EU-U.S. Data Privacy Framework – Wer der Europäischen Kommission vertraut, riskiert seine Reputation

Die Übermittlung personenbezogener Daten von einem Mitgliedstaat der Europäischen Union in ein Drittland bedarf wahlweise geeigneter datenschutzrechtlicher Garantien oder eines Beschlusses der Europäischen Kommission, dass im Drittland ein vergleichbares Datenschutzniveau gewährleistet sei wie innerhalb der EU (vgl. Art. 44 bis 50 DSGVO). Die Kriterien für die Angemessenheit gibt Art. 45 DSGVO vor. Eine weitere Ausdifferenzierung erfahren sie in den Referenzgrundlagen der Artikel-29-Datenschutzgruppe. Ein Angemessenheitsbeschluss der Europäischen Kommission kann vom Europäischen Gerichtshof überprüft und für ungültig erklärt werden. Die Vereinigten Staaten von Amerika sind im Verhältnis zur EU Drittland. Also gelten beim Transfer personenbezogener Daten von einem Mitgliedstaat der EU in die Vereinigten Staaten von Amerika die vorstehenden Grundsätze.


Das EU-U.S. Data Privacy Framework und der diesbezügliche Angemessenheitsbeschluss sind inzwischen der dritte Anlauf, eine Grundlage für legale Datentransfers in die Vereinigten Staaten von Amerika bereitzustellen – oder solchen Datentransfers den Anschein der Legalität zu verleihen. Den Angemessenheitsbeschluss zu „Safe Harbor“ kippte der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 und jenen zum Nachfolger „Privacy Shield“ am 16. Juli 2020.


Gegenstand

Der neue Datenschutzrahmen führt weitere Garantien ein. Sie sollen den vom EuGH geäußerten Bedenken Rechnung tragen. Kernstück ist die vom amerikanischen Präsidenten Joe Biden am 7. Oktober 2022 unterzeichnete Executive Order 14086 (on Enhancing Safeguards for United States Signals Intelligence Activities). Sie sieht verbindliche Garantien vor, welche den Zugang der US-Nachrichtendienste auf ein verhältnismäßiges Maß beschränken sollen. Ferner werden eine insoweit verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste und ein neues „Gericht“ implementiert, welches die Einhaltung auf Antrag überprüfen und die Löschung von Daten anordnen kann.

Um personenbezogene Daten formell rechtmäßig in die Vereinigten Staaten zu transferieren, muss der Empfänger für den neuen Datenschutzrahmen zertifiziert sein.


Kritik

Das Netzwerk noyb um den Österreicher Max Schrems bemängelt, dass das Grundproblem, der Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008 (FISA 702), nicht angegangen wurde. Das Gesetz schützt weiterhin nur US-Bürger vor anlassloser Überwachung. Über diese Tatsache versuche die EU-Kommission mit ihrem Angemessenheitsbeschluss aktiv hinwegzutäuschen.

Den Angemessenheitsbeschluss zum „Privacy Shield“ hatte der EuGH unter anderem wegen der Massenüberwachung nach FISA 702 kassiert. Er hielt sie für unverhältnismäßig und mit Art. 52 der EU-Grundrechtscharta unvereinbar. Die Executive Order 14086 greift diese Kritik auf. Die nachrichtendienstlichen Tätigkeiten müssen nunmehr verhältnismäßig in Bezug auf die nachrichtendienstliche Priorität und den Eingriff in die Privatsphäre und Freiheit der Betroffenen sein. Noyb kritisiert dies als „Trick“. Die USA interpretierten den Begriff der Verhältnismäßigkeit anders als der EuGH. Diesen Umstand nutze die Europäische Kommission bewusst aus, um den Anschein von Rechtmäßigkeit zu erzeugen.

Ferner hatte der EuGH festgestellt, dass der im „Privacy Shield“ vorgesehene Ombudsmann mit Artikel 47 der EU-Grundrechtscharta unvereinbar ist. Auch die insoweit erfolgten Anpassungen, die Aufteilung in einen Civil Liberties Protection Officer und einen „Gerichtshof“ bewertet nyob als „Trick“. Der „Gerichtshof“ sei lediglich ein Exekutivorgan mit überdies nur partieller Unabhängigkeit. Der Text, mit dem dieses Exekutivorgan zu antworten hat, ist nach der Executive Order 14086 vorgegeben. Das „Urteil“ sei mithin gesetzlich vorgeschrieben, bemängelt nyob.

Philippe Latombe, Abgeordneter des französischen Départements Vendée, erklärt in einer Pressemitteilung, dass er sich durch den neuen Angemessenheitsbeschluss in seinen Rechten als Privatperson verletzt sehe. Auch der neue Angemessenheitsbeschluss sei weder mit der DSGVO noch mit der Grundrechtscharta der EU vereinbar.

Nicht nur rechtlich, sondern auch politisch ist das Abkommen fragil. Das Kernstück, die Executive Order 14086, kann je nach Ausgang der Präsidentschaftswahl 2024 schon bald wieder Makulatur sein.


Klagen angekündigt

Philippe Latombe erklärt in seiner Pressemitteilung, dass er bereits Klage zum EuGH eingereicht habe. Auch noyb kündigt auf seiner Website eine Klage an. Das Netzwerk um den Österreicher Max Schrems, der bereits „Safe Harbor“ und „Privacy Shield“ zu Fall brachte, hält es für ausgeschlossen, dass der neue Datenschutzrahmen einer Überprüfung durch den EuGH standhält.


Praxis-Hinweis

Einstweilen sind Datentransfers auf der Grundlage des EU-U.S. Data Privacy Framework an entsprechend zertifizierte Empfänger in den USA formell rechtmäßig. Sie bleiben gleichwohl riskant. Investitionen in Datenverarbeitungsstrukturen, welche auf den neuen Rechtsrahmen bauen, könnte schon bald die Grundlage fehlen. Dann stellt sich die Frage, ob der Vorstand oder Geschäftsführer bei der Investitionsentscheidung vernünftigerweise überhaupt annehmen durfte, zum Wohle der Körperschaft zu handeln. Dies gilt umso mehr, als das neue Abkommen unter Datenschützern als Mogelpackung gehandelt und öffentlichkeitswirksam angegriffen wird. Vorstände und Geschäftsführer, die auf das neue Abkommen bauen, könnten das Vertrauen ihrer Kunden verspielen. Wer gleichwohl auf den neuen Rahmen setzen möchte, sollte seine Abläufe so gestalten, dass „Amerika“ darin nur ein Baustein ist, der sich über Nacht austauschen lässt. Wie auch immer Sie Ihre Prozesse gestalten möchten– die Solidaris unterstützt Sie dabei.

Autor
Autor

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß