Es ist eine schallende Ohrfeige für EU-Kommissionspräsidentin Ursula von der Leyen. Der Ausschuss für bürgerliche Freiheiten, Justiz und innere Angelegenheiten des EU-Parlaments hat empfohlen, den Entwurf für das Data Privacy Framework abzulehnen (PDF-Link). Damit sollte eigentlich der transatlantische Datenverkehr zwischen der EU und den USA wieder auf eine rechtlich sichere Basis gestellt werden, nachdem der Europäische Gerichtshof (EuGH) die beiden Vorgängerabkommen Safe Harbour (2016) und den Privacy Shield (2020) nach Klagen des österreichischen Datenschutzaktivisten Max Schrems für rechtswidrig erklärt hatte.

Nachdem vor rund einem Jahr die Verhandlungen für ein neues Regelwerk angelaufen waren, fordert der Ausschuss nun die EU-Kommission auf, den vorliegenden Entwurf für ein neues Datenabkommen abzulehnen. Dieses Abkommen sollte die Art und Weise regeln, wie personenbezogene Daten von EU-Bürgerinnen und -Bürgern von US-Unternehmen verarbeitet werden dürfen. Im Dezember 2022 war man in der Kommission noch zu dem Schluss gekommen, dass die Vereinigten Staaten inzwischen ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Biden-Dekret bietet nicht genug Datenschutz

Zuvor hatte US-Präsident Joe Biden im Oktober ein Dekret unterzeichnet, mit dem die Bedenken europäischer Datenschützer ausgeräumt werden sollten. Kernpunkte: Für US-Geheimdienste sollen strengere Regeln in Kraft treten, was ihren Zugriff auf Daten aus Europa betrifft. Außerdem sollen EU-Bürger die Möglichkeit bekommen, in den USA gegen mögliche Datenschutzverstöße zu klagen. Den Verantwortlichen der EU-Kommission reichte das aus, um das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA anzustoßen.

Aus Sicht des EU-Parlaments gibt es jedoch noch Klärungsbedarf. Das von der Biden-Administration erlassene Dekret biete keinen ausreichenden zusätzlichen Schutz, moniert der Ausschuss. Die darin vorgesehenen Schutzmaßnahmen seien unzulänglich, weil sie vom Präsidenten jederzeit einfach rückgängig gemacht oder geändert werden könnten.

Außerdem bleibe die Verordnung in vielen Punkten zu vage. US-Gerichte hätten weiterhin genug Interpretationsspielraum, um die Massenerfassung von Daten zu genehmigen - gerade wenn es um die nationale Sicherheit der Vereinigten Staaten gehe. Dazu komme, dass Bidens Dekret nicht für Daten gelte, auf die Geheimdienste nach US-Gesetzen wie dem Cloud Act und dem Patriot Act zugreifen könnten.

Die USA hätten es bis dato verabsäumt, ihre Datenüberwachung zu reformieren. Es gebe nach wie vor kein bundesweit geltendes Datenschutzgesetz, kritisiert der Ausschuss. Deshalb lautet das Fazit: Das innerstaatliche Recht der USA sei nicht mit dem Rahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) vereinbar. Deshalb sollte keine Einigung erzielt werden, bis die USA diese Gesetze besser an europäische Datenschutzstandards angeglichen hätten.

Datenschützer wehren sich

Die Ablehnung des Data Privacy Framework durch den EU-Parlamentsausschusses ist rechtlich nicht bindend. Der EU-Verfahrensprozess wird also erst einmal weiterlaufen. Ob der bislang vorliegende Entwurf für ein neues Regelwerk in seiner jetzigen Form Bestand haben wird, ist jedoch mehr als fraglich. Kritiker dürften mit dem jetzt vorliegenden Prüfungsergebnis neuen Aufwind bekommen.

Der Datenschutzverein noyb mit seinem Vorstandsvorsitzenden Schrems hatte bereits im vergangenen Jahr angekündigt, rechtliche Schritte zu prüfen. Aus Sicht der Datenschützer würden die Kernforderungen des EuGH auch im neuen Entwurf nicht erfüllt. Die Überwachung durch die USA bleibe unverhältnismäßig und der Zugang zu Rechtsmitteln sei für EU-Bürger nur unzureichend gewährleistet. Schrems zufolge werde ein neues Abkommen auf der jetzt vorliegenden Basis kaum einer Anfechtung vor dem EuGH standhalten.