Anfang Oktober 2022 hat US-Präsident Biden die Executive Order für das geplante US-EU Data Privacy Framework unterschrieben. Was das für den zukünftigen Datentransfer in die USA bedeutet, das beantwortet in drei Fragen Dr. Jens Eckhardt, Fachanwalt für IT-Recht bei Derra, Meyer & Partner in Düsseldorf und Vorstand bei EuroCloud Deutschland.
Herr Dr. Eckhardt, das Trans-Atlantic Data Privacy Framework löst ja den rechtlich gescheiterten Privacy Shield ab, was ist jetzt besser geregelt?
Nach dem sich die EU und die USA bereits vor rund sechs Monaten grundsätzlich geeinigt hatten, hat am 7. Oktober der US-Präsident eine sogenannte Executive Order erlassen, mit welcher der Kritik des EuGH am gescheiterten EU-US Privacy Shield Rechnung getragen werden soll. Formal wird ein Verhältnismäßigkeitsvorbehalt in Bezug auf die (Massen-)Überwachung durch die US-Sicherheitsbehörden eingeführt. Ob die USA insoweit das gleiche Verständnis von Verhältnismäßigkeit haben, wird sich zeigen müssen. Formal wird auch ein gerichtlicher Rechtsbehelf gegen Überwachungsmaßnahmen geschaffen. Jedoch wird bereits kritisiert, dass das, was formal als Gericht („Court“) bezeichnet wird, tatsächlich kein unabhängiges Gericht im Sinne des EU-Rechtsverständnisses sei. Eine Executive Order ist auch kein Gesetz, das die Vorgaben umsetzt, sondern – vereinfacht gesagt – eine Verwaltungsanweisung. Kurzum: Formal wird durch die USA auf die Kritik des EuGH eingegangen und damit der Weg für einen neuen einfachen Datentransfer aus der EU in USA frei gemacht.
Wie geht es jetzt weiter, ab wann gilt die neue Regelung?
Allein die Executive Order hat für die Rechtslage in der EU und Deutschland keine Auswirkung. Hierfür ist neuer sogenannter Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO erforderlich. Wenn dieser getroffen ist, dürfen personenbezogene Daten wieder vereinfacht nach Maßgabe dieses Angemessenheitsbeschlusses in die USA transferiert werden. Die Executive Order ist für diesen Beschluss entscheidend. Denn der EuGH hatte klargestellt, dass die EU-Kommission die datenschutzrechtliche Situation in einem Drittland umfassend prüfen muss und ohne diese Executive Order war kein angemessenes Datenschutzniveau für die USA begründbar. Mit Blick auf das Verfahren zu einem solchen Beschluss ist ab Frühjahr 2023 mit einem neuen Angemessenheitsbeschluss zu rechnen.
Wie werden Unternehmen in Deutschland von dem Abkommen profitieren?
Der Angemessenheitsbeschluss der EU-Kommission führt dazu, dass ein Transfer personenbezogene Daten zulässig ist, wenn die entsprechenden Vorgaben eingehalten sind. Damit entfällt die aktuell erforderliche individuelle Prüfung, ob personenbezogene Daten in die USA transferiert werden können. Es gibt wieder einen einfachen und klaren Rechtsrahmen für den Datentransfer in die USA. Aber – und das gehört sicherlich auch zur Wahrheit – die nächste Klage gegen diesen Rechtsrahmen vor dem EuGH wird kommen und dann wird sich zeigen, ob der bisherigen Kritik des EuGH nur formal oder auch tatsächlich abgeholfen wurde. Der Vorteil ist in jedem Fall: Solange der neue Angemessenheitsbeschluss der EU-Kommission nicht durch den EuGH aufgehoben ist, können sich die Datenverarbeiter hierauf stützen.
Herr Dr. Eckhardt, vielen Dank für das Interview!