Executive Order von Präsident Biden – Ist der Datentransfer in die USA nun sicher?

Vorgeschichte

Damit personenbezogene Daten in ein Drittland(ein Land außerhalb der EU plus Norwegen, Lichtenstein, Island) übermittelt werden dürfen, muss der Daten-Exporteuer (also das Unternehmen in der EU)sicherstellen, dass die Daten beim Daten-Importeuer (also das Unternehmen in bspw China, Indien oder USA) angemessen geschützt werden. Bis zum Sommer 2020 stellt das Privacy-Shield-Abkommen die Grundlage für einen Datentransfer zwischen der EU und den USA dar. Im Juli hat der EuGH dieses Abkommen jedoch in der berühmtenEntscheidung Schrems II gekippt. Seither besteht Unsicherheit darüber, ob personenbezogene Daten in die USA übermittelt werden dürfen.

Der Executive Order „on Enhancing Safeguards For United States Signals Intelligence Activities”:

Am 7.10.2022 hat US-Präsident Biden eineExecutive Order erlassen, welcher die EU-Kommission bewegen soll, einen Angemessenheitsbeschluss nach Art 45 DSGVO zu erlassen. Ein solcher Angemessenheitsbeschluss würde eine sichere „Basis“ für den Datentransferbilden. Ein solcher existiert beispielsweise bereits für den Datentransfer in die Schweiz, Israel oder Kanada. Mit dieser Executive Order will derUS-Präsident den Unsicherheiten rund um den Datentransfer in die USA ein Ende bereiten.

Inhalt

Die Executive Order besteht aus 5 Ziffern. Der wesentlichste Punkt ist, dass US-Behörden der Zugriff auf die personenbezogenenDaten erschwert wird. Damit wird jener Punkt adressiert, welcher zur Aufhebung des Privacy-Shield-Abkommens geführt hatte. US-Behörden ist es aktuell zu einfach möglich, auf personenbezogene Daten zu greifen. Die Executive Order unterscheidet dabei zwischen „legitimen Zielen“, die für ein behördliches Einschreiten vorliegen müssen sowie generell „verbotene Ziele“. Legitime Ziele können etwa seinGefahren für die nationale US-Sicherheit, die Bekämpfung von Terrorismus,Spionage aber auch bspw Gefahren für die Cybersicherheit. „Verbotene Ziele“sind hingegen Objekte, die durch die freie Meinungsäußerung, insbesondereAnsichten der Presse, geschützt sind. Die Aktivitäten der Sicherheitsbehörden sollen fortan unter eine strenge Aufsicht gestellt werden. Diese Aufsichtspersonen haben sicherzustellen, dass Verstöße behoben werden und ähnliche Vorfälle inZukunft ausgeschlossen sind. Qualifizierte Staaten sollen die Möglichkeit haben eine „qualifizierte Beschwerde“ zu lancieren. Die qualifizierteBeschwerde soll sodann durch den Director of National Intelligence geprüft werden. Dessen Entscheidung wiederum soll durch den Data Protection ReviewCourt überprüft werden können.

Der weitere Weg

Im nächsten Schritt wird die EU-Kommission das Verfahren zum Erlass eines Angemessenheitsbeschlusses in Gang setzen. EinBeschluss kann frühesten im Frühling 2023 erwartet werden. Bis dahin basiert der Datentransfer in die USA auf Grundlage der Standarddatenschutzklauseln gemäß Art 46 Abs 2 lit c DSGVO.

Zusammenfassung

Offensichtlich hat die US-Regierung die perEuGH-Entscheidung Schrems II offengelegten Baustellen erkannt und versucht diese nun zu sanieren. Neu und in dieser Tragweite durchaus überraschend ist, dass die Zugriffsmöglichkeiten der US-Sicherheitsbehörden deutlich eingeschränkt werden. Nach Lejeune (Lejeune, CR 12/20222, S 782) dürften die Regelungen der EO die Bedenken, die der EuGH im Schrems II Urteil wegen der weitreichenden und nicht immer einzelfallbezogenen Überwachungsmaßnahmen hat, ausräumen können.

Abschließend ist Lejeune (Lejeune, CR12/2022, S 785) zu zitieren: „Die USA sind der EU mit dieser neuen ExecutiveOrder weit entgegengekommen, so dass eine Fortsetzung des „USA Bashings“ nichtförderlich scheint. Stattdessen sollte man sich auf autokratische Länder konzentrieren, deren Datenschutzrecht von allen Playern (auch nach EUGHGrundsätzen!) unproblematisch als inadäquat eingestuft wird“.

‍