Ein Entwurf der EU-Kommission für ein neues Datenschutzabkommen soll dem Datentransfer in die USA eine neue rechtliche Grundlage geben. Die erscheint jedoch wackelig.

Die EU-Kommission hat den Entwurf für ein neues Datenschutzabkommen [1] mit den USA veröffentlicht. Damit sollen sichere transatlantische Datenströme gefördert und die vom Gerichtshof der Europäischen Union im sogenannten Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden, teilte die Kommission mit [2].

Der Entwurf schließt an die am 7. Oktober 2022 erfolgte Unterzeichnung eines Dekrets durch US-Präsident Joe Biden (Executive Order 14086 [3]) und an die von US-Generalstaatsanwalt Merrick Garland erlassenen Verordnungen an. Die EU-Kommission ist der Ansicht, dass damit “die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden”. US-Unternehmen könnten sich dem Datenschutzrahmen EU-USA anschließen, “indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden”.

Verfahren gestartet

Mit der Veröffentlichung des Entwurfs begann das Verfahren zur Annahme eines sogenannten Angemessenheitsbeschlusses. In einem ersten Schritt legte die Kommission den Text dem Europäischen Datenschutzausschuss (EDSA) vor. Die EU-Mitgliedstaaten müssen dem Entwurf noch zustimmen. Nach Abschluss des Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Das erfolgt möglicherweise noch im Frühjahr 2023.

Der IT-Branchenverband Eco begrüßte die Veröffentlichung des Entwurfs. “Insbesondere für viele kleine und mittelständische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle und eine gelingende digitale Transformation”, sagte Eco-Vorstand Oliver Süme, und fügte hinzu: “Die positiven Signale auf beiden Seiten des Atlantiks müssen nun zu einer schnellen Ratifizierung des Abkommens führen, das den kritischen Anforderungen aller angemessen Rechnung trägt und die bisherige Zitterpartie für die Digitalbranche endlich beendet.”

Hintergrund des Verfahrens ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020, die das bestehende Datenschutzabkommen (“Privacy Shield”) für unzureichend erklärte. Geklagt hatte der österreichische Datenschutzaktivist Max Schrems [4]. Um den Datenaustausch zwischen den USA und der EU wieder auf eine sichere rechtliche Grundlage zu stellen, verkündeten EU-Kommissionspräsidentin Ursula von der Leyen und Biden im März 2022 die prinzipielle Einigung [5] auf eine Nachfolgeregelung (Abbildung 1).

Abbildung 1: US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen sind sich in Sachen Massenüberwachung einig. Quelle: Christophe Licoppe, European Union, 2022

Massenüberwachung bleibt erlaubt

Der EuGH hatte in seinem Urteil vor allem die weitreichenden Zugriffsmöglichkeiten von US-Sicherheitsbehörden auf Daten von Europäern bemängelt. Der jetzigen Executive Order 14086 zufolge bleibt den US-Geheimdiensten jedoch weiter eine Massenüberwachung (Bulk Collection) der Telekommunikation erlaubt. Die soll aber nur dann genehmigt werden, wenn die “Informationen, die zur Unterstützung einer legitimen nachrichtendienstlichen Priorität erforderlich sind, nicht in angemessener Weise durch gezielte Überwachung gewonnen werden können”.

Der Geheimdienst, der die Massenüberwachung nutzt, soll “angemessene Methoden und technische Maßnahmen” anwenden, um die erhobenen Daten auf das erforderliche Maß zu beschränken und “die Erhebung nicht relevanter Informationen auf ein Mindestmaß zu reduzieren”. Generell dürfen Geheimdienstaktivitäten nur in einem solchen Umfang und in einer Weise stattfinden, “die im Verhältnis zu der legitimen nachrichtendienstlichen Priorität stehen, für die sie genehmigt wurden”.

