Montag, 17. Oktober 2022
Der US-amerikanische Präsident Joe Biden unterzeichnete am Freitag, 7. Oktober 2022, eine Durchführungsverordnung (Executive Order) zur Umsetzung des Datenschutzrahmens zwischen der Europäischen Union und den USA. Diese Executive Order soll den Grundstein für das von den USA und der EU am 25. März 2022 angekündigte EU-U.S. Data Privacy Framework (EU-U.S. DPF) legen. Hintergrund des EU-U.S. DPF war das sogenannte Schrems II-Urteil vom Europäischen Gerichtshof vom 16. Juli 2020 (Rechtssache C-311/18), in dem die Richter den Durchführungsbeschluss zum transatlantischen Datenschutzabkommen „Privacy Shield“ für unwirksam erklärten, unter anderem, weil nach Ansicht des EuGH US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden ermöglichen sowie dem EU-Bürger keine Rechtsbehelfe zur Seite stehen und daher der Datenschutzstandard in den USA nicht dem in der EU entspreche.
Welchen Inhalt hat die Executive Order?
Die Executive Order soll die Bedenken des EuGH aus dem Schrems II-Urteil ausräumen und verbindliche Garantien schaffen, um das EU-U.S. DPF zu ermöglichen. Die wesentlichen Eckpunkte des Schrems II-Urteils sind (1) der nahezu uneingeschränkte Zugang von US-Geheimdiensten zu Daten von EU-Bürgern und (2) die fehlende Möglichkeit des EU-Bürgers, Rechtsbehelfe gegen unrechtmäßige Verarbeitung seiner Daten zu ergreifen.
(1) Dem ersten Punkt versucht die Executive Order dadurch zu begegnen, dass neue Anforderungen für die US-Geheimdienste und Spionageaktivitäten nur in Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden dürfen. Der Wortlaut der Executive Order orientiert sich zudem an dem Wortlaut des EU-Rechts (vgl. Artikel 52 der Charta der Grundrechte der Europäischen Union (GRCh)) und enthält Wörter wie „erforderlich“ (necessary) und „verhältnismäßig“ (proportionate). Außerdem sollen geheimdienstliche Maßnahmen nur durchgeführt werden, wenn diese notwendig sind, um eine validierte nachrichtendienstliche Priorität voranzutreiben und nur in dem Ausmaß und auf eine Weise, die dieser Priorität angemessen ist. Der Verein non of your business (NOYB) rund um Max Schrems kritisiert, dass die neuen Begrifflichkeiten „theoretisch eines der Probleme lösen könnten, wenn die USA das Wort "verhältnismäßig" wie der EuGH auslegen würde (…)“. Außerdem werden die Massenüberwachungssysteme der USA explizit in der Executive Order erwähnt und erlaubt (siehe Abschnitt 2 (c)(ii)), wenn die Informationen zur Förderung einer validierten nachrichtendienstlichen Priorität erforderlich sind und vernünftigerweise nicht durch gezielte Erhebung gewonnen werden können.
(2) Im zweiten Schritt soll ein mehrstufiger Mechanismus für Rechtsbehelfe geschaffen werden. Die Rechtsmittelmöglichkeiten sind:
- Erste Stufe: Civil Libertins Protection Officer (CLPO)
Auf der ersten Stufe können EU-Bürger eine Beschwerde bei dem sogenannten "Civil Liberties Protection Officer" der US-Geheimdienste einreichen. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und die Grundrechte einhalten. - Zweite Stufe: Data Protection Review Court (DPRC)
Auf der zweiten Stufe haben Einzelpersonen die Möglichkeit, die Entscheidung des Civil Liberties Protection Officer vor dem neu geschaffenen Data Protection Review Court anzufechten. Das Gericht wird sich aus Mitgliedern zusammensetzen, die nicht der US-Regierung angehören, auf der Grundlage spezifischer Qualifikationen ernannt werden, nur aus schwerwiegenden Gründen entlassen werden können und keine Anweisungen von der Regierung erhalten dürfen. Der Data Protection Review Court wird befugt sein, Beschwerden von EU-Bürgern zu untersuchen, und ebenso dazu, einschlägige Informationen von Nachrichtendiensten einzuholen. Auch wird er verbindliche Abhilfeentscheidungen treffen können. Stellt das Gericht beispielsweise fest, dass Daten unter Verstoß gegen die in der Executive Order vorgesehenen Garantien erhoben wurden, kann es die Löschung der Daten anordnen.
