Datentransfer mit den USA auf der Grundlage der Executive Order von Präsident Biden vom 7.10.2022 (Lejeune, CR 2022,775)

Am 7.10.2022 hat der US-Präsident die Executive Order „on Enhancing Safeguards For United States Signals Intelligence Activities“ erlassen, die der EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO zu erlassen ermöglichen soll zur Vereinfachung und Erleichterung des Datenaustauschs zwischen der EU und den USA.

Wann ist der Datenschutz in Drittstaaten wie den USA adäquat?

Der Beitrag stellt zunächst (I.) die wesentlichen Inhalte der Executive Order vom 7.10.2022 dar und bewertet sodann zum einen die Belastbarkeit dieser Executive Order (II.) auch im Hinblick auf ein mögliches, neues Verfahren vor dem EuGH und zum anderen die Optionen im Rahmen des weiteren Vorgehens (III.). Eine Schlussbemerkung legt den Finger in die rechtspolitisch offene Wunde des Datenschutzrechts (IV.).
 

INHALTSVERZEICHNIS:

I. Inhalt der Executive Order

1. Ziff. 2 „Signals Intelligence Activities“

a) Allgemeine Regelungen

b) Beschränkung der Sicherheitsbehörden auf 12 sog. legitimate objectives

c) Prohibited objectives

d) Schutzmaßnahmen im Rahmen der Aktivitäten der Sicherheitsbehörden

e) Sonderregelung für die anlasslose Massenüberwachung („bulk collection“)

f) Weitere Regelungen zur Begrenzung der Maßnahmen der Sicherheitsbehörden

g) Richtlinien und Verfahrensregelungen

h) Aufsichtsregelungen

i) Vorbehaltsklausel

2. Ziff. 3 Signals Intelligence Redress Mechanism

a) Definition von „qualifying complaint“ und „qualifying state“

b) Verfahrensregelungen zur Behandlung von „qualifizierten Beschwerden und deren Behandlung durch den CLPO

c) Aufgaben und Befugnisse des Data Protection Review Courts

d) Maßnahmen zur Überprüfung der Effektivität des Rechtsmittelmechanismus

e) Allgemeine Bestimmungen

II. Bewertung der Executive Order

1. Inhaltliche Bewertung

2. Strukturelle Bewertung

a) Bedeutung der Executive Orders im U.S. amerikanischen Rechtssystem

b) Rechtliche Beurteilung/Einordnung des DP Review Court

c) Besondere Verfahrensfragen für Verfahren vor dem DP Review Court

d) Erfordernis, dass ein Beschwerdeführer aus einem qualifizierten Staat kommen muss

III. Weiteres Vorgehen

IV. Schlussbemerkungen

Leseprobe:

1

Der Datentransfer personenbezogener Daten von der EU in die USA stellt die Beteiligten, insbesondere Unternehmen aufgrund der strengen Rechtsprechung des EuGH seit 2015 vor Probleme.

2

Der EuGH hat die Angemessenheitsentscheidungen der EU-Kommission zum Datentransfer zwischen der EU und den USA, die beide noch auf der EU Richtlinie 95/46/EG beruhten, ¹ in den beiden sog. Schrems Urteilen ² für unwirksam erklärt.

3

Der EuGH begründete seine Urteile mit den weitreichenden Befugnissen der US-amerikanischen Sicherheitsbehörden, insbesondere der NSA nach dem Foreign Intelligence Surveillance Act (FISA) und der Executive Order 12333 und den unzureichenden Möglichkeiten für EU Bürger, ihre Rechte bei Datenschutzverstößen gerichtlich geltend zu machen mit der Konsequenz, dass die grundlegenden Rechte der EU Bürger aufgrund der Grundrechtecharta der EU (insb. Art. 7 und 8) nicht ausreichend geschützt seien. Der letzten Angemessenheitsentscheidung der EU lag das sog. EU-US Privacy Shield Framework ³ zugrunde. Darin hatten sich die USA zwar zur Einführung eines sog. Ombudsmann Systems verpflichtet, um Beschwerden/Klagen europäischer Bürger wegen Datenschutzverstößen durch die amerikanischen Sicherheitsbehörden abhelfen zu können. Der EuGH hatte dieses System in dem Urteil von 2016 als unzureichend angesehen.

4

Am 25.3.2022 hatten die EU-Kommission und die US-amerikanische Regierung ihre Absicht verkündet, den Datentransfer zwischen der EU und den USA auf der Grundlage eines sog. „Trans-Atlantic Data Protection Frameworks“ neu zu regeln. ⁴ Die Executive Order „on Enhancing Safeguards For United States Signals Intelligence Activities“ vom 7.10.2022, ⁵ die auf der Grundlage dieser Ankündigung erlassen wurde, soll es der EU-Kommission ermöglichen, einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO zu erlassen, um den Datenaustausch zwischen der EU und den USA zu vereinfachen und zu erleichtern. ⁶

5

Die Executive Order v. 7.10.2022 (EO) besteht aus insgesamt nur 5 Ziffern. Ziff. 1 erläutert den Zweck der EO. Ziff. 2 regelt die Befugnisse der Sicherheitsbehörden, Ziff. 3 stellt den neuen Rechtsschutzmechanismus dar und Ziff. 4 beinhaltet wichtige Definitionen der in der EO verwendeten Begriffe. Ziff. 5 enthält Regelungen, die das Verhältnis dieser EO gegenüber anderen Gesetzen, Executive Orders etc. erläutert.

 Hier direkt weiterlesen im juris PartnerModul IT-Recht