Ein neuer Rechtsrahmen für den Transfer personenbezogener Daten in die USA konkretisiert sich weiterhin. Allerdings sind bis zum großen Durchbruch noch einige Hausaufgaben zu erledigen. Am 13. Dezember 2022 hatte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Das EU-US DPF soll das vom Europäischen Gerichtshof (EuGH) in der Schrems-II-Entscheidung am 16. Juli 2021 für unwirksam erklärte Privacy Shield ersetzen und einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten begründen.

Der Entwurf basiert auf einem Maßnahmenpaket, das auf US-amerikanischer Seite insbesondere in Form einer von Präsident Biden am 7. Oktober 2022 unterzeichneten Executive Order umgesetzt worden war. Durch diese Maßnahmen soll der Kritik des EuGH in der Schrems-II-Entscheidung an den datenschutzrechtlichen Rahmenbedingungen in den USA Rechnung getragen werden.

Im Zentrum der Kritik des EuGH standen zum einen die Zugriffsmöglichkeiten US-amerikanischer Sicherheitsbehörden und Geheimdienste auf personenbezogene Daten, zum anderen unzureichende Rechtsbehelfe von Personen, die sich in ihren Rechten verletzt fühlen.

Der Angemessenheitsbeschlusses zum EU-US DPF steht unter dem Vorbehalt einer Prüfung durch den Europäischen Datenschutzausschuss (EDSA). Dieser hat in seiner Sitzung am 28. Februar nunmehr Stellung genommen. Insgesamt nimmt der EDSA erhebliche Verbesserungen des datenschutzrechtlichen Rechtsrahmens in den USA zur Kenntnis. Zugleich hat der EDSA diverse Bedenken geäußert und Nachbesserungsbedarf identifiziert.

Im Hinblick auf den möglichen Zugriff auf personenbezogene Daten durch US-Sicherheitsbehörden und Geheimdienste stellt der EDSA fest, dass die von Präsident Biden unterzeichnete Executive Order grundsätzlich zu einer erheblichen Verbesserung beigetragen habe. Er begrüßt insbesondere, dass die Prinzipien der Erforderlichkeit und Verhältnismäßigkeit bei der Beurteilung eines Zugriffs auf personenbezogene Daten Berücksichtigung gefunden haben.

Nachbesserungs- und Klärungsbedarf gibt es unter anderem in Bezug auf die Massenerhebung („Bulk Collection“) und die weitere Aufbewahrung und Verbreitung (massenhaft) erhobener Daten. Diesbezüglich kritisiert der EDSA insbesondere das Fehlen einer vorherigen Legitimationsprüfung durch eine unabhängige Stelle sowie die fehlende Möglichkeit einer nachträglichen Überprüfung durch eine unabhängige Stelle.

Der EDSA regt ferner an, dass der Angemessenheitsbeschluss unter den Vorbehalt gestellt wird, dass US-Sicherheitsbehörden und Geheimdienste die Vorgaben der von Präsident Biden unterzeichneten Executive Order auch tatsächlich umsetzen. Auch im Hinblick auf mögliche Rechtsbehelfe von Personen, die sich durch die Verarbeitung ihrer Daten in ihrem Recht verletzt sehen, sieht der EDSA in dem geplanten zweistufigen Verfahren durchaus erhebliche Verbesserungen.

Gleichwohl äußert er diverse Bedenken, insbesondere hinsichtlich des Inhalts und Umfangs von Entscheidungen des „Data Protection Review Court“. Auch seien zahlreiche Prinzipien und Regelungen gegenüber dem vom EuGH in der Schrems-II-Entscheidung verworfenen Privacy Shield unverändert geblieben. Diese beträfen insbesondere die Rechte der betroffenen Personen, das Fehlen wichtiger Definitionen, die mangelnde Klarheit in Bezug auf die Anwendung der Datenschutzgrundsätze auf Auftragsverarbeiter und die weit gefasste Ausnahme für öffentlich zugängliche Informationen. Die Einhaltung der mit europäischem Datenschutzrecht vergleichbaren Prinzipien sähe zudem einige Ausnahmen vor, insbesondere unter Berufung auf gerichtliche Anordnungen und zur Wahrung öffentlicher Interessen, die bislang lückenhaft geregelt seien. Hier möge die EU-Kommission für weitere Klarstellungen sorgen.

Auch im Hinblick auf die rasante technologische Entwicklung in einigen Bereichen – der EDSA nennt insbesondere Entwicklungen in den Bereichen der künstlichen Intelligenz, des Profilings sowie automatisierter Entscheidungen – gebe es Nachbesserungsbedarf. In formaler Hinsicht hält der EDSA das EU-US Data Privacy Framework teilweise für unzureichend strukturiert, intransparent und dadurch teilweise schwer verständlich. Auch insoweit möge die EU-Kommission zusammen mit der US-amerikanischen Seite Verbesserungen vornehmen. Schließlich weist der EDSA auf die Bedeutung einer wirksamen Aufsicht, Überwachung und Durchsetzung des EU-US Data Privacy Framework hin.

Alles in allem lässt sich konstatieren, dass es sich bei dem EU-US Data Privacy Framework in seiner aktuellen Fassung um einen großen Schritt in die richtige Richtung handelt, zugleich aber noch weitere Aufgaben vor den Beteiligten liegen, um die gegenwärtigen Unwägbarkeiten in Bezug auf Datentransfers in die USA zu beseitigen beziehungsweise weiter zu reduzieren. Inwieweit die Abarbeitung dieser Aufgaben innerhalb eines absehbaren Zeitraums erfolgen kann, das bleibt abzuwarten.