Am Freitag, dem 7. Oktober, hat US-Präsident Biden eine sogenannte Executive Order unterzeichnet, um personenbezogene Daten aus der EU besser zu schützen. Durch diese Executive Order will die USA die im Urteil durch den EuGH in Sachen Schrems-II bemängelten Datenschutzverstöße beheben.

Was ist der Inhalt der Executive Order? Adressiert die Executive Order alle vom EuGH aufgeworfenen Probleme? Kann man jetzt wieder personenbezogene Daten in die USA transferieren, ohne SCC abschließen und ein TIA durchführen zu müssen?

1. Inhalt der Executive Order

Im März hatten sich die EU und die USA bereits auf ein EU-US Data Privacy Framework geeinigt. Inhalt dieses Frameworks waren neue Regelung für einen EU-US Datentransfer bezogen auf Unternehmen und den nachrichtendienstlichen Zugriff auf solche transferierten Daten. Mit der nun veröffentlichte Executive Order setzt die USA den vereinbarten nachrichtendienstlichen Teil des Frameworks um. Kernpunkte sind ein verbesserter Schutz für personenbezogene Daten und verbesserte Rechtsschutzmöglichkeiten. Eine Executive Order ist dabei kein Gesetz, sondern eine bindende Verwaltungsanweisung an alle Beamte der US-Regierung.

Die Executive Order enthält zunächst neue Regelungen zum Schutz personenbezogener Daten. Die Überwachung darf nur für in der Executive Order benannte Ziele erfolgen und muss zusätzlich erforderlich und verhältnismäßig sein, wobei die Privatsphäre und Grundrechte aller natürlichen Personen zu berücksichtigen sind. Die Nachrichtendienste haben daher ihre internen Verfahren an diese Grundsätze anzupassen. Überwacht wird dies durch einen Compliance-Beauftragten, den jeder Nachrichtendienst zu benennen hat.

Die Executive Order sieht ferner Rechtsschutz für die Verletzung von US-Recht und damit auch der Grundsätze der Erforderlichkeit und Verhältnismäßigkeit bei der Überwachung vor. Dieser Prozess hat zwei „Instanzen“: Zunächst erfolgt eine Untersuchung durch eine unabhängige Stelle in einer den Nachrichtendiensten übergeordneten Behörde, die bindend über einen Gesetzesverstoß entscheiden kann. Auf zweiter Ebene wird ein eigenes Gericht geschaffen. Dieses kann ebenfalls bindend und unparteiisch die Entscheidungen der vorherigen Stelle untersuchen und besteht aus Richtern außerhalb der US-Regierung.

2. Bewertung der Executive Order

Der nachrichtendienstliche Teil von Privacy Shield führte 2020 zur Schrems-II-Entscheidung. Die neue Executive Order hat somit eine besondere Brisanz. Insgesamt ist die Executive Order trotz einiger Schwächen als Schritt in die richtige Richtung zu werten; sie hängt entscheidend von der praktischen Umsetzung ab.

Zunächst ist der Rechtsschutz zu loben. Es wird eine Aufsicht über die Geheimdienste geschaffen, die unabhängig und bindend über Gesetzesverstöße entscheidet. Hier kann jedoch das Risiko bestehen, dass sich die Geheimdienste an vielen Stellen auf Geheimhaltung berufen und somit ein effektiver Rechtsschutz scheitert.

Positiv hervorzuheben ist auch, dass nun die typischerweise in europäischen Rechtsordnungen genutzten Begriffe Erforderlichkeit und Verhältnismäßigkeit genutzt werden. Dies legt nahe, dass ein europäisches Verständnis von Datenschutz Einzug halten soll. Allerdings bleibt unklar, ob die EU und die USA in der praktischen Anwendung das gleiche Verständnis von diesen Begriffen an den Tag legen.

Kritikwürdig ist auch, dass die Executive Order die bestehenden Überwachungsprogramme nicht direkt modifiziert. Dies kann die Executive Order aber auch nicht, weil sie keine Gesetzeskraft hat. Darüber hinaus ist unklar, welche Nachrichtendienste und Programme genau von der Executive Order erfasst werden. Dementsprechend wird bezweifelt, ob die Executive Order allein zu Änderungen bei den Nachrichtendiensten führen kann.

3. Folgen der Executive Order für den Datentransfer in die USA

Durch die Unterzeichnung der Executive Order ändert sich für europäische Unternehmen, die Daten in die USA übermitteln, erst einmal wenig. Die USA ist weiterhin ein Land ohne gleichwertiges Schutzniveau. Dementsprechend sind zur Übertragung von Daten wie bisher geeignete Garantien (in aller Regel Standardvertragsklauseln) samt Transfer Impact Assessment (TIA) und zusätzlicher Maßnahmen, die die Einhaltung der Pflichten aus den Standardvertragsklauseln ermöglichen sollen, notwendig.

Bereits jetzt kann die Executive Order aber im Rahmen eines TIA Berücksichtigung finden. Bei einem solchen sind die Rechtslage und rechtlichen Gepflogenheiten sowie das Risiko eines Zugriffs durch Behörden auf die Daten in den USA zu bewerten. Auch bei der Wahl der notwendigen zusätzlichen Maßnahmen muss die Executive Order beachtet werden und kann möglicherweise dazu führen, dass weniger zusätzliche Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus erforderlich sind.

Geeigneten Garantien inkl. TIA wären erst dann nicht mehr notwendig, wenn die EU-Kommission einen sogenannten Angemessenheitsbeschluss erlässt, in dem festgestellt wird, dass die USA einen gleichwertigen Schutz für die Grundrechte wie die DSGVO gewährleisten. Mit einem solchen Angemessenheitsbeschluss kann frühestens in einem halben Jahr gerechnet werden. Dass ein solcher ergeht und dieser auch, im Gegensatz zu seinen Vorgängern, vor dem EuGH Bestand hat, ist keinesfalls sicher. Max Schrems hat bereits zu erkennen gegeben, dass er die Executive Order für ihn nicht ausreichend hält. Er hat daher angekündigt, auch gegen das neue Framework zu klagen.

Zusammengefasst ist die Executive Order daher ein weiterer Schritt hin zu einem neuen EU-US Data Privacy Framework. Ob dieses Framework dann Bestand hat oder wie Safe Harbour und Privacy Shield durch den EuGH für ungültig erklärt werden, bleibt abzuwarten.

Die gesamte Thematik „Datenübermittlung in die USA“ ist ein datenschutzrechtlicher Dauerbrenner, der mit der Unterzeichnung der Executive Order eine neue spannende Nuance erhalten hat. Wir informieren Sie selbstverständlich über alle weiteren Entwicklungen und beraten Sie gerne bei sämtlichen Fragen zum Thema Datentransfer und Datenschutz.

Autor: Daniel Schlemann, LL.M.