US-Präsident Joe Biden hat am 07. Oktober 2022 eine neue Exekutivanordnung unterzeichnet, die den Weg zu einem neuen EU-US Datenschutzabkommen (European Union-U.S. Data Privacy Framework) ebnen soll, welches US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen bereits im Frühjahr dieses Jahres ankündigt haben.
Mit den Vorgaben der Exekutivanordnung soll künftig wieder ein rechtlich sicherer Datenaustausch zwischen der EU und den USA möglich werden, nachdem im Juni 2020 der Europäische Gerichtshof (EUGH) das bis dato bestehende Datenschutzabkommen des Privacy Shields für unzureichend erklärt hatte.
Die neuen Regelungen sollen den Schutz personenbezogener Daten von EU-Bürgern vor dem Zugriff US-amerikanischer Geheimdienste verbessern und es betroffenen Personen ermöglichen, sich künftig effektiver gegen Überwachungsmaßnahmen der Geheimdienste zur Wehr zu setzen.
Dennoch bleiben Massenüberwachungen (sog. bulk collections) ausdrücklich erlaubt, auch wenn diese nur unter bestimmten, in der Exekutivanordnung näher benannten, Voraussetzungen genehmigt werden. So müssen bspw. die Aktivitäten der Geheimdienste verhältnismäßig und die Erhebung von Daten auf das notwendige Maß beschränkt sein.
Hinsichtlich der Frage, wann eine Massenüberwachung zur Anwendung kommen kann, legt die Exekutivanordnung verschiedene Szenarien fest, darunter unter anderem der Schutz vor Terrorismus, Spionage und Cybersicherheitsbedrohungen.
Neben den Regelungen, die Klarheit über das ob und wie geheimdienstlicher Überwachungsmaßnahmen schaffen sollen, sieht die Exekutivanordnung auch ein zweistufiges Beschwerdeverfahren vor, mit dem sich die EU-Bürger gegen entsprechende Geheimdienstaktivitäten zur Wehr setzen können sollen.
Auf erster Ebene soll dabei ein sogenannter Bürgerrechtsbeauftragter (Civil Liberties Protection Officer) Beschwerden betroffener Personen untersuchen und feststellen, ob die zugrundeliegenden Maßnahmen gegen die Regelungen der Exekutivanordnung oder sonstige US-amerikanische Reglungen verstoßen haben.
Auf zweiter Ebene sollen betroffene Personen die Möglichkeit haben, gegen die Entscheidung des Bürgerrechtsbeauftragten einen Antrag auf Überprüfung durch ein sog. Datenschutzüberprüfungsgericht (Data Protection Review Court) zu stellen.
Für eine Überprüfung der Einhaltung der Vorgaben der Exekutivverordnung durch die US-Geheimdienste ist das sog. Privacy and Civil Liberties Oversight Board zuständig. Das Privacy and Civil Liberties Oversight Board prüft ebenfalls, ob die Geheimdienste im Beschwerdefalle mit dem Bürgerrechtsbeauftragten und dem Datenschutzüberprüfungsgericht kooperieren und deren Vorgaben entsprechend einhalten.
Ob mit der Exekutivanordnung künftig wieder ein rechtssicherer Datenaustausch zwischen der EU und den USA möglich wird, muss nun insbesondere von der EU-Kommission geprüft und entschieden werden.
Hierbei ist auch zu entscheiden, ob die Regelungen der Exekutivanordnung eine Überwachung von EU-Bürgern ausschließlich auf eine verhältnismäßige Überwachung im Sinne des Art. 52 der europäischen Grundrechtscharta beschränken und sicherstellen, dass Rechtsbehelfe im Sinne des Art. 47 der europäischen Grundrechtscharta garantiert werden.
Links:
Fact Sheet “Executive Order”
Executive Order
Questions & Answers: EU-U.S. Data Privacy Framework
https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_6045
