Law Blog

Am Freitag hat das Weiße Haus die lang erwartete Executive Order des Präsidenten zur Umsetzung des neuen Transatlantischen Datenschutz­rahmens (Trans-Atlantic Data Privacy Framework) veröffentlicht. Darin werden die Schritte dargelegt, die die USA zum Schutz der Privatsphäre und der bürgerlichen Freiheiten unternehmen werden, um ihren Verpflichtungen aus dem im März 2022 bekanntgegebenen Transatlantischen Datenschutzrahmen nachzu­kommen. Damit soll ein neuer Angemessenheitsbeschluss der Europäischen Kommission (EU-Kommission für Datentransfers mit den USA ermöglicht werden.

Status quo

Seit dem sogenannten Schrems-II-Urteil vom 16. Juni 2020, mit dem der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für ungültig erklärt hat, gibt es auch keinen Angemessenheitsbeschluss mehr für die USA. Damit kann eine Übermittlung personenbezogener Daten in ein Drittland, wie die USA, nur vorbehaltlich angemessener Garantien, insbesondere durch die von der EU-Kommission herausgegebene Standardvertragsklauseln, erfolgen. Nach dem EuGH müssen diese jedoch durch zusätzliche Maßnahmen ergänzt werden, um sicherzustellen, dass das Datenschutzniveau tatsächlich im Wesentlichen dem in der EU entspricht.

Das hat zu einer hohen Rechtsunsicherheit im wirtschaftlich besonders wichtigen Datenverkehr zwischen europäischen und US-amerikanischen Unternehmen geführt. Insbesondere die beiden Entscheidungen der österreichischen und französischen Datenschutzbehörden zu Google Analytics haben dieses Risiko bestätigt. In beiden Entscheidungen kamen die Behörden zu dem Schluss, dass die zusätzlich zu den (alten) Standardvertragsklauseln getroffenen Maßnahmen nicht ausreichten, um ein angemessenes Datenschutzniveau zu gewährleisten. Die Verwendung von Google Analytics wurde seitdem auf dieser Grundlage als DSGVO-widrig angesehen.

Der Weg zum neuen Angemessenheitsbeschluss

Der im März 2022 angekündigte Transatlantische Datenschutzrahmen war das Ergebnis langwieriger, detaillierter Verhandlungen zwischen den USA und der EU und soll den Grundstein für den rechtlichen Rahmen für den transatlantischen Datenverkehr legen.

Am 7. Oktober 2022 wurde nun bekanntgegeben, dass Präsident Biden mit seiner Executive Order den nächsten Schritt zur Umsetzung gesetzt hat. Darin wird den Bedenken der Europäer und des EuGH in wesentlichen Punkten entsprochen. So sieht diese Order vor, dass zusätzliche Sicherheits­vorkehrungen für nachrichtendienstliche Tätigkeiten eingeführt werden, durch welche die Privatsphäre und die bürgerlichen Freiheiten von Personen unabhängig von deren Staatsangehörigkeit geschützt werden. Auch stärkt die Order die Bindung an notwendige Ziele und Aufklärungsnotwendigkeiten, erweitert die Überwachung der Eingriffe durch spezielle Beamte und das sogenannte Privacy and Civil Liberties Overseight Board und schafft einen mehr­stufigen Mechanismus, um eine unabhängige und verbindliche Überprüfung von Eingriffen zu gewährleisten.

Nun ist wieder Europa am Zug. Es bleibt im Sinne der europäischen Wirtschaft zu hoffen, dass damit seitens der USA der Weg für einen Angemessenheits­beschluss geebnet wurde.

Bis dahin führt für einen sorgfältig handelnden datenschutzrechtlich Verantwortlichen kein Weg daran vorbei, nicht nur alle eingesetzten Programme und Tools genau auf einen Datenverkehr mit Drittländern zu untersuchen, sondern gegebenenfalls auch ein „Transfer Impact Assessment“ durchzuführen, um die Risiken DSGVO konform abschätzen zu können. Allein auch, wenn der Transatlantische Datenschutzrahmen funktioniert, bleibt nach den Erfahrungen mit „Safe Harbour“ und „Privacy Shield“ eine Frage bestehen: Wie lange wird man sich darauf verlassen können?

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.