Neuigkeit —

24.10.2022

Datenschutz Blogbeitrag Oktober 2022 – Privacy Shield 2.0?

Datenschutz im Fokus: Exekutiverlass Joe Bidens zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten.

US-Präsident Joe Biden unterzeichnete Anfang Oktober eine Durchführungsverordnung, die die Möglichkeiten amerikanischer Sicherheitsbehörden, auf persönliche Informationen von Bürgern zuzugreifen, einschränkt. Die Anordnung soll das 2016 zwischen den USA und der EU geschlossene Datenschutzabkommen „Privacy Shield“ wiederbeleben.

Dem Erlass waren langwierige Verhandlungen zwischen den Vereinigten Staaten und der EU vorausgegangen, nachdem der EuGH im Jahr 2020 entschieden hatte, dass Washington die europäischen Daten bei der Übermittlung über den Atlantik nicht ausreichend schützt. Die Bedenken der Richter konzentrierten sich auf die Tatsache, dass die US-Überwachungsprogramme keine angemessenen Maßnahmen für die europäischen Bürger vorsehen, um zu erfahren, wie die Regierung ihre Daten sammelt.

Mit der Anordnung wird ein neues Gremium innerhalb des US-Justizministeriums geschaffen, das Überwachen wird, wie die nationalen Sicherheitsbehörden der USA auf die Daten europäischer und amerikanischer Bürger zugreifen und diese nutzen können.

Nach seiner Einrichtung wird das so genannte Datenschutzprüfungsgericht innerhalb des Justizministeriums den Bürgern die Möglichkeit geben, über einen so genannten „Sonderanwalt“ Klage gegen die Verwendung ihrer Daten durch diese Behörden einzureichen, was eine potenziell bedeutende Einschränkung der Arbeitsweise von Organisationen wie der NSA (National Security Agency) darstellt.

"Diese Verpflichtungen entsprechen in vollem Umfang der Schrems-II-Entscheidung des Gerichtshofs der Europäischen Union aus dem Jahr 2020 und werden die Übermittlung personenbezogener Daten in die Vereinigten Staaten nach EU-Recht abdecken", sagte US-Handelsministerin Gina Raimondo.

Bidens Durchführungsverordnung sieht vor, dass die US-Geheimdienste Daten nur für bestimmte Zwecke der nationalen Sicherheit und in einer notwendigen und verhältnismäßigen Weise erheben dürfen. Die US-Geheimdienste sind verpflichtet, ihre Richtlinien und Verfahren zu aktualisieren, um den Leitlinien der Anordnung zu entsprechen.

Der Erlass ist der nächste Schritt bei der Schaffung eines neuen transatlantischen Abkommens über den Datenaustausch, das Tausende von Unternehmen benötigen, um Daten zwischen zwei der wichtigsten Wirtschaftsräume der Welt auszutauschen. Das Dekret muss noch einer Prüfung durch Brüssel standhalten, wo die Europäische Kommission den Text - zusammen mit Beiträgen der Datenschutzbehörden und Politiker der EU sowie der EU-Länder – in eine eigene Fassung gießen wird. In einem nächsten Schritt müsste das EU-Parlament einen Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der DS-GVO entspricht.  

Es wird erwartet, dass dieser Prozess etwa sechs Monate dauert und zu einem endgültigen Pakt führen wird, der etwa im März 2023 veröffentlicht wird.

Deutsche Datenschutzexperten sehen den neuen Anlauf für ein transatlantisches Datenschutzpaket aber bereits jetzt als gescheitert an.

So räumt das Dekret den dortigen Behörden weiterhin das Recht ein, massenweise Zugriff auf Daten von EU-Bürgern zu nehmen, wenn die nationale Sicherheit bedroht ist oder schwere Straftaten verfolgt werden oder wenn – so wörtlich – „nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“. Die Etablierung besserer interner Abläufe und die Schaffung eines speziellen Gerichts („Data Protection Review Court“) helfen wenig und sind im Kern der Debatte nicht zielführend.

Aufgrund dieser und weiterer auslegungsbedürftiger Formulierungen, werden die US-Behörden auch weiterhin in der Lage sein, Daten von EU-Bürgern zu durchleuchten.

Auch wenn das EU-Parlament einen Angemessenheitsbeschluss für die Datenübermittlung in die USA erlässt, wird der Transfer weiterhin als grober Verstoß gegen die DS-GVO einzustufen sein. Genau wie bei den beiden vorherigen Anläufen für ein Datenschutzübereinkommen (Safe Harbor & Privacy Shield), bleibt zu hoffen, dass sich die Richter des EuGHs nicht durch den ausgeübten politischen Druck beugen lassen und auch diese Vereinbarung gekippt wird.

Europäische Unternehmen sind weiterhin gut beraten, personenbezogene Daten innerhalb der EU zu behalten. Max Schrems und seine Datenschutzorganisation Noyb haben schon eine Detailprüfung und gegebenenfalls den Klageweg vor den Europäischen Gerichtshof angekündigt.

Download Veranstaltungsflyer

BETEILIGTE ANWÄLTE