Reuschlaw

Neue Rechts­la­ge in den USA

Trans­fer Impact Assess­ment anpassen!

Daten­ex­por­teu­re müs­sen die neue Exe­cu­ti­ve Order des US-Präsidenten in ihr Trans­fer Impact Assess­ment (TIA) auf­neh­men.

Am 7. Okto­ber hat US-Präsident Joe Biden die „Exe­cu­ti­ve Order on Enhan­cing Safe­guards for United Sta­tes Signals Intel­li­gence Acti­vi­ties“ (E.O.) erlas­sen und damit den Grund­stein für die Umset­zung des neu­en „EU-US Pri­va­cy Frame­work“(Frame­work) gelegt. Mit Erlass der E.O. ändert sich die Rechts­la­ge in den USA. Dies bil­det nicht nur die Grund­la­ge für den geplan­ten Ange­mes­sen­heits­be­schluss der EU-Kommission, son­dern hat bereits jetzt unmit­tel­ba­re Aus­wir­kun­gen auf Daten­über­mitt­lun­gen in die USA.

1. Was regelt die E.O.?

Die E.O. zielt dar­auf, die Beden­ken des EuGH aus der „Schrems II“-Entscheidung  gegen­über Daten­über­mitt­lun­gen in die USA aus­zu­räu­men. Hier­zu ent­hält die E.O. neue Spiel­re­geln für die US-Nachrichtendienste und ver­schafft Betrof­fe­nen neue Rechts­be­hel­fe, die einen ange­mes­se­nen Schutz der Pri­vat­sphä­re und der Frei­hei­ten des Ein­zel­nen gewähr­leis­ten sol­len. Die E.O. regelt insbesondere: 

  • Zusätz­li­che Garan­tien für US-Nachrichtendienste: Über­wa­chungs­maß­nah­men dür­fen nur noch durch­ge­führt wer­den, sofern sie für die natio­na­le Sicher­heit not­wen­dig sind und die Pri­vat­sphä­re und Frei­hei­ten des Betrof­fe­nen nicht unver­hält­nis­mä­ßig beein­träch­ti­gen. Zudem müs­sen Ver­fah­ren zum Umgang mit erho­be­nen Daten imple­men­tiert wer­den, um die (Weiter-)Verarbeitung auf ein Mini­mum zu reduzieren.
  • Zwei­stu­fi­ger Rechts­be­helfs­me­cha­nis­mus: EU-Bürger kön­nen nun eine Beschwer­de gegen Daten­zu­grif­fe durch US-Nachrichtendienste ein­le­gen und hier­zu in einem ers­ten Schritt den behör­den­in­ter­nen Daten­schutz­be­auf­trag­ten und in einem zwei­ten Schritt das neue „Data Pro­tec­tion Review Court“ anrufen.

2. Aus­wir­kun­gen der E.O. in der Praxis

Der E.O. kommt Geset­zes­kraft zu und sie ent­fal­tet unmit­tel­ba­re Wir­kung. Die Rechts­la­ge in den USA hat sich daher bereits zum jet­zi­gen Zeit­punkt geän­dert. Eine Daten­über­mitt­lung auf Grund­la­ge des Ange­mes­sen­heits­be­schlus­ses wird jedoch erst nach des­sen Inkraft­tre­ten mög­lich sein. Daten­ex­por­teu­re müs­sen sich daher wei­ter­hin auf geeig­ne­te Garan­tien wie die aktu­el­len Stan­dard­ver­trags­klau­seln (SCC) der EU-Kommission stüt­zen und ein Trans­fer Impact Assess­ment (TIA) durch­füh­ren. Hier­bei ist zu berück­sich­ti­gen, dass ein TIA kein sta­ti­sches Doku­ment ist. Viel­mehr sind die Rechts­la­ge und die geleb­te Daten­schutz­pra­xis im Dritt­land fort­lau­fend zu beob­ach­ten und das TIA zumin­dest bei wesent­li­chen Ände­run­gen anzu­pas­sen. Daten­ex­por­teu­re kön­nen daher bereits jetzt von der neu­en E.O. pro­fi­tie­ren und müs­sen die Ände­run­gen in ihre Risi­ko­be­wer­tung ein­flie­ßen lassen.

3. Wie geht es weiter?

Die EU-Kommission wird auf Grund­la­ge der E.O. einen Ent­wurf für einen Ange­mes­sen­heits­be­schluss erlas­sen und ein Ver­ab­schie­dungs­ver­fah­ren ein­lei­ten. Die Daten­schutz­auf­sichts­be­hör­den sind über den Euro­päi­schen Daten­schutz­aus­schuss ein­ge­bun­den, der eine Stel­lung­nah­me abge­ben wird. Wegen des auf­wen­di­gen Ver­fah­rens wird es vor­aus­sicht­lich bis zum Früh­jahr 2023 dau­ern, bis der fina­le Ange­mes­sen­heits­be­schluss ver­kün­det wird. Sobald der Ange­mes­sen­heits­be­schluss in Kraft tritt, kön­nen Daten­ex­por­teu­re zukünf­tig per­so­nen­be­zo­ge­ne Daten auch ohne den Ein­satz wei­te­rer geeig­ne­ter Garan­tien in die USA über­mit­teln, wenn der Emp­fän­ger in den USA das Selbst­zer­ti­fi­zie­rungs­ver­fah­ren des US-amerikanischen Wirt­schafts­mi­nis­te­ri­ums durch­führt und sich den Daten­schutz­grund­sät­zen des Frame­works unter­wor­fen hat.

Fazit

Bis der neue Ange­mes­sen­heits­be­schluss der EU-Kommission für Daten­über­mitt­lun­gen in die USA ver­ab­schie­det ist, wird es noch eini­ge Zeit dau­ern. Unter­neh­men, die Daten in die USA über­mit­teln, soll­ten aller­dings schon heu­te die unmit­tel­ba­ren Aus­wir­kun­gen der E.O. im Blick haben und die Risi­ko­be­wer­tung in ihren TIA ent­spre­chend anpassen.

Haus­nach­richt

Für den 15.–16. Juni 2023 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence mit uns und mit Ver­tre­te­rin­nen und Ver­tre­tern aus der Wirt­schaft, den Auf­sichts­be­hör­den und der Wis­sen­schaft über tech­ni­sche und recht­li­che Her­aus­for­de­run­gen und Lösun­gen für Cyber­si­cher­heit zu dis­ku­tie­ren. Neben Trends und Zukunfts­the­men, wie Software-Lieferketten, Künst­li­che Intel­li­genz oder cyber­phy­si­sche Öko­sys­te­me, ste­hen auch die Bezü­ge zum Daten­schutz und IT-Recht auf der Agen­da. Jetzt anmel­den!

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.