Unternehmen dürfen weiter ohne besondere Schutzmaßnahmen Daten von Europäer:innen in die USA schicken. Eine Klage gegen das EU-US-Data-Privacy-Framework ist gescheitert. Nun könnte das Problem erneut vor dem EuGH landen.

Der Gerichtshof der Europäischen Union hat eine Klage gegen die Grundlage für Datenausfuhren aus der EU in die USA abgewiesen. Die von der US-Regierung 2022 im Rahmen des EU-US-Data-Privacy-Framework ergriffenen Maßnahmen zum Schutz der Daten von EU-Bürger:innen seien ausreichend gewesen. Das teilte das Gericht heute in einer Pressemitteilung mit.

Damit hat eine drei Jahre zurückliegende Entscheidung der EU-Kommission Bestand, wonach das Datenschutzniveau in den USA europäischen Standards entspricht. Gegen diese sogenannte Angemessenheitsentscheidung hatte der französische Parlamentarier Philippe Latombe geklagt. Das Urteil ist für ihn eine Niederlage auf ganzer Linie.

Andauerndes Daten-Dilemma

Eine Angemessenheitsentscheidung der EU-Kommission sorgt dafür, dass Unternehmen Daten von EU-Bürger:innen ohne größeren rechtlichen Aufwand in einem anderen Land verarbeiten dürfen. Das betrifft im Fall der USA nicht nur die Interessen der großen US-Tech-Konzerne, sondern auch von europäischen Unternehmen, die Cloud-Dienste oder andere Services aus den USA nutzen.

Der große Knackpunkt: US-Geheimdienste haben weitreichende Befugnisse zur Massenüberwachung digitaler Kommunikation und setzen diese auch ein, wie die Snowden-Enthüllungen gezeigt haben. Davor müsste EU-Recht Europäer:innen eigentlich schützen, doch die USA sind nicht zu substanziellen Zugeständnissen bereit. Nach Klagen des österreichischen Juristen Max Schrems hatte der Europäische Gerichtshof (EuGH) in den vergangenen Jahren deshalb bereits zwei Angemessenheitsentscheidungen zugunsten der USA für nichtig erklärt.

Das führte dazu, dass europäische Datenschutzbehörden Unternehmen die Nutzung von Diensten wie Google Analytics untersagten. Nach jahrelanger Rechtunsicherheit und wachsendem Druck sowohl aus der US-amerikanischen als auch aus der europäischen Wirtschaft gab es 2022 eine Einigung auf höchster Ebene.

Der damalige US-Präsident Joe Biden unterzeichnete eine Executive Order, die den Schutz vor US-Geheimdiensten verbessern sollten. Unter anderem wurde ein neues Aufsichtsgremium geschaffen, das die Arbeit der Geheimdienste kontrollieren sollte: der Data Protection Review Court (DPRC).

Gerichtshof: Schutzmaßnahmen ausreichend

Philippe Latombe hatte nun argumentiert, dass die ergriffenen Schutzmaßnahmen nicht ausreichend sind. Der DPRC sei kein unabhängiges Gericht, dessen Arbeit gesetzlich festgeschrieben ist, sondern ein von der Regierung abhängiges Gremium. Tatsächlich hatte Donald Trump nach seinem Amtsantritt demokratische Mitglieder des Privacy and Civil Liberties Oversight Board entlassen, welches die Arbeit des DPRC überwacht.

Darüber hinaus kritisierte Latombe, dass US-Geheimdienste ihre Massenüberwachung ohne vorherige Genehmigung durch Richter:innen oder unabhängige Verwaltungsbehörden durchführen.

In beidem widerspricht das Gericht dem Kläger. Laut Aktenlage sei gegen den Angemessenheitsbeschluss zum Zeitpunkt der Entscheidung nichts einzuwenden gewesen. In Sachen Massenüberwachung sei nach Rechtsprechung des EuGH keine Vorab-Genehmigung notwendig, auch eine nachträgliche Überprüfung reiche aus. Der Data Protection Review Court sei zudem ausreichend unabhängig und seine Arbeit durch zahlreiche Garantien abgesichert.

Im Übrigen habe sich die EU-Kommission vorgenommen, ihren Angemessenheitsbeschluss regelmäßig zu überprüfen. Wenn sich der Rechtsrahmen in den USA ändere, könne die Kommission ihre Angemessenheitsentscheidung also revidieren oder anpassen.

Schrems prüft Klage vor EuGH

Bei Max Schrems, der den Rechtsrahmen für den transatlantischen Datenverkehr bereits zweimal erfolgreich gekippt hat, löst die Entscheidung des Gerichts Kopfschütteln aus. Sie weiche sowohl von der Rechtsprechung des EuGH als auch von der faktischen Lage in den USA „völlig ab“, so der Jurist in einer ersten Stellungnahme. „Das angebliche US-‚Gericht‘ ist nicht einmal gesetzlich verankert, sondern nur eine Executive Order von Biden – und kann daher in einer Sekunde durch Trump abgesetzt werden.“ Donald Trump entlasse sogar Leute, deren Unabhängigkeit gesetzlich garantiert sei, da könne das DPRC nicht als unabhängig gelten. Es könne „in einer Sekunde“ von Trump eingestampft werden.

Allerdings, so Schrems, sei Latombes Klage recht eng gefasst gewesen. Er halte eine umfassendere Klage weiterhin für vielversprechend, die Datenschutzorganisation noyb prüfe derzeit die Optionen für ein solches Verfahren. „Auch wenn die Europäische Kommission vielleicht ein weiteres Jahr gewonnen hat, fehlt es uns weiterhin an Rechtssicherheit für Nutzer:innen und Unternehmen.“