US-Präsident Joe Biden hat ein Dekret veröffentlicht, das die Datenschutzstandards in den USA verbessern und damit den Datentransfer aus der EU erleichtern soll. Wie ist das Dekret zu bewerten? Wir haben bei Europaabgeordneten nachgefragt.
Auf welcher Grundlage dürfen Daten von EU-Bürger:innen in den USA verarbeitet und wie müssen sie geschützt werden? Um diese Frage ringen die USA, die EU und Datenschützer:innen seit Jahren. Und noch immer steht eine Antwort aus. Bereits zwei Mal hat der Europäische Gerichtshof (EuGH) entsprechende Entscheidungen der EU gekippt, weil die US-Regierung Europäer:innen keinen ausreichenden Schutz vor US-Geheimdiensten wie der NSA garantierte. Präsident Joe Biden unternimmt nun mit einer neuen Executive Order einen dritten Anlauf.
Nachdem Biden zusammen mit EU-Kommisionspräsidentin Urusula von der Leyen im März 2022 eine grundsätzliche politische Einigung verkündete hatte, war die Umsetzung mit Spannung erwartet worden. Dass es wieder keine Veränderungen der Überwachungsgesetze in den Vereinigten Staaten geben würde, war zuvor bereits durchgesickert. Eine Executive Order ist lediglich eine vom US-Präsidenten per Dekret erteilte Verwaltungsverordnung, die ohne weiteres wieder zurückgenommen werden kann. Doch auch vom Inhalt her zeigen sich die netzpolitischen Expert:innen im europäischen Parlament enttäuscht.
Es sei zwar erfreulich, dass die US-Regierung die Kritik des Europäischen Gerichtshofes aufgreife, schreibt uns die grüne EU-Parlamentarierin Alexandra Geese. „Auf den zweiten Blick wird jedoch deutlich, dass es sich dabei nur um leere Worte handelt.“ Von den Liberalen kommt ebenfalls Kritik. Der FDP-Politiker Moritz Körner bezeichnet Bidens Executive Order als „alter Wein in neuen Schläuchen“. Auch die SPD-Politikerin Birgit Sippel hält „weitergehende gesetzgeberische Maßnahmen in den USA“ für notwendig.
Datenschutz wie in Europa?
Egal ob Soziale Medien oder Cloud-Anwendungen für die Industrie, Webtracking-Dienste oder Internet-of-Things-Geräte: Weite Teile der Online-Infrastruktur in Europa betreiben Firmen aus den USA. In vielen Fällen landen deshalb die Daten der europäischen Nutzer:innen auf amerikanischen Servern. Dafür müssen die Betreiber:innen sicherstellen, dass die Daten entsprechend geschützt sind. Und es braucht eine Rechtsgrundlage. Das ist im Normalfall sehr kompliziert, doch die Europäische Kommission kann es vereinfachen, indem sie beschließt, dass das Datenschutzniveau in einem anderen Staat den Europäischen Standards angemessen ist.
Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien; auch für die USA fiel sie schon zwei Mal. Doch der Europäische Gerichtshof hat sie nach Klagen des Juristen Max Schrems wiederholt kassiert – und dabei deutliche Worte gefunden: Rechtslage und geheimdienstliche Überwachungspraxis in den USA sind demnach nicht mit dem europäischen Datenschutz in Einklang zu bringen.
Genau hier setzt die Executive Order des US-Präsidenten an. Sie sieht zum einen vor, den Datenzugriff der US-Geheimdienste auf ein Maß zu beschränken, das zum Schutz der nationalen Sicherheit „erforderlich“ und „verhältnismäßig“ ist. Der Text übernimmt damit Begriffe des europäischen Rechts, genauer aus Artikel 52 der Grundrechte-Charta. In der Vergangenheit hatten US-Überwachungsmaßnahmen lediglich „so maßgeschneidert wie möglich“ sein müssen, wie eine Executive Order des damaligen US-Präsidenten Barack Obama aus dem Jahr 2014 vorsah.
Das nun erlassene Dekret von Präsident Biden formuliert zum einen zwölf Ziele, die den Einsatz von Massenüberwachung rechtfertigen, darunter so breit gefasste wie die Bedrohung durch Terrorismus oder Cyberangriffe. Zum anderen führt die Executive Order einen zweistufigen Rechtshilfe-Mechanismus ein, der es EU-Bürgerinnen erlauben soll, sich über einen widerrechtlichen Zugriff auf ihre Daten zu beschweren.
Weitere Gesetzesänderungen in den USA erforderlich
In einer ersten Stellungnahme hatten Max Schrems und die Nichtregierungsorganisation noyb sich bereits kritisch zu diesen Vorgaben geäußert. Unsere Umfrage unter EU-Abgeordneten zeigt: Sie sind bei weitem nicht die einzigen.
Birgit Sippel von der SPD wertet die Executive Order zwar grundsätzlich als Fortschritt. Sie kritisiert aber, dass die USA trotz augenscheinlichem politischem Willen, einen Nachfolger für das Privacy Shield zu erarbeiten, das Problem nicht an der Wurzel anpacken und ihre Überwachungsgesetzgebung ändern. Um den Anforderungen des EuGH gerecht zu werden, braucht es ihrer Meinung nach „weitere Gesetzesänderungen in den USA“.
