Kritik an "Wahnsinn": EU-Kommission gibt Datentransfer in die USA wieder frei
Der umkämpfte Privacy Shield 2.0 kann kommen, hat die EU-Kommission entschieden. Datenschutzaktivist Max Schrems hat eine Klage dagegen schon in der Schublade.
Die EU-Kommission hat am Montag die rechtliche Basis für den geplanten Datenschutzrahmen für den Transfer persönlicher Daten in die USA angenommen. Dabei geht es um den sogenannten Angemessenheitsbeschluss: Damit erklärt die Brüsseler Regierungsinstitution, dass personenbezogene Informationen in den Vereinigten Staaten vergleichbar gut geschützt sind wie in der EU. Damit kann der geplante EU-USA-Datenschutzrahmen in Kraft treten. Auf dessen Grundlage ist die Übermittlung an Daten an US-Unternehmen möglich, die an dem Rahmenwerk teilnehmen, ohne dass Firmen und Behörden zusätzliche Schutzvorkehrungen treffen müssen.
Es handelt sich insgesamt schon um den dritten Versuch beider Seiten, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen. Der Europäische Gerichtshof (EuGH) hat im Sommer 2020 im "Schrems-II"-Urteil festgestellt, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act weiterhin eine Massenüberwachung durch die NSA & Co ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht. Damit war nach dem vorausgegangenen Safe-Harbor-Vertrag auch der Privacy Shield erledigt.
Mit dem neuen Anlauf "werden neue verbindliche Garantien eingeführt", um allen vom EuGH geäußerten Bedenken Rechnung zu tragen, versichert die Kommission nun: "So ist vorgesehen, dass der Zugang von US-Geheimdiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist". Es werde ferner eine Art Gericht zur Datenschutzüberprüfung geschaffen, zu dem EU-Bürger Zugang haben. Der neue Rahmen bringe generell "erhebliche Verbesserungen" gegenüber dem im ursprünglichen Privacy Shield bestehenden Mechanismus mit sich. Stelle das Gericht etwa fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, könne es die Löschung der Informationen anordnen.
Sicherer Datenverkehr
Die neue Übereinkunft werde "einen sicheren Datenverkehr" für die Europäer gewährleisten und "den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten", gibt sich Kommissionspräsidentin Ursula von der Leyen (CDU) überzeugt. Nach der im März 2022 gemeinsam mit US-Präsident Joe Biden vorgestellten grundsätzlichen Einigung hätten die USA "beispiellose Zusagen" gemacht. Die USA zeigten sich vorige Woche startklar für das neue Abkommen und betonten, alle Pflichten zur Umsetzung erfüllt zu haben. Laut Bidens Durchführungsverordnung 14086 vom Oktober 2022 sollen die US-Geheimdienste künftig bei ihren Datensammlungen darauf achten, dass diese "notwendig und verhältnismäßig" sind sowie besser kontrolliert werden können.
Anders als von der Kommission behauptet, "ändert sich am US-Recht wenig", hält die österreichische Bürgerrechtsorganisation Noyb dagegen. Das grundsätzliche Problem mit dem FISA-Abschnitt 702 werde von den USA nicht angegangen. Demnach haben nach wie vor nur US-Bürger verfassungsmäßige Rechte und dürfen nicht anlasslos überwacht werden. Insgesamt ist das angeblich "neue" transatlantische Datenschutzabkommen laut Noyb weitgehend eine Kopie des gescheiterten Privacy Shields und werde "in wenigen Monaten" wieder vor dem EuGH landen.
Neue EuGH-Klage wahrscheinlich
"Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet", kommentiert der Noyb-Vorsitzende Max Schrems, der beide Vorläufer bereits vor dem EuGH zu Fall gebracht hatte, den neuen Angemessenheitsbeschluss. Die präsentierte Übereinkunft basiere wieder auf kurzfristigem politischen Denken. Der Datenschutzverein habe die erneute Anfechtung beim EuGH schon in der Schublade, "obwohl wir dieses juristische Pingpong satthaben". Wahrscheinlich werde ein solcher Fall den Luxemburger Richtern bis Ende 2023 oder Anfang 2024 von einem nationalen Gericht vorgelegt. Eine endgültige Entscheidung wäre 2024 oder 2025 zu erwarten. Der EuGH könnte den neuen Rahmen für die Dauer des Verfahrens aussetzen.
"Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende", freut sich dagegen Bitkom-Präsident Ralf Wintergerst über die Brüsseler Entscheidung. Firmen erhielten damit "grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen". Vor allem kleine und mittelständische Unternehmen profitierten davon, "dass künftig keine Einzelfallprüfungen mehr notwendig sind". Die US-Regierung sei mit dem Erlass Bidens "auf die EU zugegangen". Sicher sei aber auch, dass das Abkommen erneut gerichtlich überprüft werde. Dann werde sich zeigen, ob die Kommission "eine rechtlich belastbare Regelung gefunden hat".
Die Computer & Communications Industry Association (CCIA) begrüßt den Beschluss als "großen Durchbruch". Der Innenausschuss des EU-Parlaments sah jüngst zwar Schritte in die richtige Richtung, aber keine ausreichenden Garantien etwa für einen Schutz vor Massenüberwachung. Auch die EU-Datenschützer meldeten Bedenken an. Die Funktionsweise des Vertrags soll regelmäßig gemeinsam von der Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Sondierung ist binnen eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses vorgesehen.
(olb)