Es gibt verhaltene Neuigkeiten von der US-Dienste-Front. Bereits in unserer Mai-Ausgabe berichteten wir über die Gespräche der EU-Kommission mit dem US-Präsidenten bezüglich eines neuen sogenannten Trans-Atlantic Data Privacy Frameworks. Dieses sollte als Art „Privacy-Shield-Nachfolger“ Abhilfe in der aktuellen Situation schaffen, in der sämtliche Datenübertragungen in die USA grundsätzlich unzulässig sind. Bezüglich des neuen Frameworks einigte man sich bereits Anfang 2022 auf einige Punkte. Nun gingen die Abstimmungen in die nächste Runde. Auch die Datenschutzorganisation noyb (mit dem Vorstandsvorsitzenden Max Schrems) hat sich bereits inhaltlich mit dem neuen Abkommen beschäftigt und bereits erste Unzulänglichkeiten aufgezeigt. Dennoch wird aktuell mit einem Angemessenheitsbeschluss im ersten Quartal 2023 gerechnet.
Aber einmal von vorn: Am 25.03.2022 hatten der US-Präsident und die EU-Kommission Gespräche geführt, in deren Verlauf man sich auf einen neuen „EU-US-Datentransfer und -schutzrahmen“ einigte (auch als (EU)USDPF-Rahmen bzw. EU-U.S. Data Privacy Framework bezeichnet). Am 07.10.2022 unterschrieb der US-Präsident nun die „Executive Order“ (zu Deutsch: „Durchführungsverordnung“) für das geplante Framework. Hiermit sollen vor allem die vom EuGH kritisierten Unzulänglichkeiten des Privacy Shields behoben werden, um die Weichen für eine legitime und rechtssichere Datenübermittlung zwischen den USA und der EU zu stellen. Insbesondere die Rechte von EU-Bürgern sollen gewahrt bleiben.
Die USA sprechen von einer „dauerhaften und verlässlichen Rechtsgrundlage“ und davon, dass die in der Exekutivanordnung enthaltenen neuen Verpflichtungen die in der Entscheidung des Europäischen Gerichtshofs zum Privacy Shield aufgeworfenen Fragen „vollständig berücksichtigen“. Die Aufgabe der EU-Kommission ist es nun im Sinne des Art. 45 DSGVO an einem Angemessenheitsbeschluss zu arbeiten. Würde dieser tatsächlich zustande kommen, wären die Datentransfers in die USA – zumindest bis zu Schrems III – wieder zulässig.
Die Datenschutzorganisation noyb kündigte bereits an, dass sie gegen einen Angemessenheitsbeschluss für die USA umgehend vorgehen würde, insofern die EU-Kommission die Executive Order als legitim akzeptiert. Nach der ersten Sichtung der Durchführungsverordnung kritisierte noyb bereits das Thema Überwachung sowie den erforderlichen Rechtsbehelf von Betroffenen. Diese beiden Punkte waren wesentliche Aspekte, aufgrund deren der EuGH im Juli 2020 das Privacy Shield als unzureichend einstufte und somit für ungültig erklärte. Laut noyb ändere die neue Richtlinie nichts am ursprünglichen Problem der Verhältnismäßigkeit staatlicher Zugriffe. Auch mit der neuen Executive Order würden laut noyb gemäß der Section 2 (c)(ii) noch immer alle an US-Provider gesendeten Daten in Überwachungsprogrammen wie PRISM oder Upstream landen. Lediglich am Wortlaut sei laut der Datenschutzorganisation gearbeitet worden, um sich nach außen hin datenschutzkonform zu geben, weshalb sich noyb sehr sicher ist, dass der EuGH ein weiteres Mal für die Privatsphäre der EU-Bürger entscheiden wird.
Auch der von der Executive Order angeführte „Data Protection Court“ sei laut noyb keine wahrhaftige Anlaufstelle für Betroffene. Allein die Bezeichnung sei bereits irreführend, da es sich um kein Gericht handle, sondern lediglich um eine Stelle der Exekutiven (d.h. der vollziehenden und ausführenden Gewalt eines Staates, zu der insbesondere die Regierung und Verwaltung gehört). Darüber hinaus ähnle diese Stelle sehr dem vorherigen „Ombudsmann“ (unparteiische Schiedsperson), der 2020 bereits vom EuGH als unzureichend eingestuft wurde.
Max Schrems gibt sich hier zuversichtlich: „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ Dennoch äußert er sich in Bezug auf die EU-Kommission kritisch: „Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will.“
Wir sind gespannt, wie es im Schlagaustausch zwischen der USA, der EU, de, EuGH, der EU-Kommission und den Datenschutzaktivisten weitergehen wird und halten Sie natürlich auf dem Laufenden.
Quellenangaben:
- Artikel: „Trans-Atlantic Data Privacy Framework: Bald Schrems-III?“, am 24.10.2022 abgerufen unter https://www.dr-datenschutz.de/trans-atlantic-data-privacy-framework-bald-schrems-iii/
- Newsletter-Mailing von Thomas Hoeren, vom Freitag, 7. Oktober 2022 um 17:50 Uhr