Auch dieser Punkt wird scharf von NOYB kritisiert. NOYB führt auf, dass es sich bei dem Gericht nicht um ein Gericht im juristischen Sinne von Artikel 47 GRCh oder der US-Verfassung, sondern um eine Einrichtung innerhalb der Exekutive der US-Regierung handelt.
Was sind die nächsten Schritte?
Auf Grundlage der verabschiedeten Executive Order wird die europäische Kommission nun an einem Angemessenheitsbeschluss arbeiten. Für das Verfahren muss die Kommission zunächst eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) einholen. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen. Bevor ein endgültiger Angemessenheitsbeschluss in Bezug auf die USA steht, wird also sicherlich noch einige Zeit vergehen und es ist abzusehen, dass auch das EU-U.S. DPF juristisch (von NOYB) angegriffen wird.
Handlungsempfehlungen
Die Executive Order wird auch ohne transatlantisches Abkommen bereits unmittelbare Auswirkungen für Datenübermittlungen in die USA haben: Aufgrund des Schrems II-Urteils sind Datenexporteure zur Durchführung eines sogenannten Transfer Impact Assessments verpflichtet und müssen in diesem Zusammenhang die nationale Rechtslage im Land des Datenimporteurs bewerten. Hierbei wird die geänderte Rechtslage in den USA künftig zu berücksichtigen sein. Bereits durchgeführte und dokumentierte Transfer Impact Assessments sollten entsprechend aktualisiert und neu bewertet werden. Unsere Expertinnen und Experten unterstützen Sie herbei gerne.
Ähnliche Beiträge
- 17.05.2024
Heilsbringerin oder Gefahrenquelle? Zu künftigen KI-Anwendungen und internationalen Regulierungsbemühungen
In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
- 16.05.2024
Künstliche Intelligenz (KI) und Datenschutz: Was ist zu beachten?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 6. Mai 2024 die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ veröffentlicht. Diese richtet sich an Unternehmen, die KI‐Anwendungen einsetzen möchten, und gibt einen Überblick über die allgemeinen Datenschutzanforderungen, wie wir sie aus der EU-Datenschutzgrundverordnung (DSGVO) kennen.
- 13.03.2024
EU-Richtlinie zur Cybersicherheit nimmt Unternehmen in die Pflicht zur Umsetzung von IT-Sicherheitsmaßnahmen: Fact Sheet NIS-2
Nachdem zu Beginn des vergangenen Jahres die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) EU-weit in Kraft getreten ist, haben die EU-Mitgliedstaaten diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland liegt bereits ein Referentenentwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.
- 14.02.2024
Praxisleitfaden zur KI-Verordnung: Teil 2 von 2
Am 13. Februar 2024 haben die maßgeblichen Ausschüsse des Europäischen Parlaments dem Entwurf der KI-Verordnung (KI-VO) zugestimmt. Die Verabschiedung im Plenum (voraussichtlich am 10. oder 11. April 2024) sowie die Zustimmung der Minister gelten als reine Formsache. Der Weg für die KI-Verordnung ist also geebnet. Erwartet wird, dass sie im Mai oder Juni in Kraft tritt. Erste Vorschriften entfalten bereits Ende des Jahres Wirkung.
- 02.02.2024
Praxisleitfaden zur KI-Verordnung: Teil 1 von 2
Heute, am 2. Februar 2024, haben die Mitgliedstaaten der EU dem Entwurf der KI-Verordnung (KI-VO) zugestimmt. Die nun noch ausstehende Abstimmung im Parlament gilt als reine Formsache. Erwartet wird, dass die KI-Verordnung im Mai oder Juni in Kraft tritt. Erste Vorschriften entfalten bereits Ende dieses Jahres Wirkung.
Höchste Zeit für Unternehmen, sich mit den wichtigsten Regelungen vertraut zu machen. Mit diesem zweiteiligen Praxis-Leitfaden möchten wir Ihnen den Einstieg in die KI-VO erleichtern.
