Präsident Biden hat eine neue Executive Order verabschiedet, um das EU-U.S. Data Privacy Framework als Nachfolger des Privacy Shield Framework umzusetzen.
Nach der Ankündigung einer politischen Einigung am 25. März 2022 hat die US-Regierung nun mehr Details verkündet, wie sie die Massenüberwachung durch Geheimdienste auf eine rechtsstaatliche Basis stellen will. Dazu hat Präsident Biden eine ab sofort gültige Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities unterschrieben.
Diese soll die Kritik des Europäischen Gerichtshofs (EuGH) in seinem Schrems-II-Urteil vom 16. Juli 2020 (C-311/18) adressieren. Der EuGH hatte das bisherige Privacy Shield Framework für ungültig erklärt, da die Massenüberwachung durch US‑Geheimdienste nicht rechtsstaatlichen Mindeststandards genüge. Die neue Executive Order soll diese rechtsstaatlichen Mindeststandards enthalten und so den angekündigten neuen Angemessenheitsbeschluss der EU-Kommission für Privacy-Shield-zertifizierte Unternehmen ermöglichen.
Neuer Rechtsschutzmechanismus für EU-Bürger:innen
Ein wesentlicher Kritikpunkt des EuGH war der Ombudspersonen-Mechanismus des Privacy Shield Framework. Dieser erlaubte es EU-Bürger:innen sich bei ihren lokalen Datenschutzbehörden über die Überwachung von US-Geheimdiensten zu beschweren, die ihre Beschwerde an eine Ombudsperson im US-Außenministerium weiterleiten sollten. Die Ombudsperson sollte anschließend die Beschwerde bearbeiten und etwaige Verstöße abstellen.
Dies hielt der EuGH in Schrems II für keinen ausreichenden Rechtsschutz nach Art. 47 Grundrechte-Charta, da die Ombudsperson als Verwaltungsangestellte:r keine echte Unabhängigkeit wie ein Gericht und keine Durchgriffsrechte besitze, um Verstöße beseitigen zu können.
Die neue Executive Order regelt stattdessen einen zweistufigen Rechtsschutzmechanismus, um Verstöße der Überwachung durch US-Geheimdienste gegen die Executive Order und anderes US-Recht zu prüfen:
- Die erste Stufe ähnelt stark dem bisherigen Ombudspersonen-Mechanismus. Ebenso wie bei diesem müssen Bürger:innen die Beschwerde bei den Datenschutzbehörden ihres Heimatstaates einreichen, die diese an die US-Regierung weiterleiten. Statt einer Ombudsperson im US-Außenministerium bearbeitet der oder die Datenschutzbeauftragte der US-Geheimdienstkoordinationsstelle die Beschwerde. Nach der Beschwerdebearbeitung teilt der oder die Datenschutzbeauftragte den jeweiligen Bürger:innen mit, dass eine Entscheidung getroffen wurde. Der Inhalt der Entscheidung bleibt dagegen geheim.
- Gegen die Entscheidung (wohlgemerkt, ohne deren Ergebnis zu kennen) können Bürger:innen Berufung bei einem quasigerichtlichen „Data Protection Review Court“ einlegen. Der Data Protection Review Court ist zwar kein Teil der Judikative, soll allerdings innerhalb der Exekutive so unabhängig sein wie möglich. Er muss sich aus Personen zusammensetzen, die nicht der US-Regierung angehören (z.B. ehemalige Richter:innen). Da die jeweiligen Bürger:innen nicht am Verfahren teilnehmen dürfen, vertritt sie ein Anwalt oder eine Anwältin vom Data Protection Review Court. Der Data Protection Review Court soll die Entscheidung des oder der Datenschutzbeauftragten umfassend nachprüfen. Er kann auch darüber hinausgehend Informationen von allen US-Geheimdiensten anfordern. Schließlich teilt er den jeweiligen Bürger:innen mit, dass eine Entscheidung getroffen wurde, deren Inhalt auch hier geheim bleibt
Dieser Rechtsschutzmechanismus steht allen Bürger:innen derjenigen Staaten offen, die das US-Justizministerium nach in der Executive Order genannten Kriterien bestimmt hat. Das US-Justizministerium soll nicht nur berücksichtigen, ob diese Staaten für in die USA übermittelte Daten rechtsstaatliche Garantien fordern, sondern auch, ob diese Staaten solche Rechte selbst gegenüber ihren Geheimdiensten gewähren. Diese gewisse „Waffengleichheit“ geht auf die Kritik der US-Regierung zurück, dass EU-Staaten selbst vergleichbar weitreichende Überwachungsmaßnahmen vorsehen würden. Bereits der im Rahmen des bisherigen Privacy Shield Framework verkündete Judicial Redress Act verfügte über einen solchen beidseitigen Mechanismus für ein begrenztes Klagerecht, ohne dass dieser in der Praxis eine größere Rolle spielte hätte.
Der neue Data Protection Review Court ist eine geschickte Lösung, um zumindest die formalen Anforderungen des EuGH an einen ausreichenden Rechtsschutz zu erfüllen. Fraglich bleibt, ob ein quasigerichtliches Gremium statt eines „echten“ Gerichts dem EuGH genügen wird. Zudem können die jeweiligen Bürger:innen keinen Einfluss auf das Geheimverfahren nehmen, was zusätzliche rechtsstaatliche Fragen aufwirft. So fordert der Fair-Trial-Grundsatz nach Art. 6 Europäische Menschenrechtskonvention grds. eine öffentliche Hauptverhandlung und den Anspruch auf rechtliches Gehör in Gerichtsverfahren.
