Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.
Der Datentransfer in die USA stellt nach wie vor ein schwieriges Thema für Betroffene und europäische Aufsichtsbehörden dar. Eine Datenübermittlung in die USA ist insbesondere aufgrund der weitreichenden Befugnisse von US Behörden mit großen Unsicherheiten verbunden und stößt Unternehmen vor große Herausforderungen.
Aktuell wächst jedoch die Hoffnung auf ein transatlantisches Datenschutzabkommen mit der EU. Am 7.Oktober 2022 unterzeichnete US Präsident Joe Biden eine neue Durchführungsverordnung, die sog. Executive Order „on Enhancing Safeguards for United States Signals Intelligence Activities“, welche einen neuen Rechtsrahmen zur Datenübermittlung in die USA schaffen soll und damit ein neues Kapitel zum Datentransfer in die USA eröffnet.
Executive Order
Bei der Executive Order handelt es sich um eine Verordnung der US-Regierung, welche für US-Behörden bindend ist. Diese sieht Regelungen vor, welche insbesondere die vom Europäischen Gerichtshof im sog. Schrems-II-Urteil vom 16. Juli 2020 (Rs. C 311/18) getroffenen Vorgaben umsetzen soll (vgl. unseren Webseitenbeitrag). Ziel dieser Verordnung soll es sein, eine rechtssichere Datenübermittlung zwischen den USA und der EU zu gewährleisten.
Konkret beinhaltet die Executive Order folgende Regelungen:
Zum einen sollen erstmals verbindliche Garantien zugesichert werden, welche die US-Geheimdienstaktivitäten auf ein bestimmtes Maß beschränken. Ein Zugriff auf die personenbezogenen Daten der EU Bürger soll hiernach nur dann möglich sein, wenn dies zur nationalen Sicherheit notwendig und die Beeinträchtigung verhältnismäßig ist. Zudem sollen verpflichtende Verfahren für US Geheimdienste eingerichtet werden, welche eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre von EU Bürger gewährleisten. Darüber hinaus ist auch die Einführung eines Rechtsbehelfssystems vorgesehen, welches erstmalig EU-Bürgern eine unabhängige und verbindliche Überprüfung ihrer Rechte garantieren soll. Hierbei handelt es sich um ein zweistufiges Verfahren: Auf der ersten Stufe soll EU-Bürgern die Möglichkeit einer Beschwerde bei dem „Director of National Intelligence“ gegeben werden, welche auf einer zweiten Stufe durch das neu geschaffene unabhängige Datenschutzgericht, sog. „Data Protection Review Court", überprüft werden kann.
Zum Hintergrund
Die Executive Order beruht auf einer Grundsatzeinigung der EU-Kommission und der USA:
Nach langen Verhandlungen wurde in einer gemeinsamen Erklärung am 25.03.2022 verkündet, dass sich die EU und die USA auf ein neues Transatlantisches Datenschutzabkommen, das sog. Trans-Atlantic Data Privacy Framework (TADPF), geeinigt haben. Hiermit soll nach Auffassung der EU-Kommission eine dauerhafte Grundlage für den transatlantischen Datenverkehr geboten sowie die Rechte der Bürger geschützt werden.
Weitere Schritte
Nun ist die EU Kommission an der Reihe: Entscheidend für die Umsetzung dieser neuen Verordnung ist die Fassung eines Angemessenheitsbeschlusses seitens der EU Kommission, welcher festlegt, dass die USA ein der DS-GVO entsprechendes angemessenes Datenschutzniveau bieten. Bis es allerdings soweit ist, wird noch etwas Zeit vergehen. Mit dem Erlass kann nämlich voraussichtlich erst in sechs Monaten gerechnet werden. Rechtssicherheit bei der Datenübermittlung in die USA gibt es insofern erst, wenn ein solcher Angemessenheitsbeschluss vorliegt.
Bis dahin sollten Unternehmen weiterhin auf die Anwendung von Transfermechanismen, wie beispielsweise auf den Abschluss von Standardvertragsklauseln („SCC“) bzw. der Implementierung von Binding Corporate Rules („BCR“) achten sowie auf die Durchführung einer Risikobewertung, sog. Transfer Impact Assessment („TIA“). Die Executive Order kann allerdings im Rahmen der Risikobewertung als Verbesserung des Datenschutzniveaus in den USA herangezogen und mitberücksichtigt werden.
Ausblick
Vor diesem Hintergrund sollte unbedingt folgendes beachtet werden:
Ab dem 27. Dezember 2022 darf eine Datenübertragung in Drittländer ausschließlich auf Grundlage der – von der EU Kommission im Juni 2021 erlassenen - neuen Standardvertragsklauseln erfolgen. Nach Ablauf dieser Frist verlieren alle alten Klauseln ihre Wirksamkeit, weshalb im Falle ihrer Anwendung hohe Bußgelder und Schadenersatzforderungen drohen. Aus diesem Grund sollten Unternehmen dringend Ihre bestehenden Verträge dahingehend überprüfen, ob diese noch die alten Standardvertragsklauseln beinhalten. Sollte dies der Fall sein, empfehlen wir mit Blick auf den baldigen Fristablauf, die notwendigen Schritte einzuleiten und die alten Standardvertragsklauseln durch die Neuen EU-Standradvertragsklauseln zu ersetzen.
Insgesamt bleibt abzuwarten, ob das neue Transatlantische Abkommen dem europäischen Datenschutzniveau standhalten wird. Jedenfalls kann davon ausgegangen werden, dass das Transatlantische Abkommen früher oder später zur rechtlichen Überprüfung vor dem Europäischen Gerichtshof landen wird.
SKW Schwarz berät seit vielen Jahren zahlreiche Unternehmen jeder Größenordnung bei der Datenübermittlung in Drittländer. Sprechen Sie uns gerne an, wenn Sie hierzu Fragen haben oder Ihr Unternehmen Unterstützung bei der Umstellung Ihrer Altverträge auf die neuen Standardvertragsklauseln benötigt.
Autor/innen:
Marwah Kamal, Associate, SKW Schwarz
Franziska Ladiges, Counsel, SKW Schwarz
Nikolaus Bertermann, Partner, SKW Schwarz
Teilen
Autor/innen
