Urteil Trump v. Slaughter: Ist der EU-US-Datentransfer in Gefahr?

Das Urteil des US Supreme Court im Fall Trump v. Slaughter hat unmittelbar nach seiner Veröffentlichung zahlreiche Diskussionen über mögliche Auswirkungen auf den transatlantischen Datentransfer ausgelöst. Insbesondere wurde behauptet, dass die Entscheidung auch den Data Protection Review Court (DPRC) betreffe und damit die Rechtsgrundlage des EU-US Data Privacy Framework (DPF) gefährde. Ein aktueller Beitrag der International Association of Privacy Professionals (IAPP) analysiert das Urteil und dessen mögliche Auswirkungen auf den EU-US-Datentransfer. Die Autoren der Analyse kommen dabei jedoch zu einem anderen Ergebnis. Nach ihrer rechtlichen Bewertung lässt sich aus dem Urteil nicht ableiten, dass der Mechanismus für Rechtsbehelfe bei staatlichen Datenzugriffen in den USA unwirksam geworden ist.

Ausgangspunkt der Debatte ist die Entscheidung des Supreme Court, wonach der Präsident die Mitglieder der Federal Trade Commission (FTC) künftig ohne die bisherigen gesetzlichen Einschränkungen entlassen kann. Damit wurde eine seit Jahrzehnten bestehende Rechtsprechung aufgehoben. Schnell entstand die Vermutung, diese neue Rechtsauffassung müsse zwangsläufig auch auf den Data Protection Review Court übertragen werden. Genau diese Schlussfolgerung halten die Autoren jedoch für rechtlich nicht haltbar.

Zur Einordnung ist entscheidend, dass das EU-US Data Privacy Framework aus zwei unterschiedlichen Bereichen besteht. Der erste betrifft den kommerziellen Umgang mit personenbezogenen Daten durch Unternehmen, die sich dem Framework angeschlossen haben. Hier spielt die Federal Trade Commission als Aufsichtsbehörde eine wichtige Rolle. Der zweite Bereich betrifft dagegen den Zugriff amerikanischer Behörden auf personenbezogene Daten zu Zwecken der nationalen Sicherheit sowie die Frage, welche Rechtsbehelfe betroffenen EU-Bürgern zur Verfügung stehen. Gerade dieser zweite Bereich war ausschlaggebend für die Urteile Schrems I und Schrems II des Europäischen Gerichtshofs.

Der Data Protection Review Court wurde genau für diesen zweiten Bereich geschaffen. Seine Aufgabe besteht darin, Beschwerden europäischer Bürger über mögliche rechtswidrige Zugriffe amerikanischer Nachrichtendienste zu prüfen und verbindliche Entscheidungen zu treffen. Die rechtliche Grundlage hierfür bildet jedoch nicht die Federal Trade Commission, sondern eine Kombination aus der Executive Order 14086 des US-Präsidenten sowie ergänzenden Regelungen des US-Justizministeriums.

Bereits vor Einführung des heutigen Systems hatten die Autoren untersucht, wie sich die vom Europäischen Gerichtshof geforderten unabhängigen Rechtsbehelfe innerhalb des amerikanischen Rechtssystems umsetzen lassen. Sie kamen damals zu dem Ergebnis, dass hierfür kein neues Bundesgesetz erforderlich sei. Stattdessen könne die Unabhängigkeit des DPRC auch durch verbindliche Regelungen innerhalb der Exekutive sichergestellt werden. Genau dieser Ansatz wurde später umgesetzt und anschließend vom Gericht der Europäischen Union im Verfahren Latombe gegen Kommission grundsätzlich bestätigt.

Nach Auffassung der Autoren ändert das Urteil Trump v. Slaughter an dieser Konstruktion nichts Wesentliches. Das Gericht entschied ausschließlich über die verfassungsrechtliche Stellung der FTC und über die Frage, welche Befugnisse der Kongress gegenüber dem Präsidenten bei der Entlassung leitender Behördenmitglieder besitzt. Aussagen zur besonderen Konstruktion des Data Protection Review Court enthält das Urteil dagegen nicht.

Ein wesentlicher Unterschied besteht darin, dass die Unabhängigkeit des Data Protection Review Court nicht durch ein Gesetz des Kongresses, sondern durch verbindliche Regelungen der amerikanischen Exekutive abgesichert wird. Nach geltender US-Rechtsprechung ist die Regierung an ihre eigenen Vorschriften gebunden, solange diese nicht ordnungsgemäß geändert oder aufgehoben werden. Dadurch werden unter anderem die Bestellung der Richter, ihre Amtszeit sowie ihre Abberufung klar geregelt. Eine Entlassung ist nur aus genau festgelegten Gründen, etwa bei schwerem Fehlverhalten oder Dienstunfähigkeit, zulässig.

