre, das sich aus Personen zusammensetze, die nicht der US-Regierung angehören und die die uneingeschränkte Befugnis hätten, über Klagen zu entscheiden und gegebenenfalls Abhilfemaßnahmen anzuordnen;
- die U.S.-Nachrichtendienste Verfahren einführen würden, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisteten.
Dies sind im Wesentlichen die gleichen Versprechen, die laut der Erwägungsgründe des Angemessenheitsbeschlusses vom 16. Juli 2016 auch das Privacy Shield erfüllen sollte (vgl. hier). Ebenso wie beim Privacy Shield wird das System auf der Grundlage einer Selbstzertifizierung funktionieren, die nach außen erkennbar gewährleistet, dass eine Organisation die Grundsätze des Abkommens einhält. Eine Datenübermittlung nach dem TADPF wird folglich voraussichtlich also nicht an alle U.S.-Empfänger zulässig sein, sondern nur an solche, die sich im Rahmen einer Selbstzertifizierung zur Einhaltung von mit der DSGVO vergleichbaren Datenschutzvorgaben verpflichten, die mit der DSGVO vergleichbar sind.
Die Reaktionen
Die Ankündigung wurde von Organisationen und Datenschutzexperten mit Erleichterung aufgenommen. Datenschützer, darunter Max Schrems und NOYB, waren jedoch vorsichtiger (um es drastisch zu illustrieren: „Lipstick on a Pig“). Sie „…erwarten, dass die Angelegenheit innerhalb von Monaten nach einer endgültigen Entscheidung wieder vor dem [Europäischen] Gerichtshof landen wird“. Dies beruht auf der Annahme, dass der endgültige Text des Privacy Shield zwar DSGVO-freundliche Formulierungen (wie z. B. „Rechtsbehelf“ und „Verhältnismäßigkeit“) verwenden, aber nicht durch Änderungen der US-Überwachungsgesetze untermauert werden wird.
Mögliche Hürden
Es bleibt abzuwarten, ob die EU und die USA diverse rechtliche Hürden ausräumen können:
Der Rechtschutzmechanismus
EU-Betroffene sollen sich laut der politischen Einigung an einen Data Protection Review Court wenden können. Feststehen dürfte nach den bisherigen Informationen, dass es sich dabei nicht um ein „echtes“ Gericht handeln wird, da (Bundes-)Gerichte nach Art. III Abs. 1 U.S. Verfassung durch Bundesgesetz geschaffen werden. Möglicherweise ist dies allerdings nicht entscheidend: Der EuGH hat in seinem Schrems I-Urteil ausgeführt, dass ein Drittland keine exakte Kopie des EU-Rechtsweges einführen müsse, um die europäischen Anforderungen zu erfüllen. Ähnliches liest man im Gutachten des Generalanwalts bei Schrems II, der Stellungnahme der WP29 zum Privacy Shield und der Empfehlung 2/2020 des Europäischen Datenschutzausschusses (EDSA). Es dürfte ausreichend sein, wenn der Data Protection Review Court hinreichend unabhängig und durchsetzungsstark ist, um einen effektiven Datenschutz zu gewährleisten. Man wird also die Ausgestaltung des Abhilfemechnismusses, wenn die Vereinbarung vorliegt, an der Rechtsprechung des EGMR und des EuGHs messen müssen. Sorge bereitet insoweit ein kürzlich ergangenes Urteil des Obersten Gerichtshofs der USA (FBI vs. Fagaza). Darin hat das Gericht die Rechte der Überwachungsbehörden auf Zugang zu personenbezogenen Daten von U.S. Einwohnern gestärkt. Letztere genießen sogar den Schutz der U.S. Verfassung, EU-Bürger aber nicht – es stellt sich daher die Frage, ob nach U.S. Recht über eine Executive Order EU-Bürgern mehr Rechte eingeräumt werden können als U.S. Einwohnern. Weiter stellt sich das praktische Problem, wie Betroffene von Überwachungsmaßnahmen der U.S. Geheimdienste erfahren werden, um sie ggf. dem Data Protection Review Court vorzulegen. Da es sich regelmäßig um Staatsgeheimnisse handeln dürfte, die die U.S. Regierung nicht offenbaren muss, könnten sich hier – aus Sicht der EU – inakzeptable Schutzlücken ergeben (siehe dazu näher unten zum Thema Verhältnismäßigkeit).
Jedenfalls muss der Data Protection Review Court für Betroffene offenstehen, auch wenn sie durch die Datenverarbeitung keine materiellen Nachteile erlitten haben. Dies ist in den USA selbst nach der U.S.-Verfassung nicht selbstverständlich, wie die jüngere Rechtsprechung etwa in der Sache TransUnion LLC vs. Ramirez zeigt.
Sodann muss sichergestellt sein, dass Entscheidungen des Data Protection Review Court von der Staatsgewalt der USA auch beachtet werden. Ob eine Executive Order ausreicht, erscheint hier fraglich. Denn eine derartige Wirkung entfalten wohl nur Rechtsverordnungen (vgl. hier).