Umfang der Massenüberwachung zumindest „auf dem Papier“ eingeschränkt
Weiterhin enthält die Executive Order Anforderungen an den Umfang der Überwachung durch US-Geheimdienste. Sie definiert zulässige Zwecke (allerdings eher weit formuliert). Diese Anforderungen entsprechen inhaltlich weitgehend der vorherigen „Presidential Policy Directive – Signals Intelligence Activities“ (PPD-28) aus dem Jahr 2014.
Im Detail hat die US-Regierung einzelne Anforderungen konkretisiert und an die europäische Rechtssprache angepasst. Die Europäische Kommission hebt dabei besonders hervor, dass die Überwachung durch Geheimdienste verhältnismäßig sein soll (im englischen Original: „necessary“ und „proportionate“). PPD-28 hatte insoweit noch von einer Beschränkung der Überwachung auf das erforderliche Maß gesprochen („as tailored as feasible“). Ob damit wirklich eine Annäherung an die Verhältnismäßigkeitsprüfung im europäischen Sinne bei US-Geheimdiensten in der Praxis stattfindet, bleibt abzuwarten.
Bei der vom EuGH ebenfalls kritisierten FISA Sec. 702 haben sich hingegen keine Änderungen ergeben (hierfür hätte es eines Beschlusses durch den häufig zerstrittenen US-Kongress bedurft).
Geringe Aktualisierung der Vorgaben für Privacy-Shield-zertifizierte Unternehmen
Die Privacy-Shield-Zertifizierung soll weitgehend unverändert bestehen bleiben.
So soll der Name „Privacy Shield“ bleiben. Auch die bestehenden Zertifizierungen sollen weitergelten.
Die Vorgaben für Privacy-Shield-zertifizierte Unternehmen sollen leicht aktualisiert werden (Privacy Shield Principles). Dabei sollen sich aber keine nennenswerten inhaltlichen Änderungen ergeben.
Endgültiger Angemessenheitsbeschluss in etwa sechs Monaten
Zunächst wird das US-Außenministerium den Inhalt der Executive Order und der aktualisierten Privacy Shield Principles in einem Brief an die EU-Kommission zusammenfassen.
Anschließend veröffentlicht die EU-Kommission einen Entwurf des Angemessenheitsbeschlusses für Privacy-Shield-zertifizierte Unternehmen. Dies hat beim bisherigen Privacy Shield Framework ca. einen Monat nach der Verkündung der Änderungen durch die US-Regierung stattgefunden.
Danach gibt der Europäische Datenschutzausschuss eine Stellungnahme zu diesem Angemessenheitsbeschluss ab, ohne diesen allerdings verwerfen zu können (Art. 70 Abs. 2 lit. s DSGVO, EG 105 S. 3 DSGVO). Zudem können die Mitgliedsstaaten im sog. Komitologieverfahren Stellung nehmen (Art. 45 Abs. 3 S. 4 DSGVO). Schließlich veröffentlicht die Kommission den Angemessenheitsbeschluss im Amtsblatt der EU (Art. 45 Abs. 8 DSGVO).
Insgesamt betrug die Verfahrensdauer beim bisherigen Privacy Shield Framework ca. ein halbes Jahr (Entwurf des Angemessenheitsbeschlusses am 29. Februar 2016; Veröffentlichung im Amtsblatt am 1. August 2016).
Fazit: Zukunft transatlantischer Datenströme weiter ungewiss
Nach Safe Harbor und Privacy Shield versuchen EU und USA nun zum dritten Mal, einen Kompromiss zwischen dem hohen Schutzstandard des europäischen Datenschutzrechts und der politisch weiterhin gewollten amerikanischen Massenüberwachung zu finden.
So wird sich das Schicksal des EU-US Data Privacy Framework wieder vor dem EuGH entscheiden. Bürgerrechtsorganisationen wie das von Max Schrems geleitete noyb haben bereits das EU-US Data Privacy Framework kritisiert und Klagen angekündigt. Es ist jedoch unklar, ob es tatsächlich gelingen wird, den neuen Angemessenheitsbeschluss in wenigen Monaten zum EuGH zu bringen. Auch beim bisherigen Privacy Shield Framework wurde die erste Klage bereits anderthalb Monate nach Veröffentlichung des Angemessenheitsbeschlusses erhoben, während dieser erst nach fast vier Jahren infolge einer anderenKlage aufgehoben wurde. Safe Harbor war sogar 15 Jahre in Kraft.
Bis zum endgültigen Angemessenheitsbeschluss müssen Verantwortliche weiterhin Datentransfers mit anderen Transfermechanismen absichern, insbesondere mit Standardvertragsklauseln. Auch danach sollten Verantwortliche weiterhin Standardvertragsklauseln mit US-Unternehmen nutzen, um für das Risiko einer Aufhebung vorzusorgen. So können Verantwortliche „Schrems III“ mit weniger Sorgen entgegensehen.
This article is also available in English.
