Suche

Privacy Shield: Datenschützer sieht "erhebliche Defizite" bei Biden-Erlass

Mit einem Präsidentenerlass will die US-Regierung den Privacy Shield erneuern. Doch nach Ansicht des Datenschutzbeauftragten Brink reicht das nicht aus.

Artikel veröffentlicht am ,
Der Datentransfer in die USA ist weiterhin mit Rechtsunsicherheiten verbunden. (Bild: Pixabay)

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink warnt vor einem erneuten Scheitern eines transatlantischen Datenschutzabkommens vor Gericht. Der Anfang des Monats von US-Präsident Joe Biden unterzeichnete Erlass zum Datenschutz von EU-Bürgern weise "erhebliche Defizite" und "erhebliche rechtliche Unklarheiten" auf, teilte Brink am 26. Oktober 2022 mit. Die sogenannte Durchführungsverordnung (Executive Order) sei "ein wichtiger Schritt, der aber viele Fragen offenlässt".

Anzeige

Hintergrund des am 7. Oktober 2022 vom Weißen Haus veröffentlichten Erlasses ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit der das bestehende Datenschutzabkommen, der sogenannte Privacy Shield, für unzureichend erklärt wurde. Um den Datenaustausch zwischen den USA und der EU wieder auf eine sichere rechtliche Grundlage zu stellen, kündigten EU-Kommissionspräsidentin Ursula von der Leyen und Biden im März 2022 die prinzipielle Einigung auf eine Nachfolgeregelung an.

Doch Brink hat an dem vorgelegten Erlass einiges auszusetzen. So habe der EuGH nicht nur Rechtsbehelfe gegen ein staatliches Ausspähen verlangt, sondern die Beendigung dieser anlasslosen Überwachung selbst. "Davon kann aber derzeit nicht ausgegangen werden; der vom Gericht geforderte Systemwechsel findet nicht statt", heißt es in der Analyse.

Executive Order ist kein Gesetz

Darüber hinaus stelle sich die Frage, inwieweit eine Executive Order überhaupt ein wirksames Instrument zur Umsetzung der Anforderungen der Datenschutz-Grundverordnung DSGVO sein könne. Der Erlass stelle "eine interne Anweisung an Regierung und nachgeordnete Behörden dar und ist kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz". Daher sei die Einhaltung des Erlasses insbesondere für EU-Bürger nicht einklagbar. Ebenfalls sei nicht klar, wie sich der Erlass zu anderen bestehenden US-Regulierungen wie dem Cloud Act verhalte.

Anzeige

Die nun enthaltenen Beschränkungen von Datenverarbeitungen auf erforderliche und angemessene Fälle wirkten zwar wie ein Zugeständnis im Sinne des europäischen Verhältnismäßigkeitsprinzips. Jedoch sei die Auslegung des Rechtsbegriffs der Verhältnismäßigkeit in Europa und den USA unterschiedlich. Daher bleibe unklar, "wann aus Sicht der USA ein Zugriff für die nationale Sicherheit zulässig bleibt".

Was Brink ebenfalls nicht gefällt: An die Einreichung einer Beschwerde von EU-Bürgen würden "erhebliche Anforderungen" gestellt. Es würden Mindestangaben aufgeführt, die erfüllt sein müssen, so dass ein Aussieben "unerwünschter" Beschwerden möglich bleibe. Zudem würden Beschwerdeführer ausdrücklich nicht darüber informiert, ob sie Gegenstand von nachrichtendienstlichen Aktivitäten der US-Behörden gewesen seien. Sie erhielten lediglich eine standardisierte Mitteilung, wonach die Überprüfung ihrer Beschwerde abgeschlossen sei.

Zu guter Letzt kritisiert Brink, dass der Biden-Erlass kein unabhängiges Gericht vorsieht, das über die Beschwerden von EU-Bürgern entscheidet. Der dafür vorgesehene Data Protection Review Court werde im Ressort des Justizministeriums eingerichtet. "Er dürfte damit der Exekutive zuzurechnen sein, was seiner (richterlichen) Unabhängigkeit entgegensteht", schreibt Brink. Der österreichische Datenschutzaktivist Max Schrems, der das EuGH-Urteil erwirkt hatte, hatte diese Konstruktion ebenfalls schon moniert.

Laut Brink ist aufgrund der Defizite fraglich, ob die EU-Kommission allein auf Grundlage des Erlasses "überhaupt in der Lage ist, das Datenschutzniveau in den USA neu zu bewerten und einen Angemessenheitsbeschluss zu erlassen".

Auf der Basis eines solchen Beschlusses wäre es künftig wieder einfacher möglich, personenbezogene Daten von EU-Bürgern in die USA zu transferieren (g+). Derzeit nutzen Unternehmen und Behörden dazu Instrumente wie Standardvertragsklauseln (Standard Contractual Clauses/SCC), Einwilligungen oder verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules).