US-Regierung und EU nehmen einen neuen Anlauf, die Übertragung sensibler Daten aus Europa in die USA auf rechtssichere Beine zu stellen. US-Präsident Joe Biden hat am 7. Oktober einen Präsidentenerlass unterzeichnet, mit dem die Bedenken europäischer Datenschützer ausgeräumt werden sollen. Kernpunkte dabei sind: Für US-Geheimdienste sollen strengere Regeln in Kraft treten, was ihren Zugriff auf Daten aus Europa betrifft. Außerdem sollen EU-Bürger die Möglichkeit bekommen, in den USA gegen mögliche Datenschutzverstöße zu klagen. Ratifizieren die verschiedenen EU-Gremien die Vorschläge, könnte am Ende ein neues Regelwerk für den transatlantischen Datenverkehr herauskommen.
Bis dahin ist es allerdings noch ein weiter Weg. Die Vorgängerabkommen hielten den strengen europäischen Gesetzen zum Schutz persönlicher Daten nicht stand und wurden vom Europäischen Gerichtshof (EuGH) außer Kraft gesetzt. 2016 kippten die Richter Safe Harbor, im Juli 2020 auch das Nachfolgeabkommen Privacy Shield - geklagt hatte in beiden Fällen der österreichische Datenschutzaktivist Max Schrems.
US-Nachrichtendienste durchwühlen Daten aus Europa
Personenbezogene Daten europäischer Bürger würden bei einer Übermittlung in die USA nicht ausreichend geschützt, hatte der EuGH seine Entscheidung begründet. Kritisiert wurde, dass US-amerikanischen Interessen, was deren nationale Sicherheit angeht, Vorrang eingeräumt würde. Damit würden Grundrechte europäischer Nutzer verletzt, deren Daten in die USA übertragen werden. Die Richter verwiesen vor allem darauf, dass die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet sei. Die DSGVO schreibt vor, dass eine Nutzung der Daten auf das zwingend erforderliche Maß zu beschränken sei. Das sei in den USA - gerade hinsichtlich der Aktivitäten der Nachrichtendienste - nicht der Fall.
Die Richter monierten ferner, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keine Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich geltend zu machen. Die im Privacy Shield vorgesehene Einrichtung einer Ombudsperson sei wirkungslos.
Was versteht die USA unter "definierten nationalen Sicherheitszielen"?
Nun soll also das "EU-U.S. Data Privacy Framework" anstelle des Privacy Shield treten. Darin ist unter anderem festgeschrieben, dass US-Geheimdienste künftig nur noch auf die Daten europäischer Bürger zugreifen dürfen, wenn es um die Verfolgung "definierter nationaler Sicherheitsziele" geht. Die Geheimdienstler seien angehalten, Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland zu berücksichtigen und nur dann aktiv zu werden, wenn es unbedingt notwendig sei. Umfang sowie die Art und Weise dieser Aktivitäten müssten den US-amerikanischen Sicherheitsprioritäten angemessen sein.
Darüber hinaus soll laut US-Regierung ein mehrstufiger Mechanismus eingerichtet werden, der es EU-Bürgern erlauben soll, ihre Rechte einzufordern, sollten sie der Meinung sein, ihre Daten würden missbräuchlich verwendet. Dafür soll zunächst ein "Civil Liberties Protection Officer" (CLPO) im Office of the Director of National Intelligence die eingegangenen Beschwerden untersuchen und daraufhin prüfen, ob Rechte verletzt wurden. Falls dies der Fall wäre, müssten entsprechende Abhilfemaßnahmen bestimmt werden. Die Entscheidungen des CLPO seien für die Nachrichtendienste bindend, heißt es in Bidens Erlass.
Ein Data Protection Review Court soll richten
Darüber hinaus soll ein Data Protection Review Court (DPRC) im US-Justizministerium eingerichtet werden. Betroffene EU-Bürger wie auch Geheimdienste könnten diese Stelle anrufen, um die Entscheidungen des CLPO unabhängig zu prüfen. Die Richter des DPRC sollenvon außerhalb der US-Regierung ernannt werden und über einschlägige Erfahrungen auf dem Gebiet des Datenschutzes und der nationalen Sicherheit verfügen müssen. Laut Erlass können sie nur abberufen werden, wenn sie ihrer Aufgabe nicht mehr gewachsen sind.
