Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Rechtsbericht | USA | Datenschutzrecht

Entwicklungen im US-EU-Datenschutz 2022

Nach der politischen Einigung im März 2022 hat US-Präsident Biden im Oktober 2022 eine Executive Order zur Schaffung eines neuen transatlantischen Datenschutzabkommens unterzeichnet.

Von Jan Sebisch | Bonn

Einigung über transatlantisches Datenschutzabkommen

Bereits im März 2022 haben US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen bekannt gegeben, dass sie eine grundsätzliche Einigung über einen neuen EU-US-Datenschutzrahmen erzielt haben. US-Präsident Biden hat nun am 7. Oktober 2022 eine Executive Order zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities) unterzeichnet.

Zuvor hatte der Europäische Gerichtshof (EuGH) bereits am 16. Juli 2020 mit Urteil in der Rechtssache "Schrems II" (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Die Richter bemängelten damals, dass das Niveau des Datenschutzes in den USA nicht den Standards der EU entspreche.

Ein Kritikpunkt des EuGH war der Ombudsperson-Mechanismus des Privacy Shield-Beschlusses. Dieser ermöglichte es EU-Bürgern, sich über die Überwachung durch US-Geheimdienste bei ihren lokalen Datenschutzbehörden zu beschweren; die Datenschutzbehörden sind wiederum verpflichtet gewesen, diese Beschwerden an eine Ombudsperson im US State Department (US-Außenministerium) weiterzuleiten. Die Ombudsperson ist dann verpflichtet gewesen, die Beschwerde entsprechend zu bearbeiten und für die Abstellung etwaiger Verstöße zu sorgen. Der EuGH sah durch diesen Ombudsperson-Mechanismus keinen ausreichenden Rechtsschutz gewährleistet, da die vorgesehene Ombudsperson (als administrative employee beziehungsweise als Verwaltungsangestellter) nicht wirklich unabhängig von der US-Exekutive agieren kann und zudem nicht befugt ist, bindende Anordnungen gegenüber den US-Geheimdiensten zu erlassen. Für Unternehmen ist durch das EuGH-Urteil große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU entstanden.

Executive Order schafft Rechtsschutzmechanismus 

Die von US-Präsident Biden im Oktober 2022 erlassene Executive Order greift die Kritik des EuGH auf und schafft nunmehr einen zweistufigen Rechtsschutzmechanismus für EU-Bürger. Auf der ersten Stufe können EU-Bürger (wie bisher) eine Beschwerde bei der Datenschutzbehörde ihres Heimstaates einreichen, die diese dann weiterleitet. Anstelle einer Ombudsperson beim US State Department werden entsprechende Beschwerden von einem Civil Liberties Protection Officer (Datenschutzbeauftragten) des US Intelligence Coordination Center (Nationales Koordinationszentrum für Nachrichtendienste) bearbeitet und das Ergebnis der Beschwerde dem Beschwerdeführer anschließend mitgeteilt.

Auf der zweiten Stufe besteht für EU-Bürger die Möglichkeit, die Entscheidung des Civil Liberties Protection Officer von einem (neu zu schaffenden) Data Protection Review Court (Datenschutzgericht) überprüfen zu lassen. Der Data Protection Review Court ist zwar nicht Teil der Judikative, soll aber innerhalb der Exekutive unabhängig agieren. Hinsichtlich dessen ist unter anderem erforderlich, dass es sich bei den Richtern um Personen handelt, die nicht Teil der US-Regierung sind (zum Beispiel ehemalige Richter). EU-Bürger können am Verfahren nicht teilnehmen, sondern werden von einem vom Datenschutzgericht bestellten Rechtsanwalt vertreten. Im Rahmen der Überprüfung der Entscheidung des Civil Liberties Protection Officer ist das Gericht befugt, entsprechende Informationen von den US-Geheimdiensten einzuholen. Nach Abschluss des gerichtlichen Überprüfungsverfahren wird die Entscheidung dem Beschwerdeführer mitgeteilt.

Zukunft des transatlantischen Datenaustauschs noch ungewiss

Auf der Grundlage der erlassenen Executive Order möchte die Europäische Kommission nun einen Angemessenheitsbeschluss für den neuen "Transatlantischen Datenschutzrahmen" vorbereiten und das Verfahren zu dessen Annahme einleiten. Das Annahmeverfahren für einen Angemessenheitsbeschluss besteht allerdings aus verschiedenen Schritten. Unter anderem ist die Einholung der Stellungnahme des Europäischen Datenschutzausschusses erforderlich.

Ein konkretes Datum für den in Aussicht gestellten Angemessenheitsbeschluss existiert bisher nicht. Mit einer Verabschiedung dürfte frühestens Anfang des Jahres 2023 zu rechnen sein. 

Was bedeutet EU-Angemessenheitsbeschluss für Unternehmen?

Ein Angemessenheitsbeschluss stellt nicht die einzige Möglichkeit zur Übermittlung von personenbezogenen Daten dar. Die aktuell häufigste verwendete Option zum sicheren Austausch von personenbezogenen Daten mit den USA sind Standardvertragsklauseln. Erst im vergangenen Jahr hat die Kommission modernisierte Standardvertragsklauseln verabschiedet.

Zum Thema:

nach oben
Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.