Datenschutz: Vernichtende Kritik am Privacy Shield 2.0

Die vor rund zwei Wochen bekannt gewordene Executive Order von US-Präsident Joe Biden genügt zahlreichen Datenschützern nicht, um für Transfers personenbezogener Daten aus der EU in die USA von einem angemessenen Datenschutzniveau auszugehen. Bereits kurz nach ihrer Veröffentlichung hat der Datenschutzaktivist Max Schrems umfassende Kritik geäußert und Klagen angekündigt. Nach ihm sind die beiden EuGH-Urteile Schrems I und Schrems II benannt, mit denen das höchste Gericht der EU 2015 und 2020 bereits frühere Regelwerke über den Transfer von personenbezogenen Daten in die USA kassiert hatte.

Datenschützer Brink: kein Systemwechsel

Jüngst hat die Frankfurter Allgemeine Zeitung aus einer internen Einschätzung des Datenschutzbeauftragten von Baden-Württemberg zitiert. Das Urteil von Stefan Brink ist demnach vernichtend: "Der vom EuGH geforderte Systemwechsel findet nicht statt", ist er überzeugt. Er geht insgesamt davon aus, dass die jüngst veröffentlichten Maßnahmen nicht ausreichen, um Datentransfers künftig rechtskonform gestalten zu können.

Seine Analyse wiegt schwer und es ist kaum absehbar, wie der grundlegende Konflikt zwischen den Datenschutzansätzen der EU einerseits und den Sicherheitsinteressen der USA anderseits aufgelöst werden kann. Brink fasst das Schrems-II-Urteil des EuGH so zusammen, dass dieser ein vollständiges Ende der anlasslosen Überwachung fordere. "Davon kann aber derzeit keine Rede sein", so Brink.

Ein weiterer Kritikpunkt von Brink ist, dass es sich bei der Executive Order des US-Präsidenten nur um eine Durchführungsverordnung handelt. Als solche könne sie jederzeit auch wieder von einem US-Präsidenten abgeändert oder aufgehoben werden. Vielmehr bedürfe es eines parlamentarischen Gesetzes, um ein Mehr an Rechtssicherheit zu schaffen. Im Kern fordert er aber, dass sich "die USA auf die Europäische Kommission und die europäischen Datenschutzgrundsätze zubewegen". Die Executive Order genügt Brink damit weder aus formeller noch aus materieller, also inhaltlicher Sicht.

Nach Bekanntgabe der Executive Order hatte die EU-Kommission angekündigt, nun ein Verfahren für einen Äquivalenzbeschluss einzuleiten. Damit würde sie feststellen, dass das US-amerikanische Recht ein im Vergleich zur EU angemessenes Datenschutzniveau bietet, eben "äquivalent" ist. Vor dem Hintergrund seiner Kritik moniert Brink konsequenterweise auch dieses Vorgehen, wenn es sich auf die jüngst veröffentlichte Executive Order stützt.

Zwickmühle zweier Welten

Die EU und die USA befinden sich beim Thema internationaler Datentransfer in einer scheinbar unauflöslichen Zwickmühle. Die EU-Kommission kann an sich die hohen – teils auch verfassungsrechtlich geschützten – Vorgaben auf einen effektiven Schutz von personenbezogenen Daten nicht aus wirtschaftlichen Interessen aufgeben und den Forderungen aus Industrie und USA auf übermäßige Erleichterungen in diesem Bereich nachgeben. Die USA haben mit der Executive Order gezeigt, wie wenig weit sie zu gehen bereit oder in der Lage sind, um den EU-Bedenken etwas entgegenzusetzen. Die anlasslose Überwachung von Daten spielt in den USA eine viel größere Rolle als hierzulande: Erst jüngst hatte der EuGH erneut die deutsche Regelung zur Vorratsdatenspeicherung für rechtswidrig erklärt – hier treffen zwei Welten aufeinander.

Es kommt nun auf die EU-Kommission an. Wird sie an ihrer Ankündigung festhalten und gegebenenfalls im Frühjahr 2023 den beschriebenen Adäquanzbeschluss treffen, ist es nur eine Frage der Zeit, bis sich die Gerichte damit befassen müssen. Bereits zweimal wurden solche Äquivalenzbeschlüsse vom EuGH kassiert: Schrems I und Schrems II.

(fo)