EU-Politiker hoffen, dass mit Bidens Executive Order die Grundlage für einen neuen Rechtsrahmen zur Übermittlung sensibler Daten aus Europa in die USA gelegt wurde. Über die Einzelheiten wurde offenbar Monate lang heftig gerungen. Bereits Ende März hatten der US-Präsident und die EU-Kommissionspräsidentin Ursula von der Leyen erklärt, man habe eine "grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt". Dass es nun noch ein halbes Jahr länger gedauert hat, ehe der US-Präsident etwas Konkretes vorlegen konnte, deutet auf langwierige Diskussionen hin. EU-Beamte sollen an der Ausarbeitung des Data Privacy Framework beteiligt gewesen sein.
Abkommen muss noch durch die EU-Instanzen
Bidens Erlass ist allerdings nur ein erster Schritt. Von einem unterschriftsreifen Abkommen sind die Parteien noch weit entfernt. Auf Basis des Papiers könne nun auf EU-Ebene das Verfahren für einen sogenannten Angemessenheitsbeschluss beginnen, der gleichwertige Datenschutzstandards zwischen der EU und den USA bescheinigen würde, hieß es in Brüssel. Es dürfte etwa sechs Monate dauern. Dabei müssen auch Europäische Datenschutzgremien, die einzelnen EU-Staaten sowie das Europaparlament einbezogen werden. Am Ende könnte dann tatsächlich ein neues Regelwerk für den transatlantischen Datenverkehr stehen.
Darauf hofft vor allem die Wirtschaft: "Für die Datentransfers zwischen der EU und den USA brauchen wir dringend ein Nachfolgeabkommen zum Privacy Shield", hieß es von Seiten des IT-Branchenverbands Bitkom. Die derzeit notwendigen Einzelfallprüfungen seien für die Wirtschaft, insbesondere für kleine und mittelständische Unternehmen, eine große Belastung. Die Betriebe bräuchten Rechtssicherheit, damit die bestehende Datenblockade endlich aufgelöst werden könne. "Nach der Executive Order gilt es, den politischen Willen für eine Lösung rasch in eine belastbare rechtliche Regelung zu überführen, die auch einer künftigen gerichtlichen Überprüfung standhält", fordert der Bitkom.
Droht ein Schrems III?
Momentan sieht es allerdings eher danach aus, als würde das Abkommen wieder vor dem EuGH landen. Der Datenschutzverein noyb mit seinem Vorstandsvorsitzenden Schrems hat bereits angekündigt, die Einigung genauestens unter die Lupe zu nehmen. Laut einer ersten Einschätzung der Datenschützer dürfte auch der neueste Entwurf vor dem höchsten europäischen Gericht scheitern. Eine Executive Order des US-Präsidenten habe nicht die gleiche Kraft wie ein ordentlich durch die US-Kammern verabschiedetes Gesetz, kritisieren die Datenschützer. Die Dienstanweisung gelte für die jetzige US-Regierung und könne durch einen Erlass des Nachfolgers, möglicherweise Donald Trump, schnell wieder vom Tisch gewischt werden. "Es ist zwar erfreulich, dass unsere Fälle vor dem EuGH zu einer Reaktion des US-Präsidenten führen", heißt es in einer Stellungnahme des noyb, "doch kann eine interne Anordnung des US-Präsidenten das Problem nicht lösen."
Zwar verwendet der Biden-Erlass hinsichtlich des Zugriffs von Geheimdiensten auf Daten Begriffe wie "verhältnismäßig" und "notwendig" und folgt damit dem Wortlaut des in Europa geltenden Datenschutzrechts. In den USA würden diese Begriffe jedoch ganz anders interpretiert als in Europa, so die noyb-Verantwortlichen. Die Amerikaner würden letztendlich ihre Massenüberwachungssysteme nicht einschränken. Auch nach der neuen Regelung sei es künftig möglich, dass europäischen Daten, die an US-Provider gesendet werden, in Programmen wie PRISM und Upstream landeten, obwohl der EuGH diese Überwachung schon zweimal als nicht "verhältnismäßig" und damit für illegal erklärt habe.
Auch der vom EuGH geforderte Rechtsbehelf werde nicht umgesetzt. "Obwohl die Stelle 'Court' (Gericht) heißt, ist es aber kein Gericht, sondern eine Stelle der Exekutive", kritisieren die Datenschützer. Das neue System ähnele sehr stark dem früheren "Ombudsmann", der vom EuGH bereits für nicht ausreichend erklärt wurde. "Die Charta verlangt eindeutig einen 'gerichtlichen Rechtsbehelf' - die bloße Umbenennung einer Beschwerdestelle in ein 'Gericht' macht sie nicht zu einem Gericht", stellt Schrems fest. "Es ist faszinierend, wie die Europäische Kommission von Polen oder Ungarn - zu Recht - makellose Gerichtssysteme fordert, aber wenn es um die USA geht, brauchen wir plötzlich gar kein Gericht."