Kommt das Privacy Shield 2.0?
US-Präsident Joe Biden hat kürzlich durch eine neue Executive Order den Grundstein für ein neues Datenschutz-Abkommen zwischen den USA und der EU gelegt. Damit könnte sich nach jahrelanger Ungewissheit endlich klären, wie der transatlantische Datentransfer datenschutzkonform vollzogen werden kann. Schließlich kündigte u.a. das US-amerikanische Unternehmen Meta an, seine Dienste Facebook und Instagram nicht länger in der EU anbieten zu können, wenn es zu keiner neuen Vereinbarung käme.
Der Status Quo
Seit der Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Jahre 2020, in dem das Gericht das Privacy-Shield-Abkommen für unrechtmäßig erklärte, existiert keine Vereinbarung, die das Datenschutzniveau der USA an das der Datenschutzgrundverordnung (DSGVO) in der EU angleicht. Der Hauptkritikpunkt am damaligen Abkommen war, dass US-amerikanische Geheimdienste aufgrund des „Foreign Surveillance Protection Acts“ zu weite Zugriffsbefugnisse im Rahmen einer Massenüberwachung auf europäische Daten haben. Gerechtfertigt wurde dies mit der Bekämpfung des Terrorismus und dem Schutz der nationalen Sicherheit.
EU-Bürgern war es zudem unmöglich, in den USA rechtliche Schritte gegen die Erhebung ihrer Daten einzuleiten. Als Nicht-US-Bürger waren sie vor US-amerikanischen Gerichten schlichtweg nicht klagebefugt. Der vierte Verfassungszusatz der USA kennt zwar das Recht auf Privatsphäre, jedoch gilt dies ausschließlich für US-Bürger, sodass sich EU-Bürger nicht darauf berufen können.
Licht am Ende des Tunnels
Bereits im März dieses Jahres verkündeten Präsident Joe Biden und die Präsidentin der Europäischen Kommission Ursula von der Leyen, nach monatelangen Verhandlungen zwischen Vertretern der EU und den USA eine „grundsätzliche Einigung“ getroffen zu haben. Dennoch dauerte es weitere fünf Monate, bis Präsident Joe Biden letzte Woche das Dekret veröffentlichte. Es soll eine neue Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission bieten.
Die Geheimdienste der USA müssen zukünftig belegen, dass ihre Verarbeitung personenbezogener Daten der Gefahrenabwehr diente und verhältnismäßig war. EU-Bürger können bei einer Beschwerdestelle vermeintlich unrechtmäßige Datenverarbeitungen rügen. Zusätzlich werde ein eigens geschaffenes Gericht, der Data Protection Review Court, vor dem nun auch EU-Bürger klagebefugt sein werden, über die Rechtmäßigkeit entscheiden. Beide Seiten haben Zufriedenheit über den getroffenen Kompromiss geäußert.
Prompte Kritik
Kritik am neuen Regelungsversuch ließ nicht lange auf sich warten. Der Jurist und Vorsitzende der Datenschutzorganisation NOYB Max Schrems schätzte die Vorgehensweise so ein, „dass diese ersten Schritte keine Lösungen sind, sondern Schritte in Richtung eines dritten, mangelhaften Abkommens.“
Vor allem wird die unterschiedliche Auslegungsweise in der EU und den USA des neu aufgenommene Begriffs der Verhältnismäßigkeit beanstandet. Es sei nicht geregelt, wie der Begriff zu verstehen sei, sodass nach US-amerikanischer Lesart die Überwachung durch die Geheimdienste weiterhin möglich bliebe. Auch habe die USA ausdrücklich darauf hingewiesen, an ihrer Praxis der Massenüberwachung festzuhalten. Der neu geschaffene Data Protection Review Court sei letztlich kein unabhängiges Gericht, wie es der EuGH verlangte, sondern eine Verwaltungsbehörde der Exekutive, der durch die Bezeichnung als „Court“ der Anstrich eines Gerichts verliehen werden solle.
Schrems kündigte an, das Abkommen von seiner Organisation kritisch prüfen zu lassen. Vermutlich ist auch mit dieser neuen Vereinbarung zwischen der EU und den USA die rechtssichere Datenübermittlung nicht abschließend geregelt. Der EuGH wird sich über kurz oder lang erneut in dieser Sache äußern müssen.