Ist es an der Zeit, den US-Datenschutz zu knacken?

Ob die von Präsident Biden am 7. Oktober unterzeichnete Executive Order die im Fall Schrems II aufgezeigten rechtlichen Bedenken ausräumen und „Vertrauen und Stabilität“ in den transatlantischen Datenverkehr wiederherstellen kann, ist umstritten. schreibt Dick Roche, ehemaliger irischer Minister für europäische Angelegenheiten, der eine zentrale Rolle beim irischen Referendum zur Ratifizierung des Vertrags von Lissabon spielte, in dem der Schutz personenbezogener Daten als Grundrecht anerkannt wurde.

Die Datenschutzgesetze der EU gelten weithin als Goldstandard für die Datenregulierung und den Schutz der Persönlichkeitsrechte einzelner Bürger.

Als das Internet noch in den Kinderschuhen steckte, ging die EU 1995 neue Wege, indem sie in der Europäischen Datenschutzrichtlinie Regeln für die Bewegung und Verarbeitung personenbezogener Daten festlegte.

Mit dem Vertrag von Lissabon aus dem Jahr 2007 wurde der Schutz personenbezogener Daten zu einem Grundrecht. Der Vertrag über die Arbeitsweise der Europäischen Union und die 2009 in Kraft getretene EU-Grundrechtecharta schützen dieses Recht.

Im Jahr 2012 schlug die EU-Kommission die Datenschutz-Grundverordnung (DSGVO) vor, die ein umfassendes Reformpaket enthält, das darauf abzielt, die digitale Wirtschaft Europas anzukurbeln und die Online-Sicherheit der Bürger zu stärken.

Im März 2014 verzeichnete das Europäische Parlament eine überwältigende Unterstützung für die DSGVO, als 621 Abgeordnete aus dem gesamten politischen Spektrum für die Vorschläge stimmten. Nur 10 Abgeordnete stimmten dagegen und 22 enthielten sich. 

Die DSGVO ist zum globalen Modell für das Datenschutzrecht geworden.  

Werbung

Die Gesetzgeber in den USA sind nicht den gleichen Weg wie Europa gegangen. In den USA sind die Datenschutzrechte im Bereich der Strafverfolgung eingeschränkt: Die Tendenz geht dahin, die Interessen der Strafverfolgung und der nationalen Sicherheit zu bevorzugen.

Zwei Versuche, die Kluft zwischen den Ansätzen der EU und der USA zu überbrücken und einen Mechanismus für den Datenverkehr zu schaffen, scheiterten, als der Gerichtshof der EU die eher phantasievoll benannten Regelungen Safe Harbor und Privacy Shield für mangelhaft befunden hatte.  

Es stellt sich die Frage, ob neue EU-US-Datenschutzrahmenvereinbarungen, die in der von Präsident Biden am 7^th Der Oktober wird erfolgreich sein, wo Safe Harbor und Privacy Shield versagt haben. Es gibt viele Gründe, daran zu zweifeln.

Schrems II hat die Messlatte hoch gelegt

Im Juli 2020 entschied der EuGH im Fall Schrems II, dass das US-Recht die im EU-Recht festgelegten Anforderungen an den Zugang zu und die Verwendung personenbezogener Daten nicht erfüllt.

Der Gerichtshof äußerte anhaltende Bedenken darüber, dass die Verwendung von und der Zugriff auf EU-Daten durch US-Behörden nicht durch den Grundsatz der Verhältnismäßigkeit eingeschränkt würden. Sie vertrat die Ansicht, dass es „unmöglich ist, zu dem Schluss zu kommen“, dass das EU-US-Datenschutzschild-Abkommen ausreicht, um ein Schutzniveau für EU-Bürger zu gewährleisten, das dem durch die DSGVO garantierten gleichwertig ist, und entschied, dass der im Rahmen des Datenschutzschilds geschaffene Ombudsmann-Mechanismus dies sei unzureichend und seine Unabhängigkeit nicht gewährleistet werden konnte.  

Die Vorschläge von Präsident Biden und die Zustimmung der EU-Kommission

Auf 7^th Oktober Präsident Biden unterzeichnete eine Executive Order (EO) „Enhancing Safeguards for United States Signals Intelligence Activities“.

Neben der Aktualisierung einer Executive Order aus der Obama-Ära über die Art und Weise, wie der Datenschutz in den USA funktioniert, legt die Verordnung einen neuen EU-US-Datenschutzrahmen fest.

