News

EU und USA einigen sich auf Datenschutzabkommen

EU und USA einigen sich auf Datenschutzabkommen EU und USA einigen sich auf Datenschutzabkommen

Oktober 2022: EU und USA einigen sich auf Datenschutzabkommen

Im Jahre 2020 wurde das EU-US Datenschutzabkommen “Privacy Shield” von dem Europäischen Gerichtshof gekippt. Dabei handelte es sich vor allem um einen sog. Teilangemessenheitsbeschluss der europäischen Union gem. Artikel 45 DSGVO. Dieser Teilangemessenheitsbeschluss unterliegt somit einer rechtlichen Notwendigkeit, um Daten aus dem europäischen Raum in die USA zu übertragen. Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU ist aufgrund des Artikel 44 DSGVO nur unter gewissen und strengen Voraussetzungen zulässig. Der Grund für das Kippen des EU-US Datenschutzabkommens lag darin, dass keine Gewährleistung bestand, dass die Verarbeitung personenbezogener Daten im EU Ausland (sog. Drittstaaten) genauso geschützt ist wie auf europäischer Ebene. Lediglich die Abwicklung über Standardvertragsklauseln konnte etwas zu einem sicheren Datentransfer beitragen.

 

Nach 2 Jahren Unsicherheiten wurde  jetzt am 7.10.2022 ein Dekret vom US-Präsidenten Joe Biden unterschrieben und es wurde sich auf ein neues Datenschutzabkommen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework) geeinigt. Dabei soll anhand des Dekrets der Umgang mit europäischen Daten auf datenschutzkonformer Weise gerecht werden. Mit der sog. Executive Order sollen die Urteile des Europäischen Gerichtshofs (EuGH) umgesetzt werden. Der EuGH verlangte zum einen, dass die Überwachung durch die USA im Sinne von Artikel  52 der Charta der Grundrechte (GRC) verhältnismäßig sein muss und zum anderen, dass gemäß Artikel 47 GRC die Möglichkeit der Erhebung eines gerichtlichen Rechtsbehelfs eingelegt werden kann. Jedoch befürchtet der bekannte Datenschützer Max Schrems, dass Bidens neue Durchführungsverordnung an den oben genannten Anforderungen und Voraussetzungen zum Scheitern verurteilt ist. Wir erklären wieso. 

 

Executive Order

Was genau versteht man unter einer Executive Order? Eine Executive Order ist eine interne Dienstanweisung des amtierenden US-Präsidenten mit Gültigkeit binnen der US-Regierung. Eine Executive Order ist jedoch kein Gesetz, sondern lediglich eine Anweisung. Eine solche Executive Order wurde zuvor hinsichtlich der Massenüberwachung bereits vom damaligen US-Präsidenten Barack Obama im Jahre 2014 geregelt. Zwar sieht man in der internen Anweisung des US-Präsidenten einen wichtigen Schritt. Die Executive Order kann jedoch nicht abschließend für das Verfahren sein. Denn es besteht folgendes Problem, welches sich nicht durch die Executive Order so leicht lösen lässt: 

  • Problem

Zwei Begrifflichkeiten von „Verhältnismäßigkeit“ führen zu weiterer Massenüberwachung. In der neuen Executive Order wird von nun an der Wortlaut des europäischen Rechts („verhältnismäßig“ und „notwendig“ wie in Artikel 52 GRC) anstelle des bisherigen Begriffs „so maßgeschneidert wie möglich“ verwendet. 

Die USA haben jedoch auch klargestellt, dass sie trotz der Nutzung neuer Worte ihre Massenüberwachungssysteme („bulk surveillance“) nicht einschränken werden. Alle europäischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht „verhältnismäßig“ (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt hat.

Das Problem liegt darin, dass auf europäischer sowie auf US-amerikanischer Seite zwar Einigkeit darüber besteht, dass das Wort “verhältnismäßig” in US-Dokumente aufgenommen werden soll; über den Begriff “verhältnismäßig” besteht zwischen den USA und der EU jedoch kein Konsens. Die USA werden nach eigener Aussage ihre Massenüberwachung weiter fortführen, d.h. die europäischen Daten werden trotz allem in US-Programmen wie Prisms und Upstream landen, wenn diese Daten in die Spähe von US-Providern gelangen. Die Massenüberwachung wurde schon des Öfteren von dem EuGH als unverhältnismäßig und dementsprechend als illegal deklariert. Würden die USA das Wort „verhältnismäßig“ wie der EuGH auslegen, könnte das Problem in der Hinsicht gelöst werden, denn dann wäre die amerikanische Massenüberwachung rechtswidrig und müsse dann eingeschränkt werden. Die USA werden nach eigener Aussage ihre Überwachung jedoch weiter fortführen.

