EU-Kommission: Neuer Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA

Wer erinnert sich nicht an die beiden grundlegenden Entscheidungen, welche der Österreicher Maximilian Schrems am 6.10.2005 (C-362/14 – Schrems I, EWiR 2016, 109 (Kuhn)) und dann am 16.7.2020 (C-311/18 – Schrems II, EWiR 2020, 475 (Heun-Rehn/Kempermann)) vor den Schranken des EuGH zugunsten des unionsrechtlich abgesicherten Daten- und Grundrechtsschutzes erstritten hat. Mehr noch: Es ist allein ihm zu verdanken, dass der damals geltende EU-US Privacy Shield als Rechtsbasis für den transatlantischen Datenverkehr, einschließlich des diesen stützenden Durchführungsbeschluss der EU (2016/1250), zu Fall gebracht wurde. Es ist ein historisch zu nennendes Verdienst: Der von der EU erarbeitete und zwingend zu beachtende Datenschutz wird bislang – so der EuGH – in den USA nicht in gleichwertiger und angemessener Weise eingehalten; das Verdikt war messerscharf: kein „sicherer Hafen“. Kardinaler Problembereich: Der zu weitreichende Zugang der amerikanischen Nachrichtendienste zu den übermittelten personenbezogenen Daten aus der EU.

Mitte des vergangenen Monats hat nunmehr die EU-Kommission (C(2023) 4745 final v. 10.7.2023) ein neues „EU-US Data Privacy Framework“ auf den Weg gebracht. Es ist zu hoffen, dass die neuen Grundlagen einer Angemessenheitsprüfung (Art. 45 Abs. 2 DSGVO) den strengen Blicken der Richter in Luxemburg standhalten werden. So ist jetzt vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem aber auch Einzelpersonen in der EU Zugang haben. Die Kommission hält dies für hinreichend und ist der Meinung, personenbezogene Daten könnten nunmehr „sicher“ – unter Wahrung eines angemessenen Schutzniveaus – von EU-Bürgern an US-Unternehmen übermittelt werden. Diese sind allerdings gehalten, sich an diesem unionsrechtlichen Rahmenwerk zu beteiligen.
Es handelt sich hierbei um neue Garantien, welche die Pflichten ergänzen, die amerikanische Unternehmen im Rahmen des transatlantischen Datenverkehrs erfüllen müssen. Wichtig ist hierbei: Stellt der „Data Protection Review Court“ fest, dass eine Datenerhebung gegen die neuen Garantien des Rahmenwerks verstoßen hat, dann kann es die Löschung dieser Daten anordnen. Eine Löschungspflicht soll auch dann eingreifen, wenn der Zweck, für welche die Daten erhoben worden sind, fortgefallen ist. Werden personenbezogene Daten an Dritte weitergegeben, muss für sie der Fortbestand des garantierten Schutzes gewährleistet werden.
Vor dem Mitte Juli ergangenen Angemessenheitsbeschluss der Kommission hatte bereits der amerikanische Präsident Joe Biden am 7. Oktober des vergangenen Jahres eine „Executive Order“ gezeichnet. Sie trägt die Überschrift „Enhancing Safeguards for United States Signals Intelligence Activities“. In einer hierzu vom „Attorney General“ erlassenen Verordnung ist gewährleistet, dass die Bedenken des EuGH in Sachen Schrems II berücksichtigt werden. Danach sollen personenbezogene Daten nur dann vom amerikanischen Geheimdienst rechtmäßig erhoben werden, wenn zum einen hierfür die sachliche Notwendigkeit besteht und auch der Grundsatz der Verhältnismäßigkeit gewahrt ist. Dazu gesellt sich das Recht des jeweils Betroffenen, gerichtliche Hilfe unentgeltlich (Erwägungsgrund Nr. 66) in Anspruch zu nehmen, vorausgesetzt, sie sind deswegen in ihren Rechten verletzt, weil eine „non-compliance“ gegeben ist (Erwägungsgrund Nr. 65 ff. i.V.m. Art. 7).
Die Kommission vertritt nunmehr die Auffassung, dass die Vorbehalte von Art. 45 Abs. 2 DSGVO eingehalten sind, so dass sie den Beschluss über die Angemessenheit des in den USA bestehenden Schutzniveaus (Drittstaat) nach Maßgabe von Art. 45 Abs. 3 DSGVO erlassen hat (Erwägungsgrund Nr. 7 ff.). Hervorzuheben ist vor allem, dass die Kommission davon überzeugt ist, dass auch die Grundsätze der Transparenz in der nunmehr etablierten (geänderten) amerikanischen Praxis beachtet werden (Erwägungsgrund Nr. 25 ff.), was ja eine kardinale Voraussetzung dafür ist, dass EU-Bürger nicht nur Zugang zu ihren personenbezogenen Daten (Auskunftsanspruch) haben, sondern auch Berichtigungen und Löschungen einfordern können (Erwägungsgrund Nr. 29 ff. i.V.m. Art. 4)
Nicht ganz unproblematisch erscheint auf den ersten Blick, ob denn auch die rechtsstaatlichen Gewährleistungen zugunsten des Datensubjekts in den Fällen nahtlos – gemessen an den Standards des Unionsrechts (Art. 45 Abs. 1 DSGVO) – gewahrt sind, wenn eine Weitergabe der erhaltenen Daten an einen Dritten („onward transfer“) stattfindet. Dies könnte deswegen zweifelhaft sein, weil eine Begrenzung auf ein amerikanisches Unternehmen nicht vorgesehen ist. Vielmehr heißt es, dass es nicht darauf ankommen soll, ob dieser Dritte in den USA oder außerhalb der Staaten niedergelassen ist (Erwägungsgrund Nr. 37 ff. i.V.m. Art. 3). Das geht weit.
Es versteht sich von selbst, dass die Erfüllung aller gesetzlichen Auflagen („compliance“) von der amerikanischen Datenaufsichtsbehörde überwacht werden muss (Erwägungsgrund Nr. 44 ff.). Diese Regeln sind sehr umfassend formuliert; es wird aber – gerade in diesem neuralgischen Punkt – sehr stark auf die aktuelle amerikanische Praxis ankommen und ob die EU-Kommission ggf. sich auch mahnend und korrigierend im Einzelfall durchsetzen kann.
Besonderes Augenmerk richtet dieser Beschluss der Kommission auf die von ihr geprüften Konstellationen, in denen sich amerikanische Behörden – vor allem im Kontext einer Strafverfolgung oder aus Gründen nationaler Sicherheit – Zugang zu den personenbezogenen Daten verschaffen („government access“). Die auch hier in dem Beschluss der Kommission positiv beantwortete Frage bezieht sich darauf, ob denn das amerikanische System an diesem Punkt als „im Wesentlichen gleichwertig“ anzusehen ist und im Sinne des Art. 45 Abs. 1 DSGVO ein „angemessenes Schutzniveau“ gewährleistet (Erwägungsgrund Nr. 88). Entscheidend ist daher, dass die amerikanischen Rechtsnormen einen Mindeststandard an Sicherheit verbürgen, so dass die personenbezogenen Daten gegen Missbrauch effektiv geschützt sind (Erwägungsgrund Nr. 89). Im Zweifel wird man abwarten müssen, wie das „letzte“ Wort des EuGH zu dieser neuen Rechtsgrundlage ausfällt; die Entscheidung könnte dann „Schrems III“ heißen.