Biden unterschreibt Verordnung für Datenschutzabkommen. Wird sie halten?

Auf die Pressemitteilung hat die Datenschutz-Welt Monate, wenn nicht Jahre, gewartet – und dann kam sie spät an einem Freitag, wenn die meisten Menschen schon halb im Wochenende sind. 

US-Präsident Joe Biden hat am Freitag eine Verordnung unterzeichnet, dass die Basis für ein neues Datenschutzabkommen zwischen EU und USA legt. Das neue Abkommen soll das sogenannte Privacy Shield ersetzen, das im Jahr 2020 vom Europäischen Gerichtshof (EuGH) wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) für ungültig erklärt worden war – das berühmte Schrems-II-Urteil. 

Privacy Shield ermöglichte den freien Fluss von personenbezogenen Daten von EU-Bürgern in die USA. Mit dem Schrems-II-Urteil sind diese Datenströme auf eine unsichere rechtliche Grundlage geraten – und damit auch der Zugriff der US-Geheimdienste auf die Daten von EU-Bürgern.

Quer durch Europa befinden sich internationale Datentransfers im Fadenkreuz von Gerichten und Datenschutzbehörden. Mehrere Datenschutzbehörden haben etwa Google Analytics für rechtswidrig befunden. 

Ein Nachfolger für Privacy Shield ist daher von vielen Unternehmen in den USA und der EU herbeigesehnt worden in der Hoffnung, dass die Übermittlung von personenbezogenen Daten im großen Stil wieder legal möglich sein kann. 

Aber wird das neue Datenschutzabkommen dieses Ziel erreichen? Ein schneller erster Blick auf die wichtigsten Punkte in der Verordnung Joe Bidens. 

Neues Framework: Die wichtigsten Punkte auf US-Seite

Im Wesentlichen hat der EuGH das Privacy Shield für ungültig erklärt, weil personenbezogene Daten in den USA nicht dem gleichen Schutzniveau unterliegen wie in der EU. Das Gericht verwies insbesondere auf zwei US-Gesetze (FISA und CLOUD Act), die es den US-Geheimdiensten ermöglichen, große Mengen personenbezogener Daten ohne ausreichende Kontrolle und Legitimation zu sammeln und zu verwenden. Diese Praktiken waren durch den NSA-Whistleblower Edward Snowden bestätigt worden. 

Das Weiße Haus versucht jetzt, diesen Bedenken mit seiner neuen Verordnung zu begegnen. Diese umfasst im Wesentlichen drei Neuerungen: 

• Civil Liberties Protection Officer

Künftig soll es zwei Ebenen der Kontrolle geben: Die erste bildet die Position des Civil Liberties Protection Officer (CLPO), der oder die im Büro des Direktors der nationalen Nachrichtendienste angesiedelt ist. Der CLPO soll nach Datenschutz-Beschwerden Untersuchungen durchführen und entscheiden, ob Verstöße gegen die Privatsphäre vorliegen oder nicht. Werden Verstöße festgestellt, kann der CLPO die geeigneten nächsten Schritte festlegen. Diese Entscheidungen sind für die Nachrichtendienste verbindlich. 

• Data Protection Review Court

Als zweite Ebene ist laut der Verordnung ein neues Gericht vorgesehen, das vom Justizminister eingerichtet werden soll. Dieses Gericht soll laut Weißem Haus auf Antrag von betroffenen Privatpersonen oder von Mitgliedern der Geheimdienste eine unabhängige und verbindliche Überprüfung der Entscheidungen des CLPO vornehmen. 

Weiter heißt es, dass die Richter dieses Gerichts von außerhalb der US-Regierung kommen und Erfahrung im Bereich Datenschutz und nationale Sicherheit mitbringen müssen. Sie sollen die “Fälle unabhängig prüfen und Schutz vor Abberufung genießen”.

• Neue Regeln für Nachrichtendienste

Als drittes Maßnahmenpaket sollen strengere Regeln beim Umgang mit personenbezogenen Daten für Geheimdienste eingeführt werden. Laut Weißem Haus sollen “solche Aktivitäten nur in Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden“. 

Die Nachrichtendienste müssten demnach “die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Nationalität oder ihrem Wohnsitzland berücksichtigen”. Sie dürften “nur dann tätig werden, wenn dies notwendig ist, um eine bestätigte nachrichtendienstliche Priorität voranzutreiben, und nur in dem Umfang und auf eine Weise, die zu dieser Priorität verhältnismäßig ist”.

Die Verordnung soll inhaltlich und sprachlich mit der Datenschutz-Grundverordnung übereinstimmen. Aber wird sie einer gerichtlichen Überprüfung tatsächlich standhalten?

Schrems: „Kernprobleme nicht gelöst”

Unternehmen sollten sich besser nicht allzu große Hoffnungen machen. Zwar sind die USA offenkundig auf die Anforderungen der DSGVO und des EuGH zugegangen. Das neue Datenschutzabkommen wird möglicherweise erst im März 2023 in Kraft treten – und dann höchstwahrscheinlich bald angefochten werden. 

Dafür spricht zumindest die erste Reaktion der Datenschutz-NGO None of Your Business (NOYB), deren Vorsitzender der österreichische Datenschutz Aktivist Max Schrems ist, Namensgeber des bahnbrechenden Urteils Schrems II. 

Schrems und NOYB äußerten wenige Stunde nach Bekanntwerden der Verordnung bereits ernsthafte Bedenken hinsichtlich ihrer Rechtmäßigkeit. Trotz der angepassten Sprache der Verordnung “gibt es keinen Hinweis darauf, dass sich die Massenüberwachung in den USA in der Praxis ändern wird”, ist auf der Website der Organisation zu lesen.  

Max Schrems selbst kritisierte insbesondere die Verwendung des Begriffs “verhältnismäßig” bei der Abgrenzung der Befugnisse der Geheimdienste. “Die EU und die USA sind sich jetzt über die Verwendung des Wortes ‘verhältnismäßig’ einig, scheinen sich aber über dessen Bedeutung nicht einig zu sein.

Am Ende werde sich die Definition des EuGH durchsetzen. “Die Europäische Kommission verschließt die Augen vor dem US-Recht, das das Ausspionieren von Europäern weiterhin ermöglicht”, sagte Schrems.

Als dritten Kritikpunkt äußert NOYB Zweifel, ob es sich beim Data Protection Review Court tatsächlich um ein Gericht handelt, und beruft sich dabei auf die US-Verfassung, wonach es eher als ein Organ der Exekutive handeln dürfte. Es sei fraglich, dass es sich dabei um den nach EU-Charta geforderten “gerichtlichen Rechtsbehelf” handle.

Ein Weg aus dem Schlamassel

Auf die Veröffentlichung der Verordnung folgt nun ein Begutachtungsprozess auf europäischer Seite, an dem der Europäische Datenschutzausschuss, die Mitgliedstaaten und das Europäische Parlament beteiligt sind. Die Entscheidung über das Inkrafttreten des Abkommens liegt aber alleine bei der Kommission. 

Bis auf Weiteres, aber auch nach Inkrafttreten des Abkommens, finden transatlantische Datentransfers auf rechtlich unsicherer Grundlage statt. Es besteht die Möglichkeit, dass der EuGH das neue Abkommen, wie schon das Privacy Shield, kippt.

Für Unternehmen und Organisationen, die diesen rechtlichen Schwebezustand beenden wollen, bleiben noch technologische Optionen. EU-basierte Lösungen wie Server-Side Tracking von JENTIS bleiben der effektivste Weg, GDPR-konform zu werden – und vor allem, konform zu bleiben, unabhängig davon, wie sich die rechtliche Auseinandersetzung um das neue Abkommen entwickelt.