Nach der Einigung über einen neuen US-EU Datenschutzrahmen zwischen dem US-Präsidenten und der Präsidentin der Europäischen Kommission veröffentlichte das Weisse Haus die lang ersehnte „executive order“ zum neuen möglichen Abkommen. Darin umschreibt die US – Regierung neue rechtliche Garantien über Zugang und Verwendung personenbezogener Daten und bewegt sich in die richtige Richtung im grossen Streitpunkt der Verfahrensgarantien für betroffene Personen.
Einleitung
Durch die Ungültigkeitserklärung des EU-US Datenschutzschild aufgrund des Urteils „Schrems II“ des EuGH, schwebte der EU-US Datenaustausch erneut im Ungewissen. Im August 2020 nahmen die EU und die USA erneut Gespräche auf, um diese Situation möglichst schnell zu lösen. Rund 6 Monate nach der Einigung über einen neuen US-EU Datenschutzrahmen zwischen US-Präsident Joe Biden und Präsidentin der Europäischen Kommission Ursula von der Leyen, veröffentlichte das Weisse Haus die lang ersehnte „executive order“ zum neuen möglichen Abkommen. Darin umschreibt die Regierung um Joe Biden neue rechtliche Garantien über Zugang und Verwendung personenbezogener Daten und bewegt sich in die richtige Richtung im grossen Streitpunkt der Verfahrensgarantien für betroffene Personen.
Zu dieser neuen „executive order“ schreibt die US Regierung, dass Diese die Datenschutz- und Bürgerrechtsgarantien für mögliche US-Spionageaktivitäten verstärkt und Mechanismen einbaut, welche eine unabhängige, bindende Überprüfung sowie den betroffenen Personen die Chance auf ein zugängliches und wirksames Rechtsmittel ermöglichen. Ein Rechtsmittel kommt für die betroffene Person dann in Betracht, wenn sie der Meinung ist, eine US-Signalspionage hätte bei der Erhebung ihre persönlichen Daten gegen geltendes US-Recht verstossen.
Die EU arbeitet momentan einen Angemessenheitsbeschluss aus. In einem Annahmeverfahren wird über die Ratifizierung dieser neuen US-Verpflichtungen entschieden. Aufgrund der Dauer des Ratifizierungsprozesses ist davon auszugehen, dass der Datenschutzrahmen spätestens im März 2023 fertig gestellt sein wird.
Wie sieht diese neue US-Verordnung aus und wie viel Eingeständnisse an die EU stecken wirklich dahinter?
Wie bereits erwähnt war ein Grund für das Scheitern des Datenschutzschildes die mangelnden Rechtsgarantien für betroffene Personen in den USA. Im neuen Abkommen sollen vor allem die Möglichkeit der Rechtsbehelfe und die Verhältnismässigkeit bei Eingriffen der US-Spionagedienste im Zusammenhang mit nationalen Sicherheitskontrollen in den USA in Einklang gebracht werden. Dafür will die USA einen mehrstufigen Mechanismus einführen. Es soll eine unabhängige und verbindliche Überprüfung und Abhilfe für den Einzelnen bei datenschutzrechtlichen Fragen ermöglicht werden. Die zweite Hälfte dieses Mechanismus beinhaltet ein Datenschutzprüfungsgericht, dessen Einrichtung durch das US-Justizministerium vorgenommen werden soll.
Die nationalen Sicherheitsbehörden der USA müssen neue Sicherheitsvorkehrungen in ihren Richtlinien aufnehmen. Deren Konzentration richtet sich auf die Zweckbindung und die Notwendigkeit beim Umgang mit Daten. Um die Behebung von Vorfällen, wo Richtlinien nicht eingehalten werden, zu gewährleisten, werden die Verantwortlichkeiten von Rechts-, Aufsichts- und Compliance-Beamten erweitert.
Laut der EU-Kommission wird der Rechtsmittelgerichtshof für einen grösseren Schutz der Daten der EU-Bürger sorgen. Im Vergleich zum Mechanismus, der unter dem Privacy Shield existierte, stellen die Veränderungen in Bezug auf die Rechtsmittel eine erhebliche Verbesserung dar. Die Beschwerde an eine Ombudsperson, welche bis anhin möglich war, stellt wegen mangelhafter Ermittlungsbefugnisse oder fehlender verbindlicher Entscheidungsbefugnisse keinen genügend hohen Schutz dar. Jedoch gibt es auf die „executive order“ nicht nur positive Anmerkungen zu machen. So kann man negativ auf den Plan zur Einrichtung des Gerichts reagieren, da dieser mit Lücken behaftet ist. Unklarheiten treten in Bezug auf den „Sonderanwalt“ oder den Status des Data Protection Review Court (DPRC) als Verfassungsgericht auf.
Auswirkungen auf die Wirtschaft
Unternehmen mussten sich in der Vergangenheit mit vielen Unklarheiten beschäftigen. So wussten sie nicht, ob ihre Compliance-Verpflichtungen für Datenübertragungen ausreichend waren. Die jüngsten Entwicklungen werden vor allem US-Unternehmen erfreuen, welche in der EU tätig sind, denn diese können ihren Kunden nun konkrete Zusicherungen geben. Unternehmen, welche nach dem jetzigen Privacy-Shield-Rahmenwerk zertifiziert sind, können für die Übermittlung von Daten in die USA die Vorteile der überarbeiteten Version des Shields nutzen. Dieser Übermittlungsmechanismus schützt die Datenübermittlungen in die USA auf viel einfacherem Weg, als dies die komplexen Standardvertragsklauseln machen. Mit dieser Komplexität müssen sich die Unternehmen nicht mehr auseinandersetzen, ausser wenn sie Daten rechtmässig in andere Länder übermitteln. Das US-Handelsministerium wird weitere Aktualisierungen und Hinweise für die Teilnehmer am Privacy Shield herausgeben, welche darüber informieren, wie die Unternehmen diese Änderungen in ihren Datenschutzrichtlinien berücksichtigen können.
Schlusswort
Der „executive order“ führt laut Europäischer Kommission neue verbindliche Garantien ein, damit alle Punkte, welche vom Gerichtshof der EU aufgeworfen wurden, angegangen werden können. So soll eine dauerhafte, verlässliche Rechtsgrundlage für den transatlantischen Datenverkehr geschafft werden. Die vom EuGH aufgezeigten Grenzen werden von der „executive order“ gut berücksichtigt. Die erste Hürde, welche überwindet werden musste, war die Überwachungsfrage. Die USA haben aktiv dazu beigetragen, dass diese enorme Hürde überwunden werden konnte.
Die Tatsache, dass die EU das Angemessenheitsverfahren einleiten wird, macht deutlich, dass die Regierungsvertreter sowohl der USA als auch der EU einer Meinung sind und zwar, dass mit dem Datenschutzrahmen und den EU-Standards eine wesentliche Gleichwertigkeit einhergeht.