Der US-Erlass benennt zudem sechs Bedrohungsfelder, zu deren Bekämpfung die Massenüberwachung eingesetzt werden darf. Dazu zählen unter anderem Terrorismus und die Verbreitung von Massenvernichtungswaffen, aber auch “böswillige Cyberaktivitäten” oder internationale Kriminaldelikte.

Zweistufiges Beschwerdeverfahren

Darüber hinaus sieht der Erlass des US-Präsidenten einen neuen Beschwerdemechanismus vor, mit dessen Hilfe EU-Bürger sich gegen das Sammeln ihrer Daten durch US-Behörden wehren können. In einer ersten Stufe soll ein Bürgerrechtsbeauftragter (Civil Liberties Protection Officer, CPLO), der beim Koordinator der US-Nachrichtendienste angesiedelt ist, die Beschwerde untersuchen. Er überprüft, ob beispielsweise die Regelungen des neuen Erlasses oder andere US-Regelungen verletzt wurden.

Ferner weist der Biden-Erlass den US-Generalstaatsanwalt an, ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC) einzurichten. Ein dreiköpfiger Hof dieses Gerichts soll auf Antrag einer betroffenen Person oder eines Vertreters der Nachrichtendienste eine unabhängige und verbindliche Überprüfung der Entscheidungen des Bürgerrechtsbeauftragten vornehmen. Die Angehörigen des Gerichts sollen Juristen mit “angemessener Erfahrung” auf dem Gebiet des Datenschutzes und des Rechts der nationalen Sicherheit sein, bevorzugt Personen mit früherer richterlicher Erfahrung. Sie sollen zum Zeitpunkt ihrer ersten Ernennung keine US-Regierungsmitarbeiter sein.

Zusätzlich soll laut EO 14086 ein sogenanntes Privacy and Civil Liberties Oversight Board (PCLOB) die Aktivitäten der US-Geheimdienste auf die Einhaltung der neuen Regelungen hin überprüfen. Dieses Gremium soll auch untersuchen, ob die Geheimdienste bei den Beschwerdeverfahren ausreichend kooperieren und die Vorgaben der beiden neuen Instanzen CPLO und DPRC umsetzen.

Schrems III?

Diese Konstellation kritisiert die Datenschutzorganisation Nyob [6] des Aktivisten Max Schrems (Abbildung 2) als unzureichend: Statt eines Gerichts im üblichen Sinne werde ein Mitarbeiter des Director of National Intelligence – der CPLO – Beschwerden entgegennehmen. Eine zweite Stelle, der DPRC, müsse dann die Bearbeitung der Beschwerden überprüfen. Trotz der Bezeichnung als Court handle es sich aber keineswegs um ein Gericht, sondern um eine Regierungsstelle, schreibt Nyob in einer Stellungnahme.

Abbildung 2: Max Schrems könnte eine weitere Klage einreichen. Quelle: Georg Molterer

Auch die amerikanische Bürgerrechtsorganisation American Civil Liberties Union (ACLU) kritisierte die Executive Order 14086 von Präsident Biden [7]. Sie schütze die Privatsphäre von Amerikanern und Europäern nicht angemessen, rügte Ashley Gorski, leitende Anwältin beim ACLU National Security Project. Zudem stelle sie nicht sicher, dass Menschen, deren Privatsphäre verletzt werde, ihre Ansprüche von einem unabhängigen Entscheidungsträger klären lassen können. Der Biden-Erlass sei zwar ein Schritt in die richtige Richtung, räumt Gorski ein, erfülle aber die grundlegenden rechtlichen Anforderungen in der EU nicht, sodass der Datentransfer zwischen der EU und den USA in Zukunft gefährdet sei.

Angesichts dieser Bedenken ist also keineswegs ausgeschlossen, dass Datenschutzaktivisten wie Max Schrems die Entscheidung der EU-Kommission ein weiteres Mal vor Gericht zu Fall bringen. Schrems kündigte bereits an, den Entwurf der EU-Kommission im Detail zu analysieren: “Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.” (uba/jlu)