Prof. Achim Albrecht

Ein neuer Anlauf für ein US-EU-Datenschutzabkommen

Mit dem EU-US Data Privacy Framework unternehmen die transatlantischen Partner einen dritten Anlauf zur rechtssicheren Regelung des Datenschutzes für die Datenmigration aus der EU in die USA. Bislang sind alle Bemühungen um einen gemeinsamen Datenschutzstandard kläglich gescheitert. Die Datenströme aus der EU werden noch immer weitgehend ohne rechtssichere Grundlagen migriert. Ein unhaltbarer Zustand.

Die Entwicklungen im Überblick

Was niemand so recht für möglich gehalten hat, ist am 07. Oktober 2022 mit einer Executive Order (im Folgenden: E.O.) des US-Präsidenten Realität geworden. In einem dritten Anlauf soll endlich gelingen, was Jahre zuvor zweimal kläglich an der Rechtsprechung des Europäischen Gerichtshofs (EuGH) gescheitert ist, nämlich die Implementierung eines tragfähigen US-EU-Datenschutzabkommens.

Wir erinnern uns: Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO), mussten die Transfers personenbezogener Daten aus der EU in den Rechtsbereich der USA auf eine neue, besonders geschützte Grundlage gestellt werden. Grundsätzlicher Schutzmaßstab war für die europäische Seite das Datenschutzniveau der DSGVO. In zwei aufeinander folgenden bilateralen Datenschutzabkommen, dem Safe Harbor- und dem Privacy Shield-Abkommen, die zwischen den engen Handelspartnern USA und EU ausgehandelt wurden, legte man die Grundlagen für EU-Angemessenheitsbeschlüsse. Diese bestätigten, dass das US-Datenschutzniveau bei vollständiger Anwendung der Abkommen und einer entsprechenden Selbstverpflichtung von US-Unternehmen dem Datenschutzniveau der DSGVO entsprach. 

Der Datenschützer und Kläger Maximilian Schrems brachte sowohl Safe Harbor als auch Privacy Shield vor den EuGH, weil er nach den Enthüllungen des US-Whistleblowers Snowden bezweifelte, dass US-Geheimdienste den gebotenen Datenschutz nicht willkürlich unter Verweis auf übergeordnete US-Sicherheitsinteressen brechen konnten. In seinen Entscheidungen „Schrems I und Schrems II“ bestätigte der EuGH die Rechtsauffassung des Klägers und erklärte beide Datenschutzabkommen für nichtig.

In der Folgezeit behalf sich die Business Community mit neuen, von der EU-Kommission entwickelten „Standard Contractual Clauses“ (SCCs) oder Binding Corporate Rules, um wenigstens behelfsmäßig auf Vertragsebene personenbezogene Daten halbwegs rechtssicher aus der EU in die USA migrieren zu können. Ein weiteres Datenschutzabkommen schien in weite Ferne gerückt, weil die grundlegenden Sicherheitsbedenken gegenüber einem löchrigen Datenschutz in den USA nicht behoben waren und die USA keine Anstalten zu machen schienen, ernsthaft den Datenschutz so stärken zu wollen, dass ein angemessenes Schutzniveau erreicht würde.

Für viele überraschend verlautbarten die USA und die EU-Kommission am 25. März 2022, man stünde in erfolgversprechenden Verhandlungen zu einem dritten Datenschutzabkommen, dem „EU-US Data Privacy Framework“, kurz DPF. Über Art und Inhalte des zukünftigen Abkommens hielt man sich bedeckt. Klar war nur, dass sich die USA bewegen mussten und dass ein strengerer US-Datenschutz wahrscheinlich über eine E.O. des US-Präsidenten herbeigeführt werden müsste.

Am 07. Oktober 2022 war es dann soweit: Die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities“ war in der Welt und ebnete den Weg für die Implementierung des US-EU Data Privacy Framework.

Die Inhalte der Executive Order

In einem Fact Sheet betont das Weiße Haus, dass mit der erlassenen E.O. sämtliche rechtliche Bedenken des Schrems II-Urteils des EuGHs aufgegriffen werden, um den Zugriff amerikanischer Geheimdienste zu beschränken – durch konkrete Vorschriften zur Einhaltung datenschutzrechtlicher Standards sowie die Implementierung eines verpflichtenden und unabhängigen Rechtsschutzmechanismus.

