Datentransfer in die USA: Biden legt Grundlage für neuen Privacy Shield
Durchbruch für einen rechtssicheren Datentransfer oder alter Wein in neuen Schläuchen? Mit der Unterzeichnung einer neuen Exekutivanordnung(öffnet im neuen Fenster) hat US-Präsident Joe Biden den Weg für ein neues Datenschutzabkommen mit der EU freigemacht. Die neuen Regelungen sollen den Schutz personenbezogener Daten von EU-Bürgern vor dem Zugriff der US-Geheimdienste verbessern. Zudem sollen die EU-Bürger sich besser gegen Überwachungsmaßnahmen zur Wehr setzen können. Doch die Massenüberwachung bleibt erlaubt.
Hintergrund des am 7. Oktober 2022 vom Weißen Haus veröffentlichten Erlasses(öffnet im neuen Fenster) ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit der das bestehende Datenschutzabkommen, der sogenannte Privacy Shield, für unzureichend erklärt wurde. Um den Datenaustausch zwischen den USA und der EU wieder auf eine sichere rechtliche Grundlage zu stellen, kündigten EU-Kommissionspräsidentin Ursula von der Leyen und Biden im März 2022 die prinzipielle Einigung auf eine Nachfolgeregelung an .
Massenüberwachung bleibt erlaubt
Der EuGH hatte in seinem Urteil vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern bemängelt. Dem Erlass zufolge ist den US-Geheimdiensten jedoch weiterhin eine Massenüberwachung (bulk collection) der Telekommunikation erlaubt. Diese werde aber nur dann genehmigt, "wenn die Informationen, die zur Unterstützung einer validierten nachrichtendienstlichen Priorität (validated intelligence priority) erforderlich sind, nicht in angemessener Weise durch gezielte Überwachung gewonnen werden können" .
Der Geheimdienst, der die Massenüberwachung nutze, solle "angemessene Methoden und technische Maßnahmen" anwenden, um die erhobenen Daten auf das erforderliche Maß zu beschränken und "die Erhebung nicht relevanter Informationen auf ein Mindestmaß zu reduzieren" . Generell dürfen Geheimdienstaktivitäten nur in einem solchen Umfang und in einer Weise durchgeführt werden, "die im Verhältnis zu der validierten nachrichtendienstlichen Priorität stehen, für die sie genehmigt wurden" .
Der Erlass benennt zudem sechs Bedrohungen, zu deren Bekämpfung die Massenüberwachung eingesetzt werden kann. Dazu zählen unter anderem Terrorismus und die Verbreitung von Massenvernichtungswaffen, aber auch bösartige Cyberaktivitäten oder internationale Finanzdelikte.
Zweistufiges Beschwerdeverfahren
Darüber hinaus enthält der Erlass einen neuen Beschwerdemechanismus, mit dessen Hilfe EU-Bürger sich gegen die Sammlung ihrer Daten durch US-Behörden wehren können. Dieser sieht vor, dass ein Bürgerrechtsbeauftragter (Civil Liberties Protection Officer/CPLO), der beim Koordinator der US-Nachrichtendienste angesiedelt ist, in einer ersten Stufe die Beschwerde untersucht. Der Beauftragte überprüft, ob beispielsweise die Regelungen des neuen Erlasses oder anderer US-Regelungen verletzt wurden.
Ferner ermächtigt der Biden-Erlass den US-Generalstaatsanwalt, ein sogenanntes Datenschutzüberprüfungsgericht (Data Protection Review Court/DPRC) einzurichten. Ein dreiköpfiges Gremium kann auf Antrag der betroffenen Person oder eines Vertreters der Nachrichtendienste eine unabhängige und verbindliche Überprüfung der Entscheidungen des Bürgerrechtsbeauftragten vornehmen. Die Angehörigen des Gerichts sollen "Juristen mit angemessener Erfahrung auf dem Gebiet des Datenschutzes und des Rechts der nationalen Sicherheit sein, wobei Personen mit früherer richterlicher Erfahrung bevorzugt werden" . Sie sollen zum Zeitpunkt ihrer ersten Ernennung keine US-Regierungsmitarbeiter sein.
EU-Kommission muss Beschluss fassen
Ebenfalls soll das sogenannte Privacy and Civil Liberties Oversight Board (PCLOB) die Aktivitäten der US-Geheimdienste auf die Einhaltung der neuen Regelungen hin überprüfen. Dabei das Gremium auch untersuchen, ob die Geheimdienste bei den Beschwerdeverfahren ausreichend kooperieren und die Vorgaben der beiden neuen Instanzen umsetzen.
Auf Basis des neuen Erlasses muss die EU-Kommission nun ein weiteres Mal eine sogenannte Angemessenheitsentscheidung treffen. Damit stellt die Kommission fest, dass in einem Drittstaat ein vergleichbares Datenschutzniveau wie in der EU existiert. Die Kommission muss dazu jedoch den Europäischen Datenschutzausschuss (EDSA) und die europäischen Mitgliedstaaten konsultieren. Beobachter rechnen daher nicht vor einer Entscheidung im Frühjahr 2023.
Es ist aber nicht ausgeschlossen, dass Datenschutzaktivisten wie der Österreicher Max Schrems ein weiteres Mal die Entscheidung der EU-Kommission vor Gericht zu Fall bringen. In einer ersten Stellungnahme(öffnet im neuen Fenster) äußerte sich Schrems Organisation Noyb eher skeptisch über den Biden-Erlass.
Schrems schließt weitere Klage nicht aus
So kritisieren die Datenschutzaktivisten, dass die Massenüberwachung weiterhin uneingeschränkt zulässig sei. "Alle europäischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie Prism und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht 'verhältnismäßig' (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt hat" , heißt es.
Offenbar hätten sich EU und USA darauf verständigt, den Begriff "verhältnismäßig" (engl. proportionate) "in ein US-Dokument zu kopieren, aber nicht darauf, dass es dieselbe rechtliche Bedeutung haben soll" . Schrems, der bereits die beiden früheren EuGH-Urteile angestoßen hatte, warnte: "Am Ende wird sich die Definition des EuGH durchsetzen - und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will."
Darüber hinaus weist Noyb in der Stellungnahme darauf hin, dass es sich bei dem Datenschutzüberprüfungsgericht nicht um eine unabhängige Einrichtung der Justiz, sondern eines Verwaltungsorgans handele. "Das neue System ähnelt sehr stark dem früheren 'Ombudsmann', der vom EuGH bereits für nicht ausreichend erklärt wurde. Es ist fraglich, wie diese Beschwerdestelle in irgendeiner Weise dem in der EU-Charta geforderten 'Gericht' entsprechen soll" , heißt es weiter.
Bitkom hofft auf Rechtssicherheit
Noyb will mit seinen Partnern die Dokumente in den kommenden Tagen genauer analysieren und anschließend eine detaillierte rechtliche Analyse veröffentlichen. "Sollte die Entscheidung der Kommission nicht mit dem EU-Recht und den einschlägigen EuGH-Urteilen übereinstimmen, wird Noyb wahrscheinlich eine weitere Klage vor dem EuGH einreichen" , hieß es.
Der IT-Branchenverband Bitkom begrüßte hingegen den neuen Erlass. Dieser sei "ein klarer Fortschritt für die Absicherung internationaler Datentransfers" , sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Nun gelte es, "den politischen Willen für eine Lösung rasch in eine belastbare rechtliche Regelung zu überführen, die auch einer künftigen gerichtlichen Überprüfung standhält. Die Unternehmen brauchen Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden kann" .