Max Schrems, bekannter Datenschutzaktivist, äußerte sich diesbezüglich wie folgt: „Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will.“

  • Problem: „Gericht“ ist in Wirklichkeit ein Verwaltungsorgan.

Unabhängig von der nicht eingeschränkten Massenüberwachung stellt sich in der Executive Order ein zweites Problem: Der in Artikel 47 GRC geforderte „Rechtsbehelf“ wird nicht umgesetzt.

In Art. 47 GRC hat man das Recht, bei einem Gericht einen Rechtsbehelf einzulegen. Jedoch wird statt eines Gerichts ein Mitarbeiter des Director of National Intelligence etwaige Beschwerden entgegennehmen und bearbeiten. Eine zweite Stelle, die „Data Protection Review Court“, kann dann die Bearbeitung der Beschwerden überprüfen. Das Problem: Zwar enthält diese Stelle in ihrem Namen das Wort “Court”, ist jedoch keine Legislative, sondern Teil der Exekutive. Fraglich ist, wie diese Stelle den Anforderungen an den in Art. 47 GRC genannten Begriffs des Gerichts gerecht wird. 

Hierzu Max Schrems, Datenschutzaktivist: „Wir müssen den Vorschlag im Detail prüfen, aber auf den ersten Blick scheint es sich bei diesem ‚Gericht‘ einfach nicht um ein Gericht zu handeln. Die Charta verlangt eindeutig einen ‚gerichtlichen Rechtsbehelf‘ – die bloße Umbenennung einer Beschwerdestelle in ein ‚Gericht‘ macht sie nicht zu einem Gericht. Es ist faszinierend, wie die Europäische Kommission von Polen oder Ungarn – zurecht – makellose Gerichtssysteme fordert, aber wenn es um die USA geht, brauchen wir plötzlich gar kein Gericht.

 

Unterzeichnetes Dekret von US-Präsident

Die Verhandlungen bezüglich eines neuen EU-US Datenschutzabkommens standen schon seit geraumer Zeit zur Debatte. So soll sich der US-Präsident Joe Biden bereits im Frühjahr diesen Jahres mit EU-Kommissionschefin Ursula von der Leyen auf ein neues Datenschutzabkommen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework) geeinigt haben. Nun signierte der US-Präsident ein solches Dekret (ein Dekret stellt dabei kein Gesetz dar), das auf US-amerikanischer Ebene zu einem sicheren Datenumgang in Bezug auf europäische Daten beitragen soll. Geändert hat sich indes auch das Niveau der Sicherheit des Datentransfers, dass vor allem auch der rechtswidrige Zugang zu europäischen Daten durch Geheimdienste besser geschützt wird. 

In dem Dekret wurde zusätzlich bestimmt, dass die Privatsphäre und die gewährleisteten Freiheitsrechte aller Menschen unabhängig von Nationalität und Wohnort in Betracht kommen. Des Weiteren soll eingeführt werden, dass Europäer künftig mittels eines zweistufigen Mechanismus die Möglichkeit haben, Beschwerden über datenschutz- unzulässige Maßnahmen einreichen zu können. Es hat sich somit aktiv etwas in Richtung der Sicherheit des Datenverkehrs zwischen den USA und der EU getan. Umstritten und sehr fragwürdig ist jedoch, ob diese Sicherheit den Anforderungen an das europäische Datenschutzniveau gerecht wird. Datenschützer streiten dies aufgrund oben genannter Probleme ab. 

 

Biden-Dekret jedoch noch nicht ausreichend 

Zwar herrscht Konsens darüber, dass das Biden-Dekret für das neue EU-US Datenschutzabkommen von großer Bedeutung ist; jedoch gilt dies vor allem für die US-amerikanische Seite. Der nächste Schritt muss auf europäischer Ebene in Form eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO gemacht werden. Hinsichtlich des Angemessenheitsbeschlusses will Ministerin Raimondo dem zuständigen EU-Kommissar Didier Reynders einige Schreiben der zuständigen US-Behörden über die künftigen Maßnahmen zukommen lassen. Zudem soll der Europäische Datenschutzausschuss (EDSA) konsultiert werden und die Kommission muss den EDSA und die europäischen Mitgliedstaaten anhören. Eine negative Stellung des EDSA hinsichtlich des Abkommens ist im Gegensatz zu den Mitgliedstaaten nicht bindend. Die Mitgliedstaaten könnten den Beschluss unter Umständen auch verwerfen. Das wird jedoch nicht erwartet. 

Sobald die Entscheidung veröffentlicht ist, können sich Unternehmen bei dem Transfer von Daten in die USA darauf berufen und Nutzer können diese vor den nationalen und europäischen Gerichten auch anfechten. Dies wird aber voraussichtlich nicht vor dem Frühjahr nächsten Jahres passieren.

 

Bildquelle: Bild von geralt auf pixabay