Schutzumfang
Schließlich muss der Schutz der personenbezogenen Daten auch in der Sache gewährleistet sein. Dazu ist nach dem Schrems II-Urteil erforderlich, dass Eingriffe bei der Erhebung von Signalen („signals intelligence activities“) verhältnismäßig sind und insbesondere den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts kein automatischer Vorrang eingeräumt wird. Zunächst scheint es so, dass „signals intelligence activities“ im Verständnis der U.S. Geheimdienste die Erhebung von Daten im Sinn der Executive Order 12333 und nach FISA erfasst – also die Datenerhebung ohne und mit Hilfe von Service Providern (vgl. z.B. für die CIA hier).
Die Verhältnismäßigkeit
Letzter Knackpunkt ist die Verhältnismäßigkeitsprüfung, die der EuGH verlangt. Zunächst kann die Bundesregierung der USA bestimmte Sachverhalte als Staatsgeheimnis bezeichnen und dann werden diese Tatsachen – etwa eine Datenverarbeitung – gar nicht erst auf ihre Verhältnismäßigkeit geprüft. Als Staatsgeheimnisse können jedoch alle Tatsachen klassifiziert werden, deren Veröffentlichung den USA schaden würde, was zu weitreichenden Schutzlücken führen könnte (vgl. hier). Sodann könnte es sein, dass die Gewichte in der U.S.-Auslegung des Begriffs der Verhältnismäßigkeitsprüfung erheblich in Richtung der staatlichen Behörden verschoben sind. Erschwert wird die Bewertung dadurch, dass die U.S.-Rechtsprechung – wenn sie eine Verhältnismäßigkeitsprüfung im europäischen Sinn überhaupt kennt – diese jedenfalls nicht so benennt.
Die Zukunft
Eine endgültige Fassung des TADPF wird erst in den nächsten Monaten erwartet, so dass es wahrscheinlich nicht kurzfristig in Kraft treten wird. Wir gehen – auch vor dem Hintergrund von Äußerungen aus der EU-Kommission – davon aus, dass ein Angemessenheitsbeschluss nicht vor Ende 2022 vorliegen wird. Das Verfahren stellt sich so dar, dass zunächst die USA ihre Lösung ausarbeiten werden, ggf. in Abstimmung mit der EU-Kommission. Das Ergebnis wird dann als verbindlicher Vorschlag oder schon als gültiger U.S.-Rechtsakt der EU-Kommission zur Prüfung übermittelt. Diese holt eine Stellungnahme des EDSA ein. Vermutlich werden sich auch andere interessierte Kreise äußern. Auf Grundlage des U.S.-Prozesses und unter Berücksichtigung der Stellungnahmen wird die EU-Kommission die Prüfung abschließen und ihre Entscheidung bekannt geben.
Für Unternehmen bleibt zunächst alles beim Alten: Datenübertragungen in Drittstaaten sind bis zum Inkrafttreten des TADPF nur aufgrund geeigneter Garantien und damit u.a. in der Regel nur aufgrund von Standradvertragsklauseln zulässig. Ein Transfer Impact Assessment (TIA) ist also auch für die USA vorerst weiter unabdingbar.
Wenn der Angemessenheitsbeschluss schließlich vorliegt, würde er potenziell eine große Erleichterung für eine Vielzahl von US-Transfers bedeuten, voraussichtlich jedoch nicht für alle: Nur solche Empfänger, die sich in einem Selbstzertifizierungsverfahren zu Einhaltung europäischer Datenschutzgrundsätze verpflichtet haben, werden grundsätzlich vom Schutzumfang des TADPF umfasst sein. Bei entsprechend zertifizierten Empfängern wäre ein vollumfängliches Transfer Impact Assessment insofern dann voraussichtlich nicht mehr erforderlich: vielmehr dürfte sich die Prüfung dann wahrscheinlich darauf beschränken können zu überprüfen, ob die Zertifizierung des Datenempfängers aktuell ist und den konkreten Datentransfer tatsächlich umfasst. Nur wenn eine der Fragen zu verneinen ist, wird noch ein vollumfänglicher TIA-Prozess notwendig sein. Für nichtzertifizierte Unternehmen hingegen wird sich durch das TADPF – ebenso wie für Empfänger in sonstigen unsicheren Drittländern – voraussichtlich nicht viel ändern: sowohl der Abschluss von Standardvertragsklauseln als auch die Durchführung eines Transfer Impact Assessments werden im Regelfall wohl erforderlich bleiben.
Das TADPF dürfte jedoch in jedem Fall erneut zu einer „Aufwertung“ des Problems der Drittlandtransfers führen. Spätestens mit Inkrafttreten des TADPF ist – da so faktisch Abhilfemöglichkeiten bestehen – mit einer verstärkten Durchsetzung der Drittlandtransferanforderungen durch die Behörden zu rechnen sein. Darüber hinaus bleibt abzuwarten, ob das TADPF tatsächlich zu einer dauerhaften Befriedung von Datentransfers in die USA führt, oder lediglich eine Verschnaufpause bis zu einem „Schrems III“-Urteil gewährt.