Dazu sollen geheimdienstliche Eingriffe verpflichtend überwacht und korrigiert werden, wenn Verstöße erfolgen. Die US-Intelligence Community wird verpflichtet, ihre Handlungsweisen den neuen Datenschutzstandards umgehend anzupassen.

Hierfür wird ein mehrstufiger Kontrollmechanismus erschaffen, um es beauftragten Behörden zu ermöglichen, eine unabhängige und rechtlich bindende Untersuchung möglicher Datenschutzverstöße durchzuführen. Als erste Stufe dient der Civil Liberties Protection Officer im Office des Director of National Intelligence (CLPO), der mögliche Verstöße untersucht, wobei die Geheimdienste durch die unabhängige CLPO-Entscheidung gebunden werden.

Die behördlichen Abläufe sollen der Rechtskontrolle eines Data Protection Review Court (DPRC) unterliegen, der dem Attorney General zugeordnet ist und in einer zweiten Entscheidungsebene die Aktivitäten des CLPO überprüfen kann. Sowohl betroffene Individuen als auch Geheimdienste können das unabhängige Gericht anrufen, wenn sie mit einer CLPO-Entscheidung nicht einverstanden sind. Richter des DPCR müssen unabhängig sein und dürfen nicht aus US-Regierungsstellen und -behörden stammen. Sie müssen über einschlägige Kenntnisse und Erfahrungen im Datenschutz verfügen und sind vor Abberufung geschützt. Ihre Entscheidungen sind bindend. Jeder verhandelte Fall wird im Interesse des Beschwerdeführers durch einen „special advocate“ vor dem DPRC vertreten. Der Attorney General hat bereits eine Gerichtsorganisations- und Gerichtsverfassungsordnung für den DPRC auf den Weg gebracht.

Die dritte Aufsichtsebene bildet das „Privacy and Civil Liberties Oversight Board“ (PCLOB), das die Art und Umsetzung der Vorgaben überwacht und bewertet, um sicherzustellen, dass alle Standards beachtet werden. Auf diese Weise soll Fehlverhalten zeitnah festgestellt und Abhilfe getroffen werden.

Mit der mehrstufigen Datenschutzreform, bestehend aus bindenden Verpflichtungen der Geheimdienste zur Beachtung bürgerlicher Freiheiten und Datenschutzstandards, einer ebenfalls bindenden Fachaufsicht zur Einhaltung der Verpflichtungen, der Schaffung eines unabhängigen Datenschutzgerichts und einem Aufsichtsorgan über die Handhabung des Datenschutzes im Geheimdienstbereich, hoffen die USA für die EU-Kommission den Weg zu einem erneuten Angemessenheitsbeschluss für das Data Privacy Framework Abkommen gelegt zu haben.

"Der Teufel liegt im Detail. Viel wird davon abhängen, wie die Schutz- und Rechtsschutzdetails ausgekleidet sein werden.

Die Executive Order im Detail

Es wird verfügt, dass geheimdienstliche Abhör- und Abschöpfaktivitäten nur zu zuvor konkret definierten Zwecken und nur im Rahmen einer strikten und genau zu überwachenden Verhältnismäßigkeitsprüfung stattfinden dürfen. Ausländische Bürger:innen und Unternehmen und deren Daten unterliegen dem gleichen Schutzniveau wie US-Bürger:innen und US-Unternehmen.

Dennoch bleibt die Überwachungsbandbreite für US-Geheimdienste weit. Daten dürfen zu weit definierten Zwecken der Gefahrenabwehr erhoben werden, auch wenn das beinahe uferlose Ermessen der handelnden Geheimdienste, die grundlos Gefahrerforschungseingriffe praktizierten, auf begründete Verdachtsmomente eingeschränkt wurde.

In einem "National Intelligence Priorities Framework" (NIPF) muss verbindlich festgelegt werden, nach welchen Prioritäten Daten gesammelt und ausgewertet werden. Die uneingeschränkte Abschöpfung von Daten ohne Zweckbindung wird damit grundsätzlich unzulässig. 

Werden große Datenströme abgeschöpft und zur Abwehr überragend sicherheitsrelevanter Gefahren für die USA ausgewertet, müssen gesammelte Daten nach ihrer Sichtung unverzüglich gelöscht werden, wenn sie die Sicherheit der USA nicht beeinträchtigen.

