Mit einem gestern vorgelegten Beschlussentwurf hat die EU-Kommission den Weg für eine Angemessenheitsentscheidung zum Datenschutzniveau der USA geebnet. Der Entwurf besagt, dass die Gesetze zum Schutz der Daten europäischer Bürger:innen in den USA ausreichend sind, um Datentransfers aus der EU in die USA ohne weitere Anforderungen zu erlauben. Die geplante Angemessenheitsentscheidung soll die Grundsatzeinigung über ein sogenanntes Trans-Atlantic Data Privacy Framework in geltendes Recht umsetzen.
Solche Angemessenheitsentscheidungen hat die Kommission bereits für mehrere Länder verabschiedet, für die Vereinigten Staaten fehlt sie jedoch seit 2020. Doch gerade dort werden viele in der EU genutzte Dienste betrieben – dementsprechend liegen Daten von EU-Bürger:innen häufig auf Servern in den USA und können vor Zugriff durch US-Geheimdienste nur durch dortige Gesetze geschützt werden. Die französische Datenschutzbehörde CNIl hatte deshalb etwa zuletzt den Einsatz von Google Analytics untersagt.
Mit der Einschätzung, die US-amerikanischen Datenschutzgesetze seien ausreichend für eine Angemessenheitsentscheidung, lag die EU-Kommission schon zwei Mal daneben. Denn die Angemessenheitsentscheidungen aus den Jahren 2000 und 2016 kippte der Europäische Gerichtshof (EuGH) beide. Die Urteile aus den Jahren 2015 und 2020 sind unter dem Namen Schrems-Urteile bekannt, benannt nach dem Kläger Max Schrems. Der österreichische Jurist deutete bereits an, eine erneute Klage zu prüfen.
Schrems: „Eklatante Verletzung unserer Grundrechte“
In seinen Urteilen bemängelte der Gerichtshof, dass die Befugnisse der US-Geheimdienste zu weitreichend sind, um sie mit den europäischen Datenschutzregeln in Einklang zu bringen. Mit dem im Oktober erlassenen Dekret will Joe Biden die Anforderungen des EuGH umsetzen und NSA und Co. zumindest etwas an die Leine nehmen.
Das Dekret sieht zum einen vor, dass Geheimdienste Daten nur noch abgreifen können, wenn es zum Schutz der nationalen Sicherheit „erforderlich“ und „verhältnismäßig“ sei. Die genannten Bedrohungen der nationalen Sicherheit sind aber sehr weit gefasst. Zum anderen schreibt das Dekret einen Rechtshilfemechanismus für EU-Bürger:innen vor. Da das neu einzurichtende „Datenschutzüberprüfungsgericht“ bisher unbekannt ist, ist aber unklar, ob es sich um ein unabhängiges Gericht nach den Kriterien des EuGH handelt.
Max Schrems, Vorstandsvorsitzender der Nichtregierungsorganisation noyb, äußert sich in einer Stellungnahme deshalb erneut kritisch. „Ich kann mir nicht vorstellen, dass [die Angemessenheitsentscheidung] einer Anfechtung vor dem Europäischen Gerichtshof standhalten würde“, so Schrems. „Es hat den Anschein, dass die Europäische Kommission immer wieder ähnliche Entscheidungen trifft – unter eklatanter Verletzung unserer Grundrechte.“
Auch EU-Abgeordnete sehen in Bindens Executive Order keine Grundlage für eine Angemessenheitsentscheidung. Auf eine Anfrage von netzpolitik.org hatten einige von ihnen im Oktober klare Worte gefunden. Das Dekret sei „alter Wein in neuen Schläuchen“ und „Augenwischerei“, hieß es. Und: Die EU-Kommission mache sich zu einer „Wiederholungstäterin bei der Verletzung unserer Grundrechte“, sollte sie einen Angemessenheitsbeschluss verabschieden.
Am Ende entscheidet die EU-Kommission
Der Entwurf der Kommission durchläuft nun mehrere Gremien, die eine Stellungnahme abgeben werden, darunter der Europäische Datenschutzausschus sowie ein Ausschuss aus Vertreter:innen der Mitgliedsstaaten. Auch das Europäische Parlament sowie der Rat können die Kommission dazu auffordern, die Verabschiedung des Entwurfes zu unterlassen – daran halten muss sich diese aber nicht. Auch die Stellungnahmen der Datenschutzbehörden und der Mitgliedstaaten ist nicht bindend.
Die finale Entscheidung wird nicht vor dem Frühjahr 2023 erwartet. Wenn die EU-Kommission die Angemessenheitsentscheidung dann verabschiedet, können sich Unternehmen darauf berufen, wenn sie Dienstleister aus den USA nutzen oder Daten in die USA ausführen.
Man will es einfach nicht glauben, dass die EU-Kommission sich auf so ein billiges Lippenbekenntnis einlässt.
Eine „executive order“ kann jederzeit einfach aufgehoben werden. Will man hier eine dauerhafte Basis für den Datenaustausch zwischen EU und USA schaffen, oder will man nur den Status Quo zu erhalten und sich nur bis zur nächsten Präsidentenwahl in USA durchwursteln? Denn der nächste Präsident (sollte Biden verlieren) könnte am ersten Arbeitstag alles über den Haufen werfen. (Und es stellt sich sowieso die Frage, ob man in Bezug auf Spionage überhaupt irgendeinem Versprechen der USA glauben darf; es gibt ja praktisch keine Möglichkeiten den Datenzugriff zu überprüfen!).
Solange es eine Order gibt, könnte es für die Dauer schon in Ordnung sein, theoretisch. Executive Orders können auch mal eine Weile lang bestehen. Die Frage ist, was drinnen steht. Natürlich bleibt auch Ihre Frage bestehen, ob man denn nun die Verhältnisse auf irgendwelche Beine stellen will, ob man Prinzipien hat, ob es um Weiterentwicklung geht.
Die Antwort wird wohl NEIN sein. Förderprogramme in den USA, und die mimosischen EU-ler wollen ihren Chinastahl subventioniert haben o.ä…. „won’t happen“. Als gäbe es keine langfristigeren Lieferverträge, dafür aber unendliche förderprogrammkompatible Resourcen, auf die jeder internationale Wettbewerber naturgemäß Zugriff hätte. Dementsprechend gilt hier wohl strategisches Kalkül, also dass die Daten nehmen, solange sie können. Vielleicht kippen da ein paar Bundesstaaten mal Richtung Datenschutz, bzw. tun es schon, dann könnte es noch mal interessant werden.