Am 7. Oktober 2022 hat US-Präsident Joe Biden eine Executive Order (deutsch „Durchführungsverordnung“) unterzeichnet, die künftig eine neue Rechtsgrundlage für internationale Datentransfers zwischen den USA und der EU ermöglichen soll.

Hintergrund

Bereits im März 2022 verkündeten die Europäische Kommission und der US-amerikanische Präsident in einer gemeinsamen Erklärung, dass sie sich auf ein neues Abkommen zur Übermittlung von personenbezogenen Daten zwischen der EU und den USA geeinigt haben. Das neue transatlantische Datenschutzabkommen soll Trans-Atlantic Data Privacy Framework heißen und die Nachfolgerin des EU-US Privacy Shields werden. Das EU-US Privacy Shield war zuvor die primäre Rechtsgrundlage für Datentransfers von der EU in die USA und wurde durch das Schrems-II-Urteil des Europäischen Gerichtshof (EUGH) vom 16. Juli 2020 für unwirksam erklärt. Der EUGH urteilte damals, das EU-US Privacy Shield gewährleiste kein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten von EU-Bürgerinnen und -Bürgern in den USA. Seit dem Wegfall des Privacy Shields besteht daher bei vielen Daten-Importeuren und Daten-Exporteuren große Unsicherheit über die Zulässigkeit der Übermittlung von personenbezogenen Daten in die USA.

Anpassung des Datenschutzniveaus in den Staaten

Mit Bidens neuer Executive Order soll nun der Kritik des EUGH aus dem Schrems-II Urteil abgeholfen und der transatlantische Datenverkehr erleichtert werden. Der EUGH beanstandete im Schrems-II Urteil insbesondere, dass durch amerikanische Gesetze wie dem Foreign Intelligence Surveillance Act oder dem Clarifying Lawful Overseas Use of Data Act („CLOUD-Act“) amerikanische Sicherheitsbehörden zur Durchführung von Massenüberwachungsmaßnahmen ermächtigt würden, gegen welche den EU-Bürgerinnen und Bürgern keine geeigneten Rechtbehelfe zur Verfügung stünden. Bidens Executive Order sieht daher eine Einschränkung des Zugangs von US-Sicherheitsbehörden zu personenbezogenen Daten von EU-Bürgerinnen und -Bürgern sowie die Einrichtung eines Gerichts zur Überprüfung von Datenzugriffen durch die Sicherheitsbehörden, dem „Data Protection Review Court“, vor.

Ob diese Maßnahmen den Anforderungen des EUGH entsprechen, bleibt abzuwarten. Bereits jetzt äußern der Verein NOYB und dessen Vorsitzender und Datenschützer Max Schrems Bedenken an Bidens Executive Order. So sei die Durchführung von Massenüberwachungs-maßnahmen trotz der Einführung des Begriffs der Verhältnismäßigkeit nach wie vor unverhältnismäßig und das zur Überprüfung der Maßnahmen einzusetzende Gericht wegen seiner Stellung innerhalb des amerikanischen Behördenapparats nicht unabhängig. Es sei daher zu befürchten, dass das Abkommen erneut an den Anforderungen des EUGH scheitern werde.

Wie geht es weiter?

Die Europäische Kommission hat das Überprüfungsverfahren zur Annahme eines Angemessenheitsbeschlusses eingeleitet. Sollte es zu einem Angemessenheitsbeschluss durch die Kommission kommen, wird es Unternehmen zukünftig erlaubt sein, personenbezogene Daten zwischen der EU und den USA zu übermitteln, sofern sie (wie schon zuvor unter dem EU-U.S. Privacy Shield) vom US-Handelsministerium gemäß der neuen Datenschutzrichtlinie zertifiziert wurden. In diesem Fall müsste für eine Datenübermittlung zwischen der EU und den USA nicht auf die sog. Standarddatenschutzklauseln zurückgegriffen werden, wodurch auch die aktuell erforderliche Einzelfallprüfung, ob ein Datentransfer in die USA zulässig ist, das sog. „Transfer Impact Assessment“ (TIA), entfallen würde.

Standardvertragsklauseln aktualisieren!

Bis zu einem Angemessenheitsbeschluss der Kommission wird noch einige Zeit ins Land gehen. Während Bidens Executive Order in den USA unmittelbare Rechtskraft entfaltet, ändert sich die Rechtslage hierzulande vorerst nicht. Daten-Exporteure und Daten-Importeure müssen nach wie vor die einschlägigen Module der Standardvertragsklauseln abschließen, ein TIA durchführen und ggf. weitere Maßnahmen zum Schutz personenbezogener Daten ergreifen.

Denken Sie daran, Ihre bestehenden Vertragsverhältnisse mit Drittlandsdatentransferbezug zu prüfen. Zum 27. Dezember 2022 endet die Übergangsfrist für die Verwendung der „alten“ Standardvertragsklauseln, welche damit ihre legitimierende Wirkung verlieren. Mehr Infos hierzu finden Sie in unserem Blogbeitrag vom 4. Oktober 2022.