Biden legt neue Grundlage für Datentransfer mit EU vor
Mit der Durchführungsverordnung werden Schutzmaßnahmen für den Zugang der US-Geheimdienste zu europäischen personenbezogenen Daten eingeführt und das Hindernis überwunden, an dem der gesamte Rahmen 2020 scheiterte.
Der US-Präsident Joe Biden hat am Freitag (7. Oktober) eine Verordnung für einen neuen Rechtsrahmen für den Datentransfer zwischen der EU und den USA unterzeichnet.
Damit werden Schutzmaßnahmen für den Zugang der US-Geheimdienste zu europäischen personenbezogenen Daten eingeführt, womit das Hindernis überwunden werden soll, an dem der gesamte Rahmen, das „Privacy Shield“, zuvor scheiterte.
Im Juli 2020 hatte der EU-Gerichtshof mit dem Schrems II-Urteil zum zweiten Mal den Rechtsrahmen für die Übermittlung personenbezogener Daten über den Atlantik für ungültig erklärt.
Die Verordnung ist nun das Ergebnis langer Verhandlungen zwischen der US-Regierung und der EU-Kommission, die in einer im März von Biden und Kommissionspräsidentin Ursula von der Leyen angekündigten politischen Grundsatzvereinbarung besiegelt wurden.
„Der Datenschutzrahmen zwischen der EU und den USA wird eine dauerhafte und verlässliche Rechtsgrundlage und Sicherheit für den transatlantischen Datenverkehr bieten und größere wirtschaftliche Chancen für Unternehmen und Bürger auf beiden Seiten des Atlantiks schaffen“, sagte US-Handelsministerin Gina Raimondo.
Schrems II
Im Urteil in der Rechtssache Schrems II befand das oberste Gericht der EU, dass die US-Rechtsprechung kein angemessenes Niveau des Schutzes personenbezogener Daten bietet. Der Grund dafür ist, dass die US-Geheimdienste undifferenziert Massendaten sammeln, wie Edward Snowden im Jahr 2013 enthüllte.
Außerdem biete das US-Rechtssystem keine Rechtsbehelfe für in der EU ansässige Personen, die die Verarbeitung ihrer personenbezogenen Daten anfechten wollten, was nach der EU-Datenschutz-Grundverordnung illegal sei. Der Rechtsbehelf ist ein Grundprinzip des EU-Rechts.
Einem hochrangigen amerikanischen Regierungsvertreter zufolge ist die Regierung „zuversichtlich“, dass der neue Datenschutzrahmen möglichen Anfechtungen vor dem EU-Gerichtshof standhalten wird. Die beiden wichtigsten Fragen, die im Schrems II-Urteil aufgeworfen wurden, nämlich Verhältnismäßigkeit und Rechtsbehelf, seien nun geklärt.
Das Urteil in der Rechtssache Schrems II hat den transatlantischen Datentransfer, eine entscheidende Dimension des internationalen Handels, infrage gestellt. Die Wirtschaftsbeziehungen zwischen der EU und den USA werden auf einen Wert von 7,1 Billionen Dollar geschätzt.
Das Dekret
Das Dekret schreibt vor, dass das Sammeln von Daten durch US-Nachrichtendienste nur im Zusammenhang mit genau definierten nationalen Sicherheitszielen erfolgen darf, um eine bestätigte nachrichtendienstliche Priorität voranzutreiben.
Das Sammeln von Daten muss verhältnismäßig sein und die Privatsphäre und die bürgerlichen Freiheiten der Betroffenen berücksichtigen.
Es wurden zusätzliche Sicherheitsvorkehrungen für den Umgang mit personenbezogenen Daten getroffen, um die Rechtsaufsicht der für die Einhaltung der Vorschriften zuständigen Behörden auszuweiten, die dafür verantwortlich sind, dass bei Verstößen geeignete Abhilfemaßnahmen getroffen werden.
Diese Sicherheitsvorkehrungen bringen erhebliche Änderungen in der Arbeitsweise der US-Geheimdienste mit sich. Zusammen mit dem Dekret übermittelte die US-Regierung der EU-Kommission eine Reihe von Schreiben der zuständigen Regierungsstellen, in denen die internen Maßnahmen beschrieben werden, die sie zur Durchsetzung der neuen Regelung für den Datenaustausch ergreifen werden.
Zweistufige Sicherheitsvorkehrungen
Nach Ansicht der US-Regierung werden diese Garantien durch einen zweistufigen Mechanismus gewährleistet.
Erstens wird im Büro des Direktors der Nationalen Nachrichtendienste ein Beauftragter für den Schutz der bürgerlichen Freiheiten (Civil Liberties Protection Officer – CLPO) eingerichtet, der für die Durchführung erster Untersuchungen zuständig ist.
Er soll Beschwerden darüber prüfen, ob gegen das Dekret verstoßen wurde. Die Entscheidung des CLPO wäre für die Nachrichtendienste rechtsverbindlich.
Zweitens wird der Generalstaatsanwalt als amerikanisches Äquivalent zu einem europäischen Justizministerium ein Datenschutzprüfungsgericht einrichten, das die Entscheidungen des CLPO unabhängig und verbindlich überprüfen und den Nachrichtendiensten auch Rechtsbehelfe auferlegen soll.
Die Richter für dieses Gericht werden außerhalb der US-Regierung rekrutiert und erhalten Garantien hinsichtlich ihrer Unabhängigkeit und ihres Schutzes vor Abberufung. Außerdem soll das Gericht einen Sonderanwalt ernennen, der in den offenen Fällen Rechtsberatung leistet.
Darüber hinaus wird das Privacy and Civil Liberties Oversight Board, eine US-Behörde, jährlich das Rechtsbehelfsverfahren überprüfen und die Einhaltung der Entscheidungen des CLPO und des Datenschutzgerichts durch die Nachrichtendienste bewerten.
Im Rahmen des annullierten Privacy Shields bestand der Rechtsbehelfsmechanismus darin, dass eine Bürgerbeauftragte im Außenministerium der USA für die Lösung von Beschwerden zuständig war.
Nach Ansicht des hochrangigen US-Behördenvertreters wäre die neue Regelung viel stärker, da es ein unabhängiges Gericht gäbe, das die Garantien durchsetzen würde.
Erste Reaktionen
Max Schrems, der Verfechter des Schutzes der Privatsphäre, der die nach ihm benannten Gerichtsverfahren eingeleitet hat, stellte das Dekret infrage.
Er argumentierte, es sei unwahrscheinlich, dass sie die Art und Weise, wie die US-Geheimdienste mit Massenüberwachungen arbeiten, ändern werde. Der Grundsatz der Verhältnismäßigkeit werde jenseits des Atlantiks nicht in der gleichen Weise verstanden.
„Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will,“ so Schrems in einer Erklärung.
Zweitens bezweifelt der österreichische Anwalt den Status des Datenschutz-Überprüfungsgerichts als unabhängiges Gericht, da es ein Organ der Exekutive der US-Regierung sein wird und somit die in der EU-Grundrechtecharta vorgesehene Qualifikation als Rechtsbehelf fehlt.
„Auf den ersten Blick sieht es so aus, als ob die Kernfragen nicht gelöst wurden und die Angelegenheit früher oder später wieder vor dem Europäischen Gerichtshof landen wird“, so Schrems weiter.
[Bearbeitet von Alice Taylor]
