Die Kommission hat mit Begeisterung eine kürzlich erlassene US-Verordnung zur Umsetzung eines neuen Rahmens zum Schutz der Privatsphäre personenbezogener Daten, die zwischen den USA und Europa ausgetauscht werden, gebilligt. Dick Roche ist anderer Meinung.
Dick Roche ist ein ehemaliger Politiker von Fianna Fáil. Er war Staatsminister für europäische Angelegenheiten, als Irland 2008 und 2009 die beiden Referenden zum Vertrag von Lissabon über die Europäische Union durchführte.
Am Freitag (7. Oktober) unterzeichnete Präsident Biden eine Durchführungsverordnung zur Umsetzung eines neuen Rahmens zum Schutz der Privatsphäre personenbezogener Daten, die zwischen den USA und Europa ausgetauscht werden. Der Auftrag folgt einer im März erzielten Einigung zwischen den USA und der EU-Kommission.
Es stellt sich die Frage, ob die vorgeschlagenen Regelungen den Anforderungen genügen, die der Gerichtshof der Europäischen Union in seinem Urteil in der Rechtssache Schrems II aufgestellt hat.
Im Fall Schrems II stellte der Gerichtshof fest, dass das US-Recht die EU-Anforderungen in Bezug auf den Zugang zu und die Verwendung personenbezogener Daten nicht erfüllt. Sie äußerte Bedenken, dass die Nutzung von und der Zugang zu EU-Daten durch US-Behörden nicht durch den Grundsatz der Verhältnismäßigkeit eingeschränkt würden. Es sei „unmöglich zu schließen“, dass die EU-US-Datenschutzschild-Vereinbarungen ein Schutzniveau gewährleisten könnten, das im Wesentlichen dem durch die EU-Datenschutz-Grundverordnung garantierten entspricht [GDPR]. Der Gerichtshof war außerdem der Ansicht, dass der durch den Datenschutzschild geschaffene Ombudsmann-Mechanismus unzureichend war und die Unabhängigkeit des Amtes nicht garantiert werden konnte.
Insgesamt kam der EuGH zu dem Schluss, dass die Datenschutzschild-Vereinbarungen keine einklagbaren Rechte garantieren können, die denen der DSGVO entsprechen. Das Urteil legte eine hohe Messlatte für jeden neuen EU-US-Datenschutzrahmen fest. Fraglich ist, ob die von den USA und der EU-Kommission unterzeichneten Vereinbarungen diese Grenze erreichen.
Bestimmungen des neuen Rahmens
Am Freitag behauptet ein Fact Sheet des Weißen Hauses, dass die Executive Order (EO) von Präsident Biden „weitere Schutzmaßnahmen für Signalaufklärungsaktivitäten hinzufügt“.
Das EO hat vier Schlüsselelemente. Erstens verlangt es, dass US-Geheimdienstaktivitäten nur zur Verfolgung definierter nationaler Sicherheitsziele durchgeführt werden dürfen, „die Privatsphäre und die bürgerlichen Freiheiten aller Personen berücksichtigen müssen, unabhängig von Nationalität oder Wohnsitz“ und „nur durchgeführt werden dürfen, wenn dies erforderlich ist eine validierte Geheimdienstpriorität voranzutreiben und nur in dem Umfang und in einer Weise, die zu dieser Priorität verhältnismäßig ist“.
Es legt Anforderungen für den Umgang mit personenbezogenen Daten fest, einschließlich der Verpflichtung von Compliance-Beauftragten, sicherzustellen, dass „geeignete Maßnahmen ergriffen werden, um Vorfälle von Nichteinhaltung zu beheben“.
Es fordert auch die US-Geheimdienste auf, „Richtlinien und Verfahren zu aktualisieren, um die neuen Schutzmaßnahmen für Privatsphäre und bürgerliche Freiheiten widerzuspiegeln“, die im EO enthalten sind.
Das vierte Element in der US-Verordnung sieht einen zweistufigen Mechanismus vor, „für Einzelpersonen aus qualifizierten Staaten und regionalen Wirtschaftsintegrationsorganisationen, um eine unabhängige und verbindliche Überprüfung und Wiedergutmachung von Behauptungen zu erhalten, dass ihre personenbezogenen Daten von den Vereinigten Staaten unter Verstoß gegen diese gesammelt oder behandelt wurden geltendes US-Recht.“
In erster Instanz können sich Geschädigte bei einem von US-Geheimdiensten ernannten „Civil Liberties Protection Officer“ (CLPO) beschweren, um sicherzustellen, dass die US-Geheimdienste die Privatsphäre und die Grundrechte einhalten.
Entscheidungen der CLPO können bei einem Data Protection Review Court (DPRC) angefochten werden. Der „Gerichtshof“, der „sich aus Mitgliedern zusammensetzt, die von außerhalb der US-Regierung ausgewählt werden“, wird befugt sein, verbindliche Abhilfeentscheidungen zu treffen.
Enthusiasmus der Kommission
Die EU-Kommission hat die US-Verordnung begeistert gebilligt und die Vereinbarungen, die sie mit der Biden-Regierung ausgehandelt hat, als „eine dauerhafte und verlässliche Rechtsgrundlage für den transatlantischen Datenverkehr“ bezeichnet.
Es stellt die Vereinbarungen als eine erhebliche Einschränkung des Zugangs der US-Sicherheitsbehörden zu Daten dar, die „einen unabhängigen und unparteiischen Rechtsbehelfsmechanismus“ einrichtet, um Beschwerden zu untersuchen und zu lösen.
Die Kommission charakterisiert die Anordnung von Präsident Biden als „alle vom Gerichtshof der Europäischen Union aufgeworfenen Punkte“ ansprechend. Diese Ansicht, die zweifellos in Frage gestellt wird, spiegelt die Äußerungen der US-Handelsministerin Gina Raimondo am Tag vor der Unterzeichnung des Befehls durch den Präsidenten wider.
Das von Max Schrems gegründete European Center for Digital Rights (NOYB) äußerte in einer ersten Reaktion mehrere grundsätzliche Bedenken. Sie weist darauf hin, dass die Schlüsselwörter im Schrems-II-Urteil auf beiden Seiten des Atlantiks unterschiedlich interpretiert werden, während die US-Regierung und die EU-Kommission die Worte „notwendig” und “verhältnismäßig” aus dem EuGH-Urteil in die Vereinbarung aufgenommen, sind sie hinsichtlich ihrer rechtlichen Bedeutung nicht ad idem. Wären sie auf derselben Seite, müssten die USA ihre Massenüberwachungssysteme grundsätzlich einschränken, um dem EU-Verständnis von „verhältnismäßig“ zu entsprechen, was nicht passieren wird!
Das Zentrum weist auch darauf hin, dass der durch die US-Exekutivverordnung geschaffene „Gerichtshof“ ein Organ innerhalb der Exekutive der Regierung und kein „gerichtlicher Rechtsbehelf“ ist, wie es die EU-Charta vorschreibt.
Ähnlich sieht es die American Civil Liberties Union. Sie weist die Ansicht zurück, dass die Vereinbarungen im Biden EO „die Privatsphäre von Amerikanern und Europäern angemessen schützen“, und kommt zu dem Schluss, dass sie „nicht sicherstellen, dass Personen, deren Privatsphäre verletzt wird, ihre Ansprüche von einem völlig unabhängigen Entscheidungsträger lösen lassen“.
ACLU weist auch darauf hin, dass die Exekutivverordnung keine Gesetzgebung ist; es kann jederzeit von einem amtierenden Präsidenten geändert werden und erneuert seine Forderung an den Kongress, die US-Überwachungsgesetze radikal zu reformieren.
Der Transatlantic Consumer Dialogue ist außerdem der Ansicht, dass die neuen Bestimmungen die Grundrechte der europäischen Bürger auf Privatsphäre und Datenschutz, wie sie in der EU-Grundrechtecharta und der DSGVO niedergelegt sind, nicht angemessen schützen.
Die nächsten Schritte
Mit der Verabschiedung der US Executive Order liegt der Ball nun wieder bei der EU-Kommission. Die EU-Exekutive wird nun einen Entwurf einer Angemessenheitsentscheidung vorbereiten und einen Annahmeprozess einleiten, der eine Stellungnahme des Europäischen Datenschutzausschusses und grünes Licht von einem Ausschuss erfordert, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Das Europäische Parlament hat bei Angemessenheitsbeschlüssen ein Kontrollrecht.
Angesichts der Bedenken, die auf beiden Seiten des Atlantiks geäußert wurden, seit Präsident Biden seine Exekutivverordnung unterzeichnet hat, und angesichts der Neigung der US-Behörden, ihre Autorität zu überschreiten, müssen wir uns alle genau ansehen, was auf dem Tisch liegt. An diesem Punkt scheinen die Chancen auf einen Schrems-III-Fall sehr hoch zu sein.