„Augenwischerei“ und „leere Worte“Europaabgeordnete zerreißen Bidens Privacy-Shield-Nachfolger

Was taugt die neue Executive Order des US-Präsidenten? Das Dekret soll Europäer:innen besser vor amerikanischen Geheimdiensten schützen und damit den Weg für einfachen transatlantischen Datenverkehr ebnen. Doch das reicht nicht, sagen Mitglieder des Europäischen Parlaments.

Im Hintergrund EU- und USA-Flaggen, im Vordergrund: Links ein Mann mit weißen Haaren im Anzug, rechts eine blonde Frau am Rednerpult, die ihm den Kopf zudreht
US-Präsident Joe Biden und EU-Kommisionspräsidentin Ursula von der Leyen verkünden eine grundsätzliche Einigung über den transatlantische Datenverkehr, März 2022 – Alle Rechte vorbehalten The White House

Auf welcher Grundlage dürfen Daten von EU-Bürger:innen in den USA verarbeitet und wie müssen sie geschützt werden? Um diese Frage ringen die USA, die EU und Datenschützer:innen seit Jahren. Und noch immer steht eine Antwort aus. Bereits zwei Mal hat der Europäische Gerichtshof (EuGH) entsprechende Entscheidungen der EU gekippt, weil die US-Regierung Europäer:innen keinen ausreichenden Schutz vor US-Geheimdiensten wie der NSA garantierte. Präsident Joe Biden unternimmt nun mit einer neuen Executive Order einen dritten Anlauf. Nachdem Biden zusammen mit EU-Kommisionspräsidentin Urusula von der Leyen im März 2022 eine grundsätzliche politische Einigung verkündete hatte, war die Umsetzung mit Spannung erwartet worden. Dass es wieder keine Veränderungen der Überwachungsgesetze in den Vereinigten Staaten geben würde, war zuvor bereits durchgesickert. Eine Executive Order ist lediglich eine vom US-Präsidenten per Dekret erteilte Verwaltungsverordnung, die ohne weiteres wieder zurückgenommen werden kann. Doch auch vom Inhalt her zeigen sich die netzpolitischen Expert:innen im europäischen Parlament enttäuscht.

Es sei zwar erfreulich, dass die US-Regierung die Kritik des Europäischen Gerichtshofes aufgreife, schreibt uns die grüne EU-Parlamentarierin Alexandra Geese. „Auf den zweiten Blick wird jedoch deutlich, dass es sich dabei nur um leere Worte handelt.“ Von den Liberalen kommt ebenfalls Kritik. Der FDP-Politiker Moritz Körner bezeichnet Bidens Executive Order als „alter Wein in neuen Schläuchen“. Auch die SPD-Politikerin Birgit Sippel hält „weitergehende gesetzgeberische Maßnahmen in den USA“ für notwendig.

Datenschutz wie in Europa? 

Egal ob Soziale Medien oder Cloud-Anwendungen für die Industrie, Webtracking-Dienste oder Internet-of-Things-Geräte: Weite Teile der Online-Infrastruktur in Europa betreiben Firmen aus den USA. In vielen Fällen landen deshalb die Daten der europäischen Nutzer:innen auf amerikanischen Servern. Dafür müssen die Betreiber:innen sicherstellen, dass die Daten entsprechend geschützt sind. Und es braucht eine Rechtsgrundlage. Das ist im Normalfall sehr kompliziert, doch die Europäische Kommission kann es vereinfachen, indem sie beschließt, dass das Datenschutzniveau in einem anderen Staat den Europäischen Standards angemessen ist.

Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien; auch für die USA fiel sie schon zwei Mal. Doch der Europäische Gerichtshof hat sie nach Klagen des Juristen Max Schrems wiederholt kassiert – und dabei deutliche Worte gefunden: Rechtslage und geheimdienstliche Überwachungspraxis in den USA sind demnach nicht mit dem europäischen Datenschutz in Einklang zu bringen.