Außerdem hinterfragt Sippel den Rechtshilfe-Mechanismus. Das „Privacy and Civil Liberties Oversight Board“, die erste Instanz in dem neuen, zweistufigen Beschwerdesystem, könne wahrscheinlich nur die Einhaltung der Rechtslage fordern, jedoch keine Änderungen herbeiführen. Es sei zudem fraglich, ob das neu eingeführte „Datenschutzüberprüfungsgericht“ die Kriterien des EuGH für ein unabhängiges Gericht erfülle. Denn unabhängige Gerichte kann in den USA nur der Kongress einrichten. Doch die Order hat nicht nur ein bisher unbekanntes Gericht, sonder auch noch einen bisher unbekannten „Special Advocate“ eingeführt – entsprechend unklar sind auch die Befugnisse beider.
Noch drastischere Worte findet Alexandra Geese, Abgeordnete für die Grünen. Die Nachbesserungen zu einem gerichtlichen Rechtsbehelf bezeichnet sie als „Augenwischerei“. Zwar werde der Begriff „Gericht“ verwendet, tatsächlich handele es sich dabei jedoch um „eine Verwaltungsstelle, deren Urteile obendrein in der Order direkt vorgeschrieben sind“. Geese schreibt, es dürfe „keine Einigung um jeden Preis“ geben. Die Kommission müsse den Erlass kritisch prüfen „und dabei insbesondere die bereits laut gewordenen Bedenken aus der Zivilgesellschaft ernst“ nehmen. Die Executive Order entkräfte keine der Bedenken des EUGH, so Geese: „Sie vermag die Überwachung von EU-Bürger*innen durch die US-Behörden weder rechtlich noch faktisch einzuschränken.“
Klatsche für die EU-Bürger:innen, Gift für die Wirtschaft
Auch Geeses Fraktionskollege Patrick Breyer, Politiker der Piratenpartei, empfindet die Änderungen als „Augenwischerei“. Er bemängelt die fehlende gerichtliche Durchsetzbarkeit des Erlasses, dessen Einhaltung anders als bei einem Gesetz nicht eingeklagt werden kann. Breyer weist zudem darauf hin, dass der EuGH nicht nur die Auswertung, sondern bereits das massenhafte Abgreifen privater Daten von EU-Bürger:innen untersagt habe. Dieses massenhafte Abgreifen von Daten werde in der Order aber „ausdrücklich abgesegnet“. In der Erwartung, dass die EU trotz dieser Bedenken erneut einen Angemessenheitsbeschluss für die USA fassen wird, kritisiert Breyer die EU-Kommission scharf als „Wiederholungstäterin bei der Verletzung unserer Grundrechte“. Sie verrate europäische Grundwerte „und buckelt vor den USA und der Wirtschaftslobby.“
Auch Moritz Körner von der FDP kommt zu dem Schluss, die Executive Order rechtfertige keinen Angemessenheitsbeschluss, da sie die datenschutzrechtlichen Probleme in den USA nicht behebe. Stattdessen habe die US-Regierung kosmetische Änderungen vorgenommen und so ein „politisches Feigenblatt“ serviert. Sein Fazit: „Alter Wein in neuen Schläuchen“.
Körner kritisiert zudem, dass ein Zusatzartikel der US-Verfassung Regeln für die Einschränkung von Grundrechten festlegt, wonach EU-Bürger:innen nicht im gleichen Maße wie US-Bürger:innen geschützt sind. Dieser Zusatzartikel gilt exklusiv für Menschen mit US-amerikanischer Staatsangehörigkeit. Zwar besagt Bidens Executive Order, dass Menschen „unabhängig von ihrer Nationalität oder ihrem Wohnsitzland“ nach dem Grundsatz der Verhältnismäßigkeit behandelt werden sollen. Da der Rechtsweg für EU-Bürger:innen jedoch nur vor einem „US-Scheingericht“ bestehe, würden diese rechtlich weiterhin wie Menschen zweiter Klasse behandelt, so Körner.
Der Liberale zeigt sich überzeugt: „Dieser Papiertiger wird einer EuGH-Überprüfung nicht standhalten.“ Sollte die EU-Kommission auf dieser Grundlage zum dritten Mal „einen rechtlich nebulösen Angemessenheitsbeschluss verabschieden, wäre das nicht nur eine Klatsche für die EU-Bürger, sondern auch für die Wirtschaft, für die die seit 2015 anhaltende Rechtsunsicherheit Gift ist.“
„Die Kommission spielt auf Zeit“
Auch Körners niederländische Fraktionskollegin Sophie in ’t Veld würde ihren Wetteinsatz auf Max Schrems setzen, falls er erneut vor Gericht ziehen sollte. In ihren Augen versucht die Kommission derzeit, Zeit zu gewinnen. Ein Angemessenheitsbeschluss schaffe vorerst vermeintliche Rechtssicherheit. „Ein Gerichtsprozess Schrems III würde Zeit kosten – und zwar mehr Zeit, als diese Kommission im Amt bleiben wird.“
Bereits zwei Mal hat der österreichische Jurist Schrems den Rechtsrahmen für den transatlantischen Datenverkehr in sich zusammenfallen lassen. Das erste Mal hatte er im Jahr 2011 bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingereicht. Als die Behörde diese mit Verweis auf die im „Safe Harbour“-Abkommen genannten Zusicherungen der US-Regierung abwies, reichte Schrems Klage ein. Das Verfahren landete schließlich in letzter Instanz vor dem Europäischen Gerichtshof, der die seit 2000 geltende Angemessenheitsentscheidung für rechtswidrig erklärte. Gleiches passierte 2020 mit der Nachfolge-Verabredung Privacy Shield.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires