Der federführende Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE-Ausschuss) kommt in dem Entwurf seines Entschließungsantrags vom 14. Februar 2023 zu dem Ergebnis, dass das EU-US Data Privacy Framework keine tatsächliche Gleichwertigkeit des Schutzniveaus herstelle. Die Kommission solle die Verhandlungen mit ihren US-amerikanischen Partnern fortsetzen.
Grundsätzliche Erwägungen
Nach Auffassung des LIBE-Ausschusses hätten die EU und die USA unterschiedliche Definitionen von Schlüsselbegriffen des Datenschutzes, wie etwa der Notwendigkeit und der Verhältnismäßigkeit von Datenverarbeitung.
Außerdem verfügen die USA über kein einheitliches Bundesdatenschutzgesetz.
Kritik am Präsidentenerlass
Der LIBE-Ausschuss beanstandet, dass die wesentliche Beurteilungsgrundlage des Angemessenheitsbeschlusses, Präsident Bidens Executive Order 14086
- die geheimdienstliche Massenerfassung von Daten einschließlich von Kommunikationsinhalten nicht verbiete,
- die Sammlung von Daten durch Behörden auf anderem Wege, z.B. unter dem US Cloud bzw. Patriot Act nicht erfasse,
- keine Rechtssicherheit schaffe, weil sie jederzeit durch den Präsidenten aufgehoben oder geändert werden könne,
- dem Präsidenten erlaube, die legitimen nationalen Sicherheitsziele jederzeit im Geheimen zu erweitern.
Mangelnder Rechtsschutz
Auch das Verfahren vor dem neugeschaffenen US-Datenschutzgericht, dem „Data Protection Review Court“ (DPRC) wird als nicht rechtstaatlich beanstandet. Der DPRC sei im Verborgenen tätig und seine Entscheidungen würden weder veröffentlicht werden noch seien sie dem Beschwerdeführer zugänglich.
Der Beschwerdeführer werde von einem von der Verwaltung bestellten "Sonderanwalt" vertreten , der nicht unabhängig sei. Ein Rechtsbehelf vor einem Bundesgericht sei nicht möglich und die Betroffenen könnten somit keinen Schadensersatz fordern. Damit seien die Standards der Unabhängigkeit und Unparteilichkeit gemäß Artikel 47 der EU-Grundrechte-Charta nicht erfüllt.
Schließlich beanstandet der LIBE-Ausschuss, dass die Unternehmen unter dem EU-US Data Privacy Framework weitgehend wählen könnten, welchen – auch alternativen Streitbeilegungsmechanismen - sie sich unterwerfen.
Was sind die Auswirkungen?
Da die Entscheidung der Kommission einem Kontrollrecht durch das Parlament unterliegt, wird sich das Verfahren angesichts der deutlichen Kritik aus dem LIBE-Ausschuss bis zu einem Angemessenheitsbeschluss wohl deutlich verlängern. Das ambitionierte Ziel, noch im ersten Halbjahr 2023 den Datenverkehr mit den USA zu vereinfachen, erscheint fraglich.
Was heißt das?
Unternehmen müssen daher bei US-Dienstleistern weiterhin mit den für Drittstaaten vorgesehenen Instrumenten wie den Standardvertragsklauseln und der dann notwendigen ergänzenden Transferfolgeabschätzung arbeiten.
Angesichts dieser möglichen Verzögerung und dem Risiko der späteren Aufhebung des EU-US Data Privacy Frameworks zeigt sich wie sinnvoll die Entscheidung etwa von Microsoft ist, mit der EU Data Boundary eine nahezu vollständige Abtrennung der europäischen Infrastruktur vorzunehmen. Denn so kann eine Übermittlung von Daten in die USA vermieden werden.
BDO Legal unterstützt Sie bei Fragen des Einsatzes von Cloud-Angeboten gerne.