Genau hier setzt die Executive Order des US-Präsidenten an. Sie sieht zum einen vor, den Datenzugriff der US-Geheimdienste auf ein Maß zu beschränken, das zum Schutz der nationalen Sicherheit „erforderlich“ und „verhältnismäßig“ ist. Der Text übernimmt damit Begriffe des europäischen Rechts, genauer aus Artikel 52 der Grundrechte-Charta. In der Vergangenheit hatten US-Überwachungsmaßnahmen lediglich „so maßgeschneidert wie möglich“ sein müssen, wie eine Executive Order des damaligen US-Präsidenten Barack Obama aus dem Jahr 2014 vorsah.

Das nun erlassene Dekret von Präsident Biden formuliert zum einen zwölf Ziele, die den Einsatz von Massenüberwachung rechtfertigen, darunter so breit gefasste wie die Bedrohung durch Terrorismus oder Cyberangriffe. Zum anderen führt die Executive Order einen zweistufigen Rechtshilfe-Mechanismus ein, der es EU-Bürgerinnen erlauben soll, sich über einen widerrechtlichen Zugriff auf ihre Daten zu beschweren.

Weitere Gesetzesänderungen in den USA erforderlich 

In einer ersten Stellungnahme hatten Max Schrems und die Nichtregierungsorganisation noyb sich bereits kritisch zu diesen Vorgaben geäußert. Unsere Umfrage unter EU-Abgeordneten zeigt: Sie sind bei weitem nicht die einzigen.

Birgit Sippel von der SPD wertet die Executive Order zwar grundsätzlich als Fortschritt. Sie kritisiert aber, dass die USA trotz augenscheinlichem politischem Willen, einen Nachfolger für das Privacy Shield zu erarbeiten, das Problem nicht an der Wurzel anpacken und ihre Überwachungsgesetzgebung ändern. Um den Anforderungen des EuGH gerecht zu werden, braucht es ihrer Meinung nach „weitere Gesetzesänderungen in den USA“.

Außerdem hinterfragt Sippel den Rechtshilfe-Mechanismus. Das „Privacy and Civil Liberties Oversight Board“, die erste Instanz in dem neuen, zweistufigen Beschwerdesystem, könne wahrscheinlich nur die Einhaltung der Rechtslage fordern, jedoch keine Änderungen herbeiführen. Es sei zudem fraglich, ob das neu eingeführte „Datenschutzüberprüfungsgericht“ die Kriterien des EuGH für ein unabhängiges Gericht erfülle. Denn unabhängige Gerichte kann in den USA nur der Kongress einrichten. Doch die Order hat nicht nur ein bisher unbekanntes Gericht, sonder auch noch einen bisher unbekannten „Special Advocate“ eingeführt – entsprechend unklar sind auch die Befugnisse beider.

Noch drastischere Worte findet Alexandra Geese, Abgeordnete für die Grünen. Die Nachbesserungen zu einem gerichtlichen Rechtsbehelf bezeichnet sie als „Augenwischerei“. Zwar werde der Begriff „Gericht“ verwendet, tatsächlich handele es sich dabei jedoch um „eine Verwaltungsstelle, deren Urteile obendrein in der Order direkt vorgeschrieben sind“. Geese schreibt, es dürfe „keine Einigung um jeden Preis“ geben. Die Kommission müsse den Erlass kritisch prüfen „und dabei insbesondere die bereits laut gewordenen Bedenken aus der Zivilgesellschaft ernst“ nehmen. Die Executive Order entkräfte keine der Bedenken des EUGH, so Geese: „Sie vermag die Überwachung von EU-Bürger*innen durch die US-Behörden weder rechtlich noch faktisch einzuschränken.“

Klatsche für die EU-Bürger:innen, Gift für die Wirtschaft

Auch Geeses Fraktionskollege Patrick Breyer, Politiker der Piratenpartei, empfindet die Änderungen als „Augenwischerei“. Er bemängelt die fehlende gerichtliche Durchsetzbarkeit des Erlasses, dessen Einhaltung anders als bei einem Gesetz nicht eingeklagt werden kann. Breyer weist zudem darauf hin, dass der EuGH nicht nur die Auswertung, sondern bereits das massenhafte Abgreifen privater Daten von EU-Bürger:innen untersagt habe. Dieses massenhafte Abgreifen von Daten werde in der Order aber „ausdrücklich abgesegnet“. In der Erwartung, dass die EU trotz dieser Bedenken erneut einen Angemessenheitsbeschluss für die USA fassen wird, kritisiert Breyer die EU-Kommission scharf als „Wiederholungstäterin bei der Verletzung unserer Grundrechte“. Sie verrate europäische Grundwerte „und buckelt vor den USA und der Wirtschaftslobby.“

Auch Moritz Körner von der FDP kommt zu dem Schluss, die Executive Order rechtfertige keinen Angemessenheitsbeschluss, da sie die datenschutzrechtlichen Probleme in den USA nicht behebe. Stattdessen habe die US-Regierung kosmetische Änderungen vorgenommen und so ein „politisches Feigenblatt“ serviert. Sein Fazit: „Alter Wein in neuen Schläuchen“.