Persönliche Daten sind bei ihrer Erhebung dem Grundsatz der Datensparsamkeit verpflichtet. Die Verarbeitung und Weitergabe persönlicher Daten unterliegt strengen Voraussetzungen und Kontrollen. Gleiches gilt für die Datenspeicherung. Löschkonzepte müssen erarbeitet, eingehalten und überwacht werden

Sämtliche Handlungsanweisungen und Verwaltungsvorschriften der Intelligence Community sind an die neuen erweiterten Datenschutzgrundsätze anzupassen und müssen veröffentlicht werden. Das PCLOB führt regelmäßige Kontrollen und Bewertungen der Datenschutzhandhabung durch. Es gilt der Grundsatz der strengen Aufsicht.

Jede:r Mitarbeiter:in ist entsprechend zu schulen. Ziel ist vollständige Compliance mit den Datenschutzstandards. Sämtliche Vorschriften, Handhabungen und Aktivitäten sind zu dokumentieren.

Effektiver Rechtsschutz ist auf der Ebene behördlicher Entscheidungen mit überwachten Abhilfeverfahren zu etablieren, während der übergeordnete Data Protection Review Court als unabhängiges Gericht die vollstreckbare Letztentscheidung über Fälle trifft, die auf dem Weg der Klageerhebung zu ihm gelangt sind. Das Gericht ist mit Richter:innen besetzt, die eine Freigabe zur Einsicht sicherheitsrelevanter Sachverhalte haben. 

Der Data Protection Review Court ist an Gesetz und Recht und die Rechtsprechung des Supreme Court gebunden und entscheidet, welche sicherheitsrelevanten Aspekte des Falls einem Kläger bekannt gegeben werden können.

Einschätzung und Ausblick

Mit der E.O., die ganz auf die Behebung der vom EuGH festgestellten Datenschutzschwächen bei geheimdienstlichen Aktivitäten abzielt, ist der US-Präsident den Europäer:innen ein gutes Stück entgegengekommen. Verpflichten sich auf dieser Grundlage US-Unternehmen auf die Einhaltung europäischer Datenschutzstandards, dürfte diese Selbstverpflichtung vor dem Hintergrund effektiver und transparenter Rechtsschutzmechanismen mehr sein als die bisherigen unzureichenden Schutzmöglichkeiten, zu denen sich unter Privacy Shield rund 5.300 US-Unternehmen bekannten.

Alleine der Teufel liegt im Detail. Viel wird davon abhängen, wie die Schutz- und Rechtsschutzdetails ausgekleidet sein werden. Wie erfährt beispielsweise ein potenziell Betroffener von Datenschutzverstößen? Wie können Übertretung und Übertreter identifiziert werden? Wie kostspielig und zeitintensiv ist die Rechtsverfolgung? Können Schadensersatzansprüche geltend gemacht werden? Das sind nur einige der Fragen, die im Zusammenhang mit dem Data Privacy Framework gestellt und beantwortet werden müssen.  Die europäischen Datenschützer:innen und auch Max Schrems stehen bereit, um einen möglichen Papiertiger zu entlarven. Schon die Tatsache, dass das DPF – Abkommen in den USA nonchalant als „Privacy Shield 2.0“ bezeichnet wird, gilt unter europäischen Datenschützern als äußerst unglücklich.

Die EU-Kommission wird die weiteren notwendigen US-Umsetzungsschritte genau verfolgen und kritisch durchleuchten, bevor der erneute Prozess eines Angemessenheitsbeschlusses nach Art. 45 DSGVO in Angriff genommen wird. Es wird Monate dauern, bis die EU-Kommission zu einer finalen Einschätzung kommt und sie wird dieses Mal auch die Hauptkritiker der US-Datenschutzkultur anhören.

In den USA selbst bestreiten kritische Stimmen, dass sich die Geheimdienstpraktiken zukünftig ändern werden und dass das DPCR ein „echtes Gericht“ sei, das Datenschutzverstöße unabhängig adressiere. Vielmehr handele es sich um eine Sondergerichtsbarkeit, die nicht transparent und öffentlich arbeite, da auch weiterhin die Sicherheitsinteressen der USA Vorrang hätten. 

Man darf gespannt sein.

Achim Albrecht

ist Professor für internationales Wirtschaftsrecht an der Westfälischen Hochschule und begleitet beratend Reformprozesse in Transformationsländern.

Header © ​BlackJack3– IStock ​1335358521

Prozessfinanzierung
nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)