EU-US Data Privacy Framework: Executive Order und erste Reaktionen

Joe Biden’s Executive Order: Ein erster Schritt vorwärts?

Am 7. Oktober 2022 hat US-Präsident Joe Biden die «Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities» unterzeichnet. Die Implementierung der Executive Order wurde bereits im März von Biden und der Präsidentin der Europäischen Kommission Ursula von der Leyen, im Zusammenhang mit der Verkündung einer Grundsatzvereinbarung, angekündigt. Der transatlantische Datenfluss ist essenziell für die mehrere Billionen USD schweren Wirtschaftsbeziehungen zwischen den USA und der EU. Nachdem der EuGH mit dem Schrems II Urteil dem EU-US Privacy Shield ein Ende bereitete (vgl. MLL News vom 5.10.2020), soll mit dem Nachfolgeabkommen «EU-US Data Privacy Framework» wieder eine rechtsichere Grundlage für den Datentransfer von der EU in die USA geschaffen werden.

Mit der nun verabschiedeten Executive Order wurde ein erster Schritt gemacht. Die Einleitung der weiteren Schritte liegt nun bei der EU-Kommission. Die Executive Order wird als Grundlage für eine neue Angemessenheitsentscheidung der Europäischen Kommission dienen. Die Europäische Kommission wird nun einen entsprechenden Entwurf erarbeiten und im Anschluss die Einleitung des Verfahrens zu dessen Annahme veranlassen. Dieser Prozess dürfte voraussichtlich mehrere Monate in Anspruch nehmen.

Bei einer Executive Order handelt es sich um einen Beschluss des US-Präsidenten. Die Executive Order entfaltet keine Gesetzeskraft, sondern hat den Charakter einer internen Dienstanweisung, mit Gültigkeit innerhalb der US-Regierung. Der Erlass einer Executive Order erfolgt ohne Einbindung des US-Kongresses. Angesichts dessen sind Executive Orders i.d.R. nicht sehr langlebig, da es bei einem Präsidentenwechsel sehr einfach möglich (und bei einem Machtwechsel durchaus nicht unüblich) wäre, eine Executive Order zu widerrufen.

In der Executive Order vom 7. Oktober 2022 werden zum Schutz von EU-Bürgern, deren personenbezogenen Daten in die USA übermittelt werden, folgende Massnahmen vorgesehen:

• Verbindliche Schutzklauseln, die den Datenzugriff der US-Geheimdienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismässig ist.
• Die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neu geschaffener «Data Protection Review Court» (DPRC) gehört, der Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf die Daten der Betroffenen untersucht und darüber entscheidet.

Der neu geschaffene Rechtsbehelfmechanismus ist indes ein zweistufiger. Auf der ersten Stufe soll es EU-Bürgern ermöglicht werden, eine  Beschwerde beim sogenannten «Civil Liberties Protection Officer» (CLPO) einzureichen. Darüber hinaus ist der CLPO dafür zuständig, dass die US-Geheimdienste das Datenschutzrecht aus dieser Executive Order und auch generell einhalten. Im Falle von Verletzungen der Vorgaben kann der CLPO, für die Geheimdienste verbindliche, Entscheide treffen. Auf der zweiten Stufe wird dann die Möglichkeit vorgesehen, die Entscheidung des CLPO vor dem DPRC anzufechten.

Erste Reaktionen der EU-Kommission und NOYB

In einer ersten Reaktion in der Form eines Q&A betrachtet die EU-Kommission diese Anpassungen als signifikante Verbesserungen verglichen mit dem vormaligen EU-US Privacy Shield. Demnach sollen die Einschränkungen des staatlichen Zugriffs die Verpflichtungen der US-Unternehmen beim Import von europäischen Daten ergänzen. Weiter sieht die EU-Kommission die Schaffung des DPRC als deutliche Verbesserung im Vergleich zum vorherigen System, wo sich Betroffene nur an eine Ombudsperson wenden konnten, die Teil des US-Aussenministeriums war und weder Untersuchungs- noch bindenden Entscheidungsbefugnis hatte. Den im Schrems II-Urteil vom EuGH geäusserten Bedenken sei damit laut EU-Kommission genügend Rechnung getragen worden. Dies widerspiegle sich in den in der Durchführungsverordnung enthaltenen Garantien, die sowohl die inhaltliche Beschränkung des Zugriffs der nationalen Sicherheitsbehörden der USA auf Daten (Notwendigkeit und Verhältnismäßigkeit) als auch die Einrichtung des neuen Rechtsbehelfsmechanismus betreffen würden. Insgesamt sei man dem Ziel eine langfristige und verlässliche Lösung für den transatlantischen Datenfluss zu finden, damit nähergekommen.

