Anfang des Jahres verkündeten die Europäische Kommission und der US-amerikanische Präsident, dass man sich über wesentliche Punkte eines neuen Trans-Atlantic Data Privacy Framework einigte. Zu Beginn dieser Woche unterschrieb nun der US-amerikanische Präsident die Executive Order für das geplante US-EU Data Privacy Framework. Noch im ersten Quartal 2023 könnte mit einem Angemessenheitsbeschluss gerechnet werden, der den Datentransfer zwischen der EU und den USA legitimiert – womöglich aber nicht lang anhaltend.
Der Inhalt im Überblick
Hintergrund zum TADPF
Am 25. März 2022 verkündeten die Europäische Kommission und der US-amerikanische Präsident, dass man sich im Grunde auf einen neuen EU-US-Datentransfer und -schutzrahmen einigte. Eckpunkte hierzu wurden übereinstimmend ausgearbeitet. Das Abkommen, welches sich Trans-Atlantic Data Privacy Framework (TADPF) nennt, soll Nachfolger des durch das Schrems-II-Urteil gekippte EU-US Privacy Shields werden.
Vergangene Woche, am 07.10.2022 schließlich unterzeichnete der US-Präsident die Durchführungsverordnung (Executive Order).
Bei der Executive Order (Durchführungsverordnung) handelt es sich um eine interne Richtlinie der US-amerikanischen Bundesregierung. Sie soll die vom EuGH monierten Punkte glattbügeln, gerade im Hinblick auf die Rechte betroffener EU-Bürger. Somit sollen endlich wieder die Weichen für eine legitime und rechtssichere Datenübermittlung zwischen den USA und der EU gestellt werden. Die Europäische Kommission hat nun gem. Art. 45 DSGVO an einem Angemessenheitsbeschluss zu arbeiten, der voraussichtlich im Frühjahr 2023 erwartet werden könnte. Damit wäre das Problem des bisher unsicheren und risikobehafteten Datentransfers in die USA Geschichte – zumindest für eine kurze Zeit.
Vielleicht aber nicht lange, denn noyb kündigte bereits an, hiergegen vorzugehen, wenn die rechtliche Prüfung in den kommenden Tagen Anlass dazu bietet.
Noyb: Bald Schrems-III?
Noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiert. Nach erster Sichtung der Durchführungsverordnung seien dem Team von noyb zwei gewichtige Kritikpunkte ins Auge gestoßen: Das Thema Überwachung und der erforderliche Rechtsbehelf von Betroffenen.
Der EuGH verlangt u.a., dass in den USA eine Überwachung und der damit verbundene Zugriff auf Daten europäischer Bürger/innen verhältnismäßig sein müsse (Art. 52 GRCh). Zugriffe seien auf das zu beschränken, was zum Schutz nationaler Sicherheit notwendig und im Bezug auf den Schutz der Privatsphäre der Betroffenen verhältnismäßig sei. Darüber hinaus müsse den Betroffenen das Recht auf einen wirksamen Rechtsbehelf eines unparteiischen Gerichts gewährleistet werden (Art. 47 GRCh), um einen effektiven Rechtsschutz gegen staatliche Zugriffe gewährleisten zu können.
Weiterhin unverhältnismässige Zugriffe
Diesen Erfordernissen des EuGH komme die Executive Order bereits nach erster Sichtung durch noyb nicht nach: In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Die neue Durchführungsverordnung enthalte zwar nun den entscheidenden Wortlaut „notwendig“ und „verhältnismäßig“ des Art. 52 GRCh, während die zuvor durch Ex-Präsident Obama geregelte Richtlinie PPD-28 noch die Begrifflichkeiten „so maßgeschneidert wie möglich“ [„as tailored as feasible“] verwendete. Um eine Verhältnismäßigkeit der Eingriffe zu gewährleisten, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsieht.
Die neue Richtlinie ändere laut noyb am ursprünglichen Problem der Verhältnismäßigkeit staatlicher Zugriffe nichts. Die Massenüberwachung werde weiterhin durch die neue Durchführungsverordnung fortgesetzt, da alle an US-Providern gesendete Daten weiterhin in Programmen wie PRISM oder Upstream landeten. Dies gehe aus Section 2 (c)(ii) der Executive Order hervor. Die rechtliche Bedeutung von Verhältnismäßigkeit divergiere noch immer- daran ändere die strikte Wortlautübernahme in der Richtlinie nichts. Hierbei handele es sich vielmehr um eine leere Worthülse, die übernommen wurde, ohne inhaltlich den Anforderungen zu entsprechen. Es bliebe diesbezüglich also beim Status quo und diesen hat der EuGH bereits zweimal als „unverhältnismäßig“ betrachtet.
Max Schrems äußerte sich dazu wie folgt:
„Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will.“
„Data Protection Court“ – Kein echtes Gericht
Einen weiteren erheblichen Kritikpunkt konnte noyb am geforderten Rechtsschutz für Betroffene ausmachen:
Bei dem Gericht, welches in der Durchführungsverordnung genannt ist, handele es sich gar nicht um ein Gericht. Obwohl eine der Stellen die Beschwerden entgegennehmen kann, „Data Protection Court“ genannt wird, handele es sich entgegen der Bezeichnung nicht um ein Gericht, sondern um eine Stelle der Exekutiven. Der nach Art. 47 GRCh geforderte „Rechtsbehelf“ werde laut noyb durch die Executive Order daher nicht hinreichend umgesetzt.
Das in der Executive Order genannte System für Rechtsbeschwerden der europäischen Betroffenen leide an mehreren Mängeln. So ähnele es stark am ehemaligen „Ombudsmann“, der Anlaufstelle für Betroffene war und bereits vom EuGH für unzureichend erklärt wurde. Damit habe man nun schlichtweg eine einfache Beschwerdestelle in ein Gericht umbenannt, in der Hoffnung, man erfülle die Voraussetzung von Art. 47 GRCh.
Auch das Verfahren vor dem „Data Protection Court“ werfe erhebliche Zweifel an einem effektiven Rechtsschutz auf: Betroffene müssen indirekt über eine Datenschutzbehörde gehen. Beschwerden werden an einen US-Beamten geschickt, dessen Antwort – so befürchtet – inhaltlich stets gleichlautend sein werde: Die USA könne weder bestätigen noch verneinen, dass der Betroffene überwacht werde. Im Falle der Überwachung sei diese jedenfalls rechtmäßig. Auch die Antwort des „Data Protection Review Court“ stehe in Section 3 (i) (d) (H) der Executive Order bereits von vornherein fest:
„the review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation.“
Ein zukünftiges Abkommen mit Bestand?
Die erste Kritik an der Executive Order lässt Böses befürchten. Eine weitreichendere Analyse des Dokuments soll folgen, ebenso die damit verbundenen Aussichten auf ein Messen am europäischen Datenschutzstandard. Sollte sich die bereits bestehende Kritik verhärten, kündigt noyb bereits jetzt schon an, gerichtlich vorgehen zu wollen.
„Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ (Max Schrems)
Es bleibt abzuwarten, wie der neue Angemessenheitsbeschluss der Europäischen Kommission aussehen wird. Im kommenden Jahr muss der US-Kongress FISA 702 erneut bestätigen. Vielleicht nutzt der Kongress diese Möglichkeit, gewisse Einschränkungen vorzunehmen, um den Rechtsschutz Betroffener zu stärken.