Datentransfers zwischen der EU und den USA sind spätestens seit der Aufhebung des EU-US Privacy Shield höchst umstritten. Der Europäische Gerichtshof (EuGH) hatte das Abkommen aufgrund mangelnden Datenschutzes in den USA gekippt. Seither besteht große Rechtsunsicherheit.

Ändern könnte das nun eine im Oktober präsentierte Executive Order von US-Präsident Joe Biden. Sie soll als Grundlage für einen "Angemessenheitsbeschluss" der Europäischen Kommission dienen und den Datenaustausch wieder erleichtern. Gibt es damit bei transatlantischen Datentransfers wieder Klarheit?

Deutliche Verbesserung

Kritik an Bidens Verordnung hagelte es prompt vom Datenschutzverein NOYB. Demnach sei die unverhältnismäßige Massenüberwachung weiterhin fester Bestandteil von US-Geheimdienstaktivitäten. Es seien zwar nun die Wörter "necessary" und "proportionate" aus dem EU-Recht in das US-Recht überführt worden, jedoch ohne sich darauf zu einigen, ob sie dieselbe Bedeutung wie in der EU haben.

Zudem soll in den USA zwar ein sogenannter "Data Protection Review Court" (DPRC) eingerichtet werden, an den sich Unionsbürger wenden können. Dieser würde aber nach wie vor nicht dem Standard der europäischen Grundrechte auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht genügen, kritisieren die Datenschützer.

Neue Regelungen

Eine skeptische Haltung ist angesichts der vergangenen EuGH-Entscheidungen nachvollziehbar. Es sollte dabei aber nicht übersehen werden, dass die Verordnung Verbesserungen mit sich bringt.

Der DPRC ist im Falle einer Überprüfung in Panels von drei "Richtern" organisiert. Die Auswahl der Juristen wird durch den Justizminister in Abstimmung mit dem Handelsminister, dem Direktor des Nationalen Geheimdienstes und dem Privacy and Civil Liberties Oversight Board erfolgen. Die "Richter" dürfen nicht nur zum Zeitpunkt ihrer Erstbestellung, sondern auch in den vorangegangenen zwei Jahren nicht Teil der Exekutive gewesen sein und müssen Erfahrung im Bereich des Datenschutzes vorweisen. Die Absetzung eines Mitglieds durch den Justizminister ist etwa bei Fehlverhalten oder Untauglichkeit möglich, allerdings nur unter strengen Voraussetzungen. Der DPRC ist zudem nicht, wie die vormalige Ombudsperson, den Weisungen des Außenministers unterstellt. Insofern gibt es hier zumindest auf dem Papier eine deutliche Verbesserung.

Seitenweise Garantien

Weiters beschränkt sich die Executive Order auch in Bezug auf Überwachungsmaßnahmen keineswegs auf die Aufnahme der Begriffe "necessary" und "proportionate". Seitenweise werden Garantien beschrieben, die implementiert werden sollen, um den Verhältnismäßigkeitsgrundsatz der EU-Grundrechtecharta zu wahren. Dies soll durch eine Interessenabwägung zwischen der Bedeutung der Überwachungstätigkeit und den Auswirkungen auf die Grundrechte der betroffenen Personen erreicht werden. Zudem dürfen Überwachungsmaßnahmen lediglich zur Verwirklichung von Zielen vorgenommen werden, die nunmehr genau definiert sind.

Sollte der erwartete Angemessenheitsbeschluss trotz der Fortschritte der US-Regierung nicht im Einklang mit strengen Vorgaben des EU-Rechts stehen, schließt NOYB eine neuerliche Befassung des EuGH nicht aus. Es dürfte somit nur eine Frage der Zeit sein, bis sich der Gerichtshof wieder damit beschäftigt. Klar ist: Ein Angemessenheitsbeschluss und die damit verbundene Rechtssicherheit werden noch auf sich warten lassen. Bis dahin stehen die übrigen Instrumente zur internationalen Datenübermittlung, wie Standardvertragsklauseln, zur Verfügung.

Weiterhin muss dabei ein Transfer Impact Assessment durchgeführt werden, bei dem die Risiken des Datentransfers ermittelt und allenfalls eingedämmt werden. Es sind deshalb nach wie vor zusätzliche Maßnahmen, wie Pseudonymisierung oder Verschlüsselung, notwendig, um Übermittlungen in die USA aufgrund von Standardvertragsklauseln rechtssicher durchzuführen zu können.

Unsicherheit bleibt

Die US-Regierung hat sich im Zuge der neuen Executive Order mit den Kritikpunkten des EuGH auseinandergesetzt und einige Veränderungen vorgenommen. Wie die tatsächliche Implementierung der angeführten Maßnahmen erfolgt und ob dies in der Praxis genügen wird, um ein angemessenes Datenschutzniveau für Unionsbürger zu schaffen, wird die Zukunft zeigen.
(Nathalie Alon, Florian Hauenstein, 25.11.2022)