Das Briefing des Weißen Hauses zum EO charakterisiert Framework als Wiederherstellung von „Vertrauen und Stabilität“ in transatlantische Datenströme, die es als „entscheidend für die Ermöglichung der 7.1 Billionen Dollar schweren Wirtschaftsbeziehung zwischen der EU und den USA“ beschreibt – eine ziemlich übertriebene Behauptung.

Das Briefing beschreibt die neuen Vereinbarungen als Stärkung des „bereits strengen Schutzes der Privatsphäre und der bürgerlichen Freiheiten für US-Signalaufklärungsaktivitäten“.

Es behauptet, dass die neuen Vereinbarungen sicherstellen werden, dass US-Geheimdienstaktivitäten nur zur Verfolgung definierter nationaler US-Sicherheitsziele durchgeführt werden und auf das beschränkt sind, was „notwendig und verhältnismäßig“ ist – ein Kniefall gegenüber dem Schrems-II-Urteil.  

Das Briefing legt auch „einen mehrschichtigen Mechanismus“ dar, der es den von US-Geheimdienstaktivitäten Geschädigten ermöglichen wird, „(eine) unabhängige und verbindliche Überprüfung und Wiedergutmachung von Ansprüchen zu erhalten“.

Die EU-Kommission hat die Anordnung von Präsident Biden gebilligt und sie enthusiastisch so dargestellt, als würde sie Europäern, deren personenbezogene Daten in die USA übermittelt werden, „verbindliche Garantien geben, die den Zugang zu Daten durch US-Geheimdienste auf das beschränken, was zum Schutz der nationalen Sicherheit erforderlich und verhältnismäßig ist“. Ohne unterstützende Analyse charakterisiert er die Wiedergutmachungsbestimmungen und den Gerichtshof des Ordens als einen „unabhängigen und unparteiischen“ Mechanismus, „um Beschwerden über den Zugang zu Daten von (Europäern) durch nationale Sicherheitsbehörden der USA zu untersuchen und zu lösen“.

Einige ernsthafte Fragen

An den Präsentationen des Weißen Hauses und der Kommission gibt es viel zu hinterfragen.

Viele würden die Idee in Frage stellen, dass US-Geheimdienste einem „rigorosen Spektrum an Datenschutz und bürgerlichen Freiheiten“ unterliegen. 

Ein großes Problem stellt sich in Bezug auf das Rechtsinstrument, das von den USA verwendet wird, um die Änderungen einzuführen. Executive Orders sind flexible Exekutivinstrumente, die jederzeit von einem amtierenden US-Präsidenten geändert werden können. Eine Änderung im Weißen Haus könnte dazu führen, dass die vereinbarten Vereinbarungen in den Mülleimer geworfen werden, wie es geschehen ist, als Präsident Trump die mühsam ausgehandelte Vereinbarung zur Einschränkung des iranischen Atomprogramms im Austausch für die Aufhebung der Sanktionen aufgegeben hat.

Es stellen sich auch Fragen, wie die Worte „notwendig" und "verhältnismäßig“, die im Weißen Haus erscheinen, und die Erklärungen der Kommission sind zu definieren. Die Interpretation dieser Schlüsselwörter kann auf beiden Seiten des Atlantiks sehr unterschiedlich sein. 

Das European Center for Digital Rights, die von Max Schrems gegründete Organisation, weist darauf hin, während die US-Regierung und die EU-Kommission die Worte „notwendig," und "verhältnismäßig" Aus dem Schrems-II-Urteil sind sie hinsichtlich ihrer rechtlichen Bedeutung nicht eindeutig. Damit beide Seiten auf derselben Seite stehen, müssten die USA ihre Massenüberwachungssysteme grundlegend einschränken, um sie an das EU-Verständnis einer "verhältnismäßigen" Überwachung anzupassen, und so weiter wird nicht passieren: Die Massenüberwachung durch US-Geheimdienste wird im Rahmen der neuen Vereinbarungen fortgesetzt.

Besonders ernsthafte Bedenken bestehen hinsichtlich des Rechtsbehelfsmechanismus. Der von Präsident Bidens EO geschaffene Mechanismus ist komplex, eingeschränkt und alles andere als unabhängig.

Die Wiedergutmachungsvereinbarungen erfordern, dass Beschwerden zunächst bei den von US-Geheimdiensten ernannten Civil Liberties Protection Officers eingereicht werden, um sicherzustellen, dass die Behörden die Privatsphäre und die Grundrechte einhalten – eine Vereinbarung, aus der Wilderer Wildhüter wurden.  

