Transfer Impact Assessment anpassen!
Datenexporteure müssen die neue Executive Order des US-Präsidenten in ihr Transfer Impact Assessment (TIA) aufnehmen.
Am 7. Oktober hat US-Präsident Joe Biden die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ (E.O.) erlassen und damit den Grundstein für die Umsetzung des neuen „EU-US Privacy Framework“(Framework) gelegt. Mit Erlass der E.O. ändert sich die Rechtslage in den USA. Dies bildet nicht nur die Grundlage für den geplanten Angemessenheitsbeschluss der EU-Kommission, sondern hat bereits jetzt unmittelbare Auswirkungen auf Datenübermittlungen in die USA.
1. Was regelt die E.O.?
Die E.O. zielt darauf, die Bedenken des EuGH aus der „Schrems II“-Entscheidung gegenüber Datenübermittlungen in die USA auszuräumen. Hierzu enthält die E.O. neue Spielregeln für die US-Nachrichtendienste und verschafft Betroffenen neue Rechtsbehelfe, die einen angemessenen Schutz der Privatsphäre und der Freiheiten des Einzelnen gewährleisten sollen. Die E.O. regelt insbesondere:
- Zusätzliche Garantien für US-Nachrichtendienste: Überwachungsmaßnahmen dürfen nur noch durchgeführt werden, sofern sie für die nationale Sicherheit notwendig sind und die Privatsphäre und Freiheiten des Betroffenen nicht unverhältnismäßig beeinträchtigen. Zudem müssen Verfahren zum Umgang mit erhobenen Daten implementiert werden, um die (Weiter-)Verarbeitung auf ein Minimum zu reduzieren.
- Zweistufiger Rechtsbehelfsmechanismus: EU-Bürger können nun eine Beschwerde gegen Datenzugriffe durch US-Nachrichtendienste einlegen und hierzu in einem ersten Schritt den behördeninternen Datenschutzbeauftragten und in einem zweiten Schritt das neue „Data Protection Review Court“ anrufen.
2. Auswirkungen der E.O. in der Praxis
Der E.O. kommt Gesetzeskraft zu und sie entfaltet unmittelbare Wirkung. Die Rechtslage in den USA hat sich daher bereits zum jetzigen Zeitpunkt geändert. Eine Datenübermittlung auf Grundlage des Angemessenheitsbeschlusses wird jedoch erst nach dessen Inkrafttreten möglich sein. Datenexporteure müssen sich daher weiterhin auf geeignete Garantien wie die aktuellen Standardvertragsklauseln (SCC) der EU-Kommission stützen und ein Transfer Impact Assessment (TIA) durchführen. Hierbei ist zu berücksichtigen, dass ein TIA kein statisches Dokument ist. Vielmehr sind die Rechtslage und die gelebte Datenschutzpraxis im Drittland fortlaufend zu beobachten und das TIA zumindest bei wesentlichen Änderungen anzupassen. Datenexporteure können daher bereits jetzt von der neuen E.O. profitieren und müssen die Änderungen in ihre Risikobewertung einfließen lassen.
3. Wie geht es weiter?
Die EU-Kommission wird auf Grundlage der E.O. einen Entwurf für einen Angemessenheitsbeschluss erlassen und ein Verabschiedungsverfahren einleiten. Die Datenschutzaufsichtsbehörden sind über den Europäischen Datenschutzausschuss eingebunden, der eine Stellungnahme abgeben wird. Wegen des aufwendigen Verfahrens wird es voraussichtlich bis zum Frühjahr 2023 dauern, bis der finale Angemessenheitsbeschluss verkündet wird. Sobald der Angemessenheitsbeschluss in Kraft tritt, können Datenexporteure zukünftig personenbezogene Daten auch ohne den Einsatz weiterer geeigneter Garantien in die USA übermitteln, wenn der Empfänger in den USA das Selbstzertifizierungsverfahren des US-amerikanischen Wirtschaftsministeriums durchführt und sich den Datenschutzgrundsätzen des Frameworks unterworfen hat.
Fazit
Bis der neue Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA verabschiedet ist, wird es noch einige Zeit dauern. Unternehmen, die Daten in die USA übermitteln, sollten allerdings schon heute die unmittelbaren Auswirkungen der E.O. im Blick haben und die Risikobewertung in ihren TIA entsprechend anpassen.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!