Data Privacy Framework: Datenschutzabkommen zwischen EU und USA in Kraft
Drei Jahre nach dem Aus der Vorgängerregelung “Privacy Shield” ist ein neues Datenschutzabkommen zwischen der EU und den USA in Kraft getreten. Die USA gewährleisteten nun ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an Unternehmen in den USA übermittelt werden, teilte die EU-Kommission am Montag in Brüssel mit.
Die neue Regelung “EU-US-Data Privacy Framework” führe demnach verbindliche Garantien ein, um die zuvor vom Europäischen Gerichtshof (EuGH) geäußerten Bedenken auszuräumen. Der EuGH hatte “Privacy Shield” für die Übermittlung von Daten aus Europa über den Atlantik im Juli 2020 mit der Begründung gekippt, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Die Richter hatten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern bemängelt.
Für Unternehmen war durch das EuGH-Urteil große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU entstanden. “Privacy Shield” war 2016 geschaffen worden, nachdem der EuGH im Oktober 2015 bereits die Vorgänger-Regelung “Safe Harbor” für ungültig erklärt hatte.
Geklagt hatte in beiden Fällen der österreichische Jurist Max Schrems. Dessen Datenschutzorganisation Noyb beklagte am Montag, dass das neue Abkommen weitgehend eine Kopie des gescheiterten “Privacy Shield” sei. “Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Pingpong satt haben”, so Schrems.
Künftig dürfen US-Geheimdienste auf die Daten nur dann zugreifen, wenn es “notwendig und verhältnismäßig” sei, hieß es seitens der EU-Kommission – an der Definition dieser Begriffe spalten sich allerdings bereits die Geister. Außerdem soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden – auch hier zweifeln Kritiker die Funktionalität der neuen Instanz an. Der neue Rechtsrahmen soll künftig regelmäßig überprüft werden, so die EU-Kommission.
“Keine echte Reform”
“Der neue EU-US-Datenschutzrahmen wird sichere Datenströme für Europäer gewährleisten und Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks schaffen”, versprach EU-Kommissionspräsidentin Ursula von der Leyen. Die US-Regierung begrüßte das neue Abkommen ebenfalls. US-Präsident Joe Biden sagte: “Die Entscheidung spiegelt unser gemeinsames Engagement für einen starken Datenschutz wider und wird unseren Ländern und Unternehmen auf beiden Seiten des Atlantiks größere wirtschaftliche Chancen eröffnen.”
Aus der Politik kam scharfe Kritik: “Von der Leyen ist EU-Recht endgültig egal. Sie weiß, dass das neue Abkommen vor dem EuGH scheitern wird”, kritisierte der Europaabgeordnete Moritz Körner (FDP). Die finanziellen Kosten müssten dann zum dritten Mal die europäischen Bürgerinnen und Bürger und Unternehmen zahlen. Die sozialdemokratische Fraktion im Europaparlament kritisierte auf Twitter, dass mit dem Abkommen personenbezogene Daten anfällig für Massenüberwachung seien. Eine echte Reform sei das nicht.
Parlament und Datenschützer üben Kritik
Die EU-Kommission hatte für die jetzige Vereinbarung fast eineinhalb Jahre lang mit den USA verhandelt. Im März 2022 verkündeten Biden und Von der Leyen dann eine grundsätzliche Einigung. Details wurden anschließend in weiteren Verhandlungsrunden geklärt.
Ende April 2023 hatten die Abgeordneten des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament erklärt, die Regelungen in der Vereinbarung reichten nicht aus, um eine Angemessenheitsentscheidung bei der Übermittlung personenbezogener Daten zu rechtfertigen. Das Abkommen biete zudem keine ausreichenden Schutzmaßnahmen. Die Parlamentarier sahen weiterhin die Gefahr der massenhaften Erfassung personenbezogener Daten ohne vorherige Genehmigung. Es fehlten zudem klare Regeln für die Speicherung der Daten und das vorgesehene Kontrollgericht sei weder unabhängig noch unparteiisch, und somit als Kontrollinstanz ungeeignet.
Auch das Parlament selbst hatte die Pläne Mitte Mai 2023 via Resolution kritisiert und Nachbesserungen gefordert. Die Zusagen der USA, die Daten der Europäerinnen und Europäer künftig besser zu schützen, reichten den Abgeordneten nicht aus. Die US-Geheimdienste hätte weiterhin zu viel Spielraum bei der Massenüberwachung. Das Parlament hatte die Kommission dazu aufgefordert, weiter mit den US-Vertretern zu verhandeln.
Noyb sieht Tricksereien
Schrems kritisierte, die USA würden dem Wort “verhältnismäßig” eine andere Bedeutung beimessen als der EuGH. Denn ein neues Dekret des US-Präsidenten erkläre die Massenüberwachung (nach FISA 702) für verhältnismäßig. Hingegen hatte der EuGH diese Massenüberwachung als nicht verhältnismäßig beurteilt, weil sie gegen die EU-Grundrechtscharta verstößt. “Auf diese Weise konnten die EU und die USA behaupten, sie hätten sich auf dasselbe Wort (”verhältnismäßig") geeinigt – auch wenn es keine Einigung über die Bedeutung des Wortes gibt", schreibt Noyb.
Außerdem stelle die Verletzung der Privatsphäre von Nicht-US-Bürgern laut Noyb kein Problem für die USA dar. Weiterhin würden nur “US-Personen” verfassungsmäßige Rechte zugesprochen; nur sie dürften nicht anlasslos überwacht werden. Die USA hätten sich geweigert, die Überwachungsgesetze zu reformieren und auch Nicht-US-Bürgern einen angemessenen Schutz ihrer Privatsphäre zu gewähren. Es bestehe Einigkeit darüber, dass die US-Gesetzgebung gegen Grundrechte verstoße, in den USA gegen den 4. Verfassungszusatz und in der EU gegen die Artikel 7, 8 und 47 der Grundrechtecharta.
Auch die vorgeschriebenen Rechtsbehelfe stimmen Schrems zufolge nicht mit EU-Recht überein. Der vorgesehene “Gerichtshof” würde in keine direkte Interaktion mit betroffenen Personen treten. Er sei auch kein Gericht, sondern ein teilweise unabhängiges Exekutivorgan. Dieses dürfe in allen Fällen weder bestätigen noch verneinen, dass Personen von den Geheimdiensten überwacht wurden. Auch dürfe nicht preisgegeben werden, ob Verstöße festgestellt wurden oder nicht. “Das ‘Urteil’ dieses ‘Gerichts’ ist also bereits bekannt, bevor jemals eine Beschwerde eingereicht wird”, kritisiert Noyb.
Geschichte des Scheiterns
Nach dem “Foreign Intelligence Surveillance Act” (FISA) sind Unternehmen wie Meta, Alphabet & Co. dazu verpflichtet, US-Behörden wie der NSA und dem FBI Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten. Die Richterinnen und Richter des Europäischen Gerichtshofes hatten 2020 kritisiert, dass “Privacy Shield” der Einhaltung amerikanischen Rechts Vorrang gewährte. Außerdem seien die auf US-Gesetze gestützten Überwachungsprogramme “nicht auf das zwingend erforderliche Maß beschränkt” und die Anforderungen an den Datenschutz damit nicht gewährleistet. Zudem hatten die Richter festgestellt, dass Betroffene durch die gesetzlichen Regeln in den USA keine Rechte erhalten, die sie gegenüber amerikanischen Behörden gerichtlich durchsetzen konnten.
Nach dem Urteil 2020 konnten Daten von EU-Bürgern nur auf Basis sogenannter Standardvertragsklauseln weiterhin in die USA und andere Staaten übertragen werden – aber nur, wenn das EU-Datenschutzniveau nach Datenschutzgrundverordnung (DSGVO) dabei gewährleistet war.
“Genau wie ‘Privacy Shield’ basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken. Wieder einmal scheint die derzeitige Kommission dieses Chaos auf die nächsten Kommission abzuwälzen”, so Schrems. Noyb kündigte an, dass die neue Regelung “in wenigen Monaten wieder vor dem Europäischen Gerichtshof landen” werde. Das Gericht hätte im Fall einer Klage auch die Möglichkeit, das Abkommen für die Zeit des Verfahrens auszusetzen. Die einzige stabile Lösung wäre Noyb zufolge eine Änderung der US-Überwachungsgesetze. (dpa / hcz)