Entscheidungen dieser Beamten können bei einem neu geschaffenen Data Protection Review Court (DPRC) angefochten werden. Dieser „Gerichtshof“ wird „sich aus Mitgliedern zusammensetzen, die außerhalb der US-Regierung ausgewählt werden“.

Die Verwendung des Wortes „Gericht“ zur Beschreibung dieses Gremiums ist fraglich. Das Europäische Zentrum für digitale Rechte weist die Vorstellung zurück, dass die Körperschaft im normalen Sinne von Artikel 47 der EU-Grundrechtecharta liegt.

Seine „Richter“, die über die „erforderliche (US-)Sicherheitsüberprüfung“ verfügen müssen, werden vom US-Justizminister in Absprache mit dem US-Handelsminister ernannt.

Weit davon entfernt, „außerhalb der US-Regierung“ zu stehen, werden die Mitglieder des Gerichtshofs nach ihrer Ernennung Teil der US-Regierungsmaschinerie.

Wenn entweder von einem Beschwerdeführer oder von „einem Element der Geheimdienstgemeinschaft“ Berufung beim Gericht eingelegt wird, tritt ein aus drei Richtern bestehendes Gremium zusammen, um den Antrag zu prüfen. Dieses Gremium wählt erneut einen Sonderanwalt mit der „erforderlichen Sicherheitsfreigabe“ der USA aus, um „die Interessen des Beschwerdeführers in der Angelegenheit“ zu vertreten.

In Bezug auf den Zugang müssen Beschwerdeführer aus der EU ihren Fall an eine zuständige Behörde in der EU richten. Diese Behörde leitet die Beschwerde an die USA weiter. Nachdem der Fall überprüft wurde, wird der Beschwerdeführer „durch die zuständige Stelle im qualifizierten Staat“ über das Ergebnis informiert, „ohne zu bestätigen oder zu leugnen, dass der Beschwerdeführer Signalaktivitäten der Vereinigten Staaten ausgesetzt war“. Beschwerdeführern wird nur mitgeteilt, dass „bei der Überprüfung entweder keine abgedeckten Verstöße festgestellt wurden“ oder „eine Feststellung getroffen wurde, die eine angemessene Abhilfe erfordert“. Es ist schwer zu erkennen, wie diese Vereinbarungen den Unabhängigkeitstest bestehen, den die Vorschläge des Ombudsmanns im Datenschutzschild nicht bestanden haben. 

Insgesamt haben die Regelungen des Data Protection Review Court mehr als nur einen Hauch des viel geschmähten US-amerikanischen FISA-Gerichtshofs, der weithin als kaum mehr als ein Stempel für die US-Geheimdienste angesehen wird.

Was kommt als Nächstes?

Mit der Verabschiedung der US Executive Order geht die Klage zurück an die EU-Kommission, die einen Entwurf einer Angemessenheitsentscheidung vorschlagen und Adoptionsverfahren einleiten wird.

Das Annahmeverfahren erfordert, dass die Kommission eine unverbindliche Stellungnahme des Europäischen Datenschutzbeauftragten einholt. Die Kommission muss außerdem die Zustimmung eines Ausschusses erhalten, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt.

Das Europäische Parlament und der Rat haben das Recht, die Europäische Kommission aufzufordern, den Angemessenheitsbeschluss zu ändern oder zurückzuziehen, wenn sein Inhalt die in der DSGVO-Verordnung von 2016 vorgesehenen Durchführungsbefugnisse überschreitet.

Als Organ, das die Menschen in Europa direkt vertritt, und als Organ, das die in der DSGVO dargelegten Grundsätze so überwältigend befürwortet hat, hat das Europäische Parlament die Verantwortung, einen langen und genauen Blick auf das zu werfen, was auf dem Tisch liegt, und eine klare Sicht auf das zu haben Ausmaß, in dem die Vorschläge mit den Grundsätzen der DSGVO vereinbar sind, mit den Erwartungen der Europäer, dass ihre Datenschutzrechte geachtet werden.

Es ist sehr unwahrscheinlich, dass die grundlegenden Differenzen zwischen der EU und den USA beim Schutz der Persönlichkeitsrechte einzelner Bürger durch die Executive Order von Präsident Biden zum Stillstand gebracht werden: Die Kontroverse hat noch einen langen Weg vor sich.

Teile diesen Artikel: