EU-US Data Privacy Framework: Eine vertane Chance

Mit dem neuen Regelwerk zum Datentransfer in die USA wiederholt die EU alte Fehler. Meint Max Schrems, der bereits die Vorgängerregelungen zu Fall gebracht hat.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Max Schrems

Seit den Enthüllungen durch Edward Snowden im Jahr 2013 wissen wir, dass US‑Geheimdienste auf die Daten großer US-Konzerne wie Facebook zugreifen können. Hunderttausende Accounts werden jährlich angezapft. Obwohl all das bekannt ist, unterstützt die EU-Kommission weiterhin tatkräftig die US-amerikanische Spionage gegen die eigenen Bürger, Unternehmen und Politiker in Form des neuen "Data Privacy Framework" zwischen der EU und den USA.

Dabei ist die Ausgangslage denkbar einfach: US-Recht in Form von Foreign Intelligence Surveillance Act (FISA) 702 und EO 12.333 erlaubt Massenüberwachung, die beidseits des Atlantiks verfassungswidrig ist. In der EU verstößt sie gegen die EU-Grundrechtecharta, in den USA gegen den vierten Verfassungszusatz. Trotzdem ist das Vorgehen der US-Behörden in den USA legal, da Ausländer dort nicht von der Verfassung geschützt sind. In der EU gilt wiederum, dass personenbezogene Daten die EU nur dann verlassen dürfen, wenn ein angemessener Schutz sichergestellt wird. Dass diese zwei Systeme nicht zusammenpassen, ist nicht schwierig zu verstehen. Der Europäische Gerichtshof (EuGH) hat die Vorgänger des neuen "Frameworks" schon 2015 und 2020 aufgehoben.

Max Schrems

(Bild: 

Georg Molterer / NOYB

)

Max Schrems ist Mitgründer der Datenschutzorganisation NOYB – Europäisches Zentrum für digitale Rechte. Er hat in zwei Verfahren vor dem Europäischen Gerichtshof die Regelwerke Safe Harbor und Privacy Shield für Datentransfers von personenbezogenen Daten in die USA zu Fall gebracht.

Trotzdem stehen wir nun vor einer dritten Version. Im Kern beruft sich die EU-Kommission auf eine "neue" US Executive Order (kurz EO). Eine EO ist eine interne Dienstanweisung des US-Präsidenten, die nicht einklagbar ist. Wer sich die Mühe macht, diese EO tatsächlich zu lesen, stellt schnell fest: Es wurde nur eine EO von 2014 ("PPD-28") umformuliert und unter neuem Namen nochmals erlassen.

Nennenswerte Änderungen gab es nur in zwei Bereichen: Zum einen muss US‑Überwachung nun "verhältnismäßig" sein. Genau das verneinte bisher der EuGH, der FISA 702 und EO 12.333 für nicht verhältnismäßig erklärt hat. Wer nun jubelt, ist auf den ersten transatlantischen Trick hereingefallen: Die USA werden ihre Überwachung nämlich nicht einschränken, um "verhältnismäßig" im europäischen Sinne zu werden. Stattdessen werden sie die Bedeutung des Worts "verhältnismäßig" einschränken, damit US-Massenüberwachung weiter zulässig ist. Man hat sich also auf ein Wort geeinigt, aber nicht auf die Bedeutung des Worts. Der EuGH wird dieses Spiel leicht durchschauen.

Der zweite große Trick ist ein "Gericht", das für Rechtsschutz sorgen soll. Anstatt direkt vor ebendiesem vorzusprechen, müssen Europäer jedoch eine Beschwerde an eine lokale Datenschutzbehörde schicken. Hier werden viele Betroffene schon wegen diverser formaler Voraussetzungen scheitern. Sollte es eine Beschwerde trotzdem zum zuständigen US-Beamten (CLPO) schaffen, endet jegliches nachvollziehbare Verfahren. Nach US-Recht muss dieser die Beschwerde zwar prüfen und kann intern Weisungen geben. Der CLPO muss jedoch in jedem Fall eine Entscheidung treffen, die darauf lautet, dass (1) die USA weder bestätigen noch verneinen, dass es überhaupt Überwachung gab, und dass die Daten des Betroffenen entweder legal verarbeitet wurden oder das Problem gelöst wurde. US-Recht legt also den Wortlaut der Entscheidung schon fest, bevor überhaupt eine Beschwerde eingebracht wurde.

Wer mit dieser Entscheidung unzufrieden ist, kann sich an eine teilweise unabhängige Verwaltungsbehörde wenden. Die EU hat darauf bestanden, dass diese Behörde "Gericht" genannt wird. Mangels jeglicher Information über das Verfahren vor dem CLPO kann man diesem nur eine formlose Berufung schicken. Deren Inhalt ist aber ohnehin unerheblich: Das "Gericht" muss nämlich nach US-Recht abermals die gleiche Antwort wie der CLPO schicken. Es kann die Verarbeitung auch nur im Anlassfall untersagen. Selbst wenn das "Gericht" also breiten Rechtsbruch erkennt, müsste jeder einzelne europäische Nutzer eine Beschwerde einlegen, damit die Verarbeitung seiner Daten untersagt wird. Bedenkt man, dass der EuGH hier das Recht auf ein faires Verfahren gleich anwenden muss wie etwa bei (vergleichsweise überschaubaren) Problemen mit der Justiz in Polen oder Ungarn, ist schlecht vorstellbar, dass dieses "Gericht" die Prüfung überleben wird.

Alles in allem handelt es sich bei dem neuen "Framework" also um die dritte vertane Chance, die Datenübertragung zwischen der EU und den USA fair zu regeln. Vermutlich sind noch ein paar EuGH-Urteile nötig, bis sich die Erkenntnis durchsetzt, dass wir zumindest innerhalb der demokratischen Staaten ein "No Spy"-Abkommen brauchen, wonach unsere Bürger die gleichen Grundrechte haben – auch dann, wenn ihre Daten im Ausland gespeichert werden. NOYB wird weiter daran arbeiten.

Bei diesem Kommentar handelt es sich um das Editorial der neuen iX 8/2023, die am 27. Juli erscheint.

(odi)