Die Autoren führen drei zentrale Gründe an, weshalb sich das Urteil Trump v. Slaughter nicht auf den Data Protection Review Court übertragen lässt. Erstens richtet sich die Entscheidung ausschließlich gegen gesetzliche Einschränkungen, die der Kongress dem Präsidenten auferlegt hat. Selbst auferlegte Beschränkungen der Exekutive bleiben dagegen ausdrücklich unberührt. Zweitens hat der Supreme Court die Frage bewusst offengelassen, wie Richter vergleichbarer Gerichte rechtlich zu beurteilen sind. Der DPRC gehört genau zu dieser Kategorie und fällt deshalb nicht unter die eigentliche Entscheidung. Drittens gelten seine Richter als sogenannte untergeordnete Amtsträger, für die auch nach dem Urteil weiterhin besondere Schutzregelungen zulässig sind.

Vor diesem Hintergrund sehen die Autoren keine überzeugende rechtliche Grundlage für die Behauptung, der Präsident könne die Richter des Data Protection Review Court nun jederzeit ohne Einschränkungen entlassen. Vielmehr sprechen sowohl der Wortlaut des Urteils als auch die weiterhin gültige Rechtsprechung dafür, dass die bisherige Konstruktion bestehen bleibt.

Auch für Unternehmen ergeben sich nach Einschätzung der Autoren derzeit keine unmittelbaren praktischen Folgen. Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US Data Privacy Framework gilt weiterhin. Damit bleiben Datenübermittlungen auf dieser Grundlage rechtmäßig. Selbst wenn die Rolle der Federal Trade Commission künftig erneut rechtlich überprüft werden sollte, hätte dies nicht automatisch Auswirkungen auf die Mechanismen zum Schutz vor staatlichen Datenzugriffen.

Darüber hinaus weisen die Autoren darauf hin, dass internationale Datenübermittlungen nicht ausschließlich vom Data Privacy Framework abhängen. Viele Organisationen nutzen bereits Standardvertragsklauseln oder verbindliche Unternehmensregelungen als Rechtsgrundlage. Diese Instrumente setzen vor allem voraus, dass beim staatlichen Zugriff auf personenbezogene Daten ausreichende Schutzmaßnahmen und wirksame Rechtsbehelfe bestehen. Genau diese Voraussetzungen werden durch die Executive Order 14086 und den Data Protection Review Court weiterhin erfüllt.

Das Urteil Trump v. Slaughter verändert daher nach Auffassung der Autoren weder die rechtliche Grundlage des Beschwerdemechanismus noch die praktische Zulässigkeit transatlantischer Datenübermittlungen. Unternehmen können ihre bestehenden Verfahren zunächst unverändert fortführen. Die Diskussion über die Rolle der Federal Trade Commission bleibt zwar für den kommerziellen Teil des Data Privacy Framework relevant, berührt jedoch nicht die rechtliche Absicherung der Rechtsbehelfe gegen staatliche Datenzugriffe. Insgesamt kommen die Autoren zu dem Ergebnis, dass das Urteil keinen Anlass bietet, die Rechtmäßigkeit des aktuellen EU-US Data Privacy Framework grundsätzlich infrage zu stellen.

Resümee

Rechtliche Entwicklungen wie Trump v. Slaughter zeigen, wie dynamisch sich die Rahmenbedingungen für internationale Datenübermittlungen verändern können. Umso wichtiger ist es für Unternehmen, Datenschutz und IT-Sicherheit kontinuierlich zu überprüfen und ihre Prozesse an aktuelle rechtliche Anforderungen anzupassen.

 

Unser Angebot für Sie:

  • Datenschutz- und IT-Sicherheitsanalysen (Gap-Analysen)
  • Umsetzung von DSGVO, BDSG und ISO 27001 Anforderungen
  • Unterstützung bei Audits, Prüfungen und Sicherheitsvorfällen
  • Sachverständigengutachten zu Datenschutz, IT-Sicherheit und EDV-Systemen
  • Schulungen und Sensibilisierung zu Datenschutz und Informationssicherheit

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu DSGVO, BDSG und ISO 27001.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit


Quellen und Links:

Artikel IAPP: Trump v. Slaughter does not undo the EU-US data-transfer redress mechanism
https://iapp.org/news/a/no-trump-v-slaughter-does-not-undo-the-eu-us-data-transfer-redress-mechanism

Datenschutz: DSGVO rechtssicher und praxisnah umsetzen mit tec4net
https://www.tec4net.com/web/datenschutz/

Das vollständige US Supreme Court-Urteil (PDF)
https://www.supremecourt.gov/opinions/25pdf/25-332_qn12.pdf

Datenschutz-Check: Testen Sie jetzt kostenlos Ihr Datenschutzniveau!
https://www.datenschutz-muenchen.com/

NOYB – Max Schrems Organisation fordert einen geordneten Ausstieg aus dem DPF
https://noyb.eu/en/us-supreme-court-just-blew-eu-us-data-transfers

IT-Sicherheit: ISO 27001, NIS-2, KRITIS, TISAX & Co. im Überblick
https://it-news-blog.com/?p=3708


tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com