Erwartungsgemäss anders sieht es das Europäische Zentrum für Digitale Rechte (NOYB) und damit auch Max Schrems, der das letzte Rahmenabkommen zu Fall brachte. NOYB merkt in seiner Stellungnahme an, dass es durch die Anpassung der Formulierung von «as tailored as feasible» zu «necessary» und «proportionate» grundsätzlich möglich sei, das Problem zu lösen. Dies jedoch nur, soweit die USA demselben Verständnis bezüglich Verhältnismässigkeit folgen würden, wie dies der EuGH tue. Dies sei jedoch nicht der Fall. So sehe die Executive Order immer noch Massenüberwachungen vor, obwohl der EuGH solche als unverhältnismässig erachtet hat. Da sich nach Ansicht des NOYB schlussendlich wieder die Deutung des EuGH durchsetzen wird, sei das Abkommen wohl wieder zum Scheitern verurteilt. Weiter bemängelt NOYB das DPRC, weil es den durch die Grundrechtscharta geforderten gerichtlichen Rechtsbehelf nicht umsetze. Das vorgesehene Gericht sei kein eigentliches Gericht gemäss EU-Verständnis. Es sei vielmehr Teil der Exekutive und «ähnelt sehr stark dem früheren «Ombudsmann», der vom EuGH bereits für nicht ausreichend erklärt wurde». Dies zeige sich unter anderem darin, dass die Executive Order bereits vorgefertigte Antworten enthalte, mit welchen das Gericht mögliche Beschwerden zu beantworten habe.

Ausblick

Die Europäische Kommission wird nun die notwendigen Schritte zum Erlass einer Angemessenheitsentscheidung einleiten, wobei der entsprechende Prozess voraussichtlich Monate in Anspruch nehmen dürfte. Es ist zum jetzigen Zeitpunkt alles andere als sicher, ob die Executive Order tatsächlich den Grundstein für eine neue Angemessenheitsentscheidung der EU-Kommission und damit für ein Nachfolgeabkommen legt. Das Nachfolgeabkommen dient dem Ziel, wieder eine rechtsichere Grundlage für den Datentransfer von der EU in die USA zu schaffen. Wiederum dürfte auch hier der EuGH das letzte Wort behalten. NOYB hat denn auch bereits angedeutet, gegen eine spätere Entscheidung der EU-Kommission allenfalls Klage beim EuGH einzureichen.

An der heutigen, von grosser Unsicherheit geprägten Rechtslage für den Datentransfer in die USA ändert sich durch den Erlass der Executive Order vorerst nichts (zur Datenübermittlung von Personendaten in die USA siehe u.a. MLL-News vom 12.08.2021 und 07.11.2021). Über die weiteren relevanten Entwicklungen in Bezug auf das EU-US Privacy Framework wird an dieser Stelle laufend berichtet,

Weitere Informationen:

• Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities vom 7. Oktober 2022
• FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework
• European Commission: Questions & Answers: EU-U.S. Data Privacy Framework vom 7. Oktober 2022
• Erste Stellungnahme NOYB vom 7. Oktober 2022
• MLL-News vom 5. Oktober 2020: EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II
• MLL-News vom 5. Oktober 2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
• MLL-News vom 12. August 2021: Datentransfer in Drittstaaten nach Schrems II: finale Empfehlungen des EDSA zu zusätzlichen Massnahmen
• MLL-News vom 7. November 2021: EDÖB: aktualisierter Leitfaden für die Datenübermittlung ins Ausland und Anerkennung revidierter Standardvertragsklauseln