Körner kritisiert zudem, dass ein Zusatzartikel der US-Verfassung Regeln für die Einschränkung von Grundrechten festlegt, wonach EU-Bürger:innen nicht im gleichen Maße wie US-Bürger:innen geschützt sind. Dieser Zusatzartikel gilt exklusiv für Menschen mit US-amerikanischer Staatsangehörigkeit. Zwar besagt Bidens Executive Order, dass Menschen „unabhängig von ihrer Nationalität oder ihrem Wohnsitzland“ nach dem Grundsatz der Verhältnismäßigkeit behandelt werden sollen. Da der Rechtsweg für EU-Bürger:innen jedoch nur vor einem „US-Scheingericht“ bestehe, würden diese rechtlich weiterhin wie Menschen zweiter Klasse behandelt, so Körner.

Der Liberale zeigt sich überzeugt: „Dieser Papiertiger wird einer EuGH-Überprüfung nicht standhalten.“ Sollte die EU-Kommission auf dieser Grundlage zum dritten Mal „einen rechtlich nebulösen Angemessenheitsbeschluss verabschieden, wäre das nicht nur eine Klatsche für die EU-Bürger, sondern auch für die Wirtschaft, für die die seit 2015 anhaltende Rechtsunsicherheit Gift ist.“

„Die Kommission spielt auf Zeit“

Auch Körners niederländische Fraktionskollegin Sophie in ’t Veld würde ihren Wetteinsatz auf Max Schrems setzen, falls er erneut vor Gericht ziehen sollte. In ihren Augen versucht die Kommission derzeit, Zeit zu gewinnen. Ein Angemessenheitsbeschluss schaffe vorerst vermeintliche Rechtssicherheit. „Ein Gerichtsprozess Schrems III würde Zeit kosten – und zwar mehr Zeit, als diese Kommission im Amt bleiben wird.“

Bereits zwei Mal hat der österreichische Jurist Schrems den Rechtsrahmen für den transatlantischen Datenverkehr in sich zusammenfallen lassen. Das erste Mal hatte er im Jahr 2011 bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingereicht. Als die Behörde diese mit Verweis auf die im „Safe Harbour“-Abkommen genannten Zusicherungen der US-Regierung abwies, reichte Schrems Klage ein. Das Verfahren landete schließlich in letzter Instanz vor dem Europäischen Gerichtshof, der die seit 2000 geltende Angemessenheitsentscheidung für rechtswidrig erklärte. Gleiches passierte 2020 mit der Nachfolge-Verabredung Privacy Shield.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Außerordentlich speziell, diese Beziehung der US-Boys zum Rest der Welt…

    1. Ja, per Definition: US Exceptionalism. Die USA sind da ehrlich, die deutschen Transtlantiker belügen entweder sich selbst oder ihre Wähler.

  2. Man fragt sich natürlich nach über 10 Jahren und 2 doch sehr deutlichen Urteilen des obersten EU-Gerichts inzwischen, was genau die politischen Akteure damit bezwecken wollen, wenn sie jetzt noch immer versuchen so weiter zu machen wie bisher, nur mit ein bisschen mehr bedrucktem Papier als Grundlage. Es kann meines Erachtens nach eigentlich nur so sein, dass im Hinterzimmer Druck durch Konzerne ausgeübt wird. Sonst hätte doch jede(r) Politiker*in mit einem Mindestmass an Selbstrespekt spätestens jetzt verstanden, dass es nicht einfach so weitergehen kann. Wir werden sehen wann das nächste Urteil fällt. Zumindest im EU-Parlament wird es nicht mehr so einfach werden. Die EU-Kommission dagegen wird anscheinend auch weiterhin wirr und widersprüchlich handeln.

    1. „Man fragt sich natürlich nach über 10 Jahren und 2 doch sehr deutlichen Urteilen des obersten EU-Gerichts inzwischen, was genau die politischen Akteure damit bezwecken wollen, wenn sie jetzt noch immer versuchen so weiter zu machen wie bisher…“

      Genau das. Weitermachen, ohne Änderung des Status quo.

  3. Naja, was will man erwarten – vom „Großen Bruder“ der dich unbedingt „sehen“ will?

    Da würde es wohl auch nichts nützen wenn US Firmen dazu verpflichtet würden die Daten der EU Bürger in dem Land zu speichern dem diese angehören und die Verarbeitung einem im gleichen Lande residierenden Verarbeiter zu übergeben. Irgend ein Windiger Advokat findet dann doch wieder ein Schlupfloch durch das die US Firma gezwungen wird die Daten auf Zuruf aus zu händigen – oder sie werden schlichtweg geklaut. Und in dem Konstrukt kämen dann wohl die XYZ-Dienste im jeweiligen Lande auf den Verarbeiter zu mit einem „Her damit oder sonst…“ :-/

    Kurz: Es gibt eigentlich keine Alternative außer Genereller DATENSPARSAMKEIT und ein Globales Verbot jeglicher über das Mindestmaß hinausgehenden Datenspeicherung. Damit wäre die Vorratsdatenspeicherung vom Tisch weil illegal. Damit wären Adblocker unnötig weil Usertracking in das gleiche Raster fällt. Paradiesische Verhältnisse verglichen mit dem Jetzt. Bis jemand die Definition von „Mindestmaß“ in eine Rakete packt und es zur „Weltraumtheorie“ wird.

    Ist die Menschheit noch zu retten?

    Nein. Sie will nicht! :-( Erst muss der „Große Bruder“ endgültig tot sein. Und das erleben wir wohl nicht mehr.

    N.B. Da derzeit die Globalisierung rück-abgewickelt wird empfehle ich das gleiche mit der IT zu machen = Autonomes System DE. Senkt bestimmt die Angriffsflächen und ermöglicht Zentralere Erkennung von Angriffsmustern wenn es nur jeweils einen Dicken Link zwischen DE und EN, DE und US, DE und RU u.s.w. gäbe. In der Theorie…

  4. Arroganz der Macht. Es ist der Kommission schlicht sch*-egal, gibt es halt das naechste Verfahren mit Niederlage.

  5. Klageweg ist ja nett, aber vermutlichselbst bei Existenz schon kaum mal realistisch für Individuen machbar. Weil man den meißten Kram nicht mitbekommt. Vielleicht dann bei der Einreise irgendwo, o.ä., aber wer hilft da beim Klagen, und zunächst gegen wen?

    Das ist wohl ein Versuch, Rechtsprinzipien (zurecht) als Hebel gegen unmögliche Vereinbarungen zu nutzen.
    Bei Massenphänomenen würde man statt dort zu klagen, vielleicht gleich die Vereinbarungen diesseits direkt angreifen können.

  6. Bitte einen Schritt zurücktreten und von oben betrachten.

    Wer das Problem nur bei der NSA und den Geheimdiensten sieht, verengt den Blick. Die Auswertung von Daten geschieht doch bereits politisch, wirtschaftlich, persönlich.

    Wer bei einem Diensteanbieter eine Playliste nach seinen Vorstellungen oder Neigungen erwartet, welchen Schaden hat dann das Auswerten der Daten durch Dritte, der über den oben genannten hinausgeht?

    1. Die ganze Diskussion geht doch um privat gesammelte Daten, die der Staat dann zugreift, weswegen die Privaten gar keine Zusagen machen können, selbst wenn sie wollten. Ich sehe da nicht die Verengung, das ist „genau das Problem“.

      Dass die großen Datensammlungen inklusive Sammlern ein Riesenproblem sind, stimmt wohl zusätzlich, und mit Entwicklungen inm Machinelearningbereich droht noch mehr Badewannenpotential (Weitflächiges Aufrollen, Schaden an Gesellschaft, keine adäquate kompensation, trotzdem weiteres Lock-In).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.