Ende März verkündeten der US-Präsident und die EU-Kommission, sie hätten sich in einem Trans-Atlantic Data Privacy Framework (TADPF) geeinigt, wie die Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil umzusetzen seien. Durch eine Executive Order des US-Präsidenten würden die rechtlichen Rahmenbedingungen dazu in den USA geschaffen, auf deren Basis dann der Prüfungsprozess der EU-Kommission für eine (sektoralen) Angemessenheitsbeschluss beginnen kann. Am 07.10.2022 hat US-Präsident Joe Biden eine “Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” unterzeichnet und damit den Weg für ein neues Kapitel zum Datentransfer in die USA frei gemacht. Nun stellt sich für Datenschutzbeauftragte die Frage, wie wirkt sich das aus und wie informiere ich den Verantwortlichen und Auftragsverarbeiter hierüber?

Was ist die Executive Order und wie wirkt sie auf Drittlandtransfers?

Eine Executive Order des US-Präsidenten ist eine unmittelbar geltende rechtliche Vorgabe, die für US-Behörden bindend ist. Sie wirkt nicht direkt in der EU. Für die Zulässigkeitsprüfung des Drittlandtransfers bleibt es bei den Anforderungen nach Artt. 44 bis 49 DSGVO.

Die Executive Order macht jedoch den Weg frei für die Prüfung eines neuen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO für einen Datentransfer in die USA.

Gibt es einen neuen Angemessenheitsbeschluss der EU-Kommission und wie wirkt dieser?

Noch nicht. Die EU-Kommission kann und wird nun diese Änderung der Rechtslage in den USA gemäß ihrer Verlautbarung zum Anlass nehmen, zu prüfen, ob damit die Voraussetzungen für einen Angemessenheitsbeschluss für einen Drittlandtransfer nach Maßgabe des Art. 45 DSGVO gegeben sind. Der Europäische Datenschutzausschuss wird im Rahmen seiner Aufgabenzuweisung dazu eine Stellungnahme abgeben können (Art. 70 Abs. 1 lit. S DSGVO). Eine Art „Veto-Recht“ hat er dabei nicht. Der Angemessenheitsbeschluss wird gemäß Art. 45 Abs. 3 Satz 4 DSGVO mittels eines Durchführungsrechtsaktes erlassen, bei dem auch die Vertreter der Mitgliedsstaaten der Europäischen Union mehrheitlich zustimmen müssen (Art. 93 Abs. 2 DSGVO).

Wenn die EU-Kommission einen solchen Beschluss fasst, dann legitimiert dieser einen Datentransfer in die USA nach Maßgabe dieses Angemessenheitsbeschlusses. Der Mechanismus kann dann ähnlich sein wie zuvor beim sogenannten EU-US-Privacy Shield.
Die Besonderheit eines Angemessenheitsbeschlusses der EU-Kommission ist, dass er einen solchen Drittlandtransfer legitimiert, solang er nicht durch EuGH für unwirksam erklärt oder durch die EU-Kommission wieder aufgehoben wird. Mit anderen Worten: Die europäischen und somit auch die deutschen und kirchlichen Aufsichtsbehörden sind grundsätzlich an diese Bewertung gebunden.
Die deutschen Aufsichtsbehörden können jedoch nach § 21 BDSG einen solchen Angemessenheitsbeschluss gerichtlich angreifen. Es wird sich zeigen müssen, ob sie das tun.

Aufgrund der bereits jetzt im Lichte der EuGH-Rechtsprechung geäußerten Kritik an der Executive Order werden Gerichtsverfahren vor dem EuGH als sicher gelten können. Ob der Angemessenheitsbeschluss dann der Prüfung durch den EuGH standhält, kann (und muss) jetzt noch nicht sicher gesagt werden.

Was gilt bis dahin? Bewirkt die Executive Order schon jetzt die Zulässigkeit des Datentransfers in die USA?

Mit dem Abschluss des Verfahrens zu einem Angemessenheitsbeschluss der EU-Kommission ist nicht vor Frühjahr 2023 zu rechnen. Damit stellt sich die Frage, ist jetzt schon ein Datentransfer allein wegen dieser Executive Order zulässig?

Auch wenn die EU-Kommission noch in diesem Jahr einen Entwurf zu einem Angemessenheitsbeschluss veröffentlicht, bleibt es bei den aktuell erforderlichen Prüfungen und Bewertungen. Das bedeutet, dass weiterhin eine individuelle Angemessenheitsprüfung (Transfer Impact Assessment) bei einem Drittlandtransfer in die USA durchgeführt werden muss. In diesem Rahmen können die Executive Order ebenso wie zwischenzeitliche Aussagen der EU-Kommission berücksichtigt werden.

Ausblick

Stand heute lässt sich noch nicht abschließend bewerten, ob die Executive Order den Kritikpunkten des EuGH in seiner Schrems-II-Entscheidung vollständig abgeholfen hat. Unabhängig davon würde aber ein Angemessenheitsbeschluss der EU-Kommission seine volle Rechtswirkung entfalten können, bis der EuGH ihn für ungültig erklärt oder ihn die EU-Kommission aus eigenem Antrieb über Art. 45 Abs. 2-5 DSGVO widerruft, ändert oder aussetzt.

Ob die deutschen Datenschutzaufsichtsbehörden in ihrer Bewertung nun abwarten, ob ein Angemessenheitsbeschluss erfolgt und wie sie eine zu erwartende Rechtsstreitigkeit vor dem EuGH bewerten, ist noch offen. Es, bleibt also weiterhin zu hoffen, dass ein „Hü-Hott“ vermieden wird und Rechtssicherheit einkehrt.