Die EU-Kommission hat grünes Licht für das Privacy Shield 2.0 mit den USA gegeben. Der österreichische Datenschutzaktivist Max Schrems, der schon den Vorgänger und das Safe-Harbor-Abkommen vor dem EuGH gekippt hat, steht schon in den Startlöchern, es wieder zu wagen.

Es ist schon der dritte Anlauf, um ein gemeinsames Datenschutzabkommen für den Transfer personenbezogener Daten in die USA zu beschließen. Die EU-Kommission hat dafür jetzt die rechtliche Basis für das sogenannte Privacy Shield 2.0 gelegt. Die Möglichkeit von US-Behörden, im Zweifel auf Daten von EU-Bürger:innen zugreifen zu können und teilweise auch nachgewiesene, staatlich gelenkte Wirtschaftsspionage haben das Zustandekommen eines Abschlusses bislang erschwert und Datenschützern wie Max Schrems „Munition“ geliefert, dagegen gerichtlich vorzugehen.

Schon zweimal gescheitert

Der österreichische Anwalt war damals gerade erst 27, als er im Schrems I genannten Verfahren vor dem Europäischen Gerichtshof (EuGH) Recht bekam und 2015 das Safe-Harbor-Abkommen zwischen der EU und den USA zu Fall brachte. Fünf Jahre später folgte das Schrems-II-Urteil, mit dem er auch das EU-US Privacy Shield Abkommen in höchster Instanz kippen konnte.

Als juristisches Hauptargument stand immer im Raum, dass die USA keinen mit den EU-Standards vergleichbaren Datenschutz gewährleisten können. Das hat sich jetzt nach Auffassung der EU-Kommission in Brüssel geändert, womit der sogenannte Angemessenheitsbeschluss offiziell ist. Und damit wäre der Weg für Privacy Shield 2.0 geebnet.

Im besagten Schrems-II-Urteil von 2020 hatte der EuGH jedoch festgestellt, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act weiterhin eine Massenüberwachung durch NSA, CIA & Co. ermöglichen und der US-Datenschutzstandard daher nicht dem in der EU entspricht. Ein Knackpunkt dabei ist auch der USA Freedom Act, der dem umstrittenen US Patriot Act folgte und amerikanische Rechenzentrumsbetreiber sogar zwingen kann, in Europa gehostete Daten an die US-Geheimdienste weiterzuleiten.

Werden US-Geheimdienste nun an die Leine genommen?

Nach dem Freedom Act dürfen amerikanische Behörden Telekommunikations- und andere Daten zwar nicht mehr selbst speichern oder direkt darauf zugreifen, aber das Safe-Harbor-Dilemma ist damit immer noch nicht gelöst. Denn amerikanische Behörden können im Verdachtsfall, zum Beispiel bei geplanten Terrorangriffen, weiter die Herausgabe von Daten einfordern. Das hatte unter anderem zur Folge, dass viele deutsche Unternehmen ihre Daten lieber deutschen oder anderen westeuropäischen Rechenzentren anvertrauten.

Nun der neue Anlauf, mit dem laut der EU-Kommission neue verbindliche Garantien eingeführt werden sollen, um den Bedenken des EuGH Rechnung zu tragen. So ist der Kommission zufolge vorgesehen, dass „der Zugang von US-Geheimdiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist“. Es soll auch eine Art Gericht zur Datenschutzüberprüfung geschaffen werden, zu dem alle EU-Bürger:innen Zugang haben. Verstößt die Datenerhebung gegen die neuen von den USA gegebenen Garantien, soll das Gericht dann auch die Löschung der Informationen anordnen können. Für viele stellt sich daher die Frage, ob die US-Geheimdienste nun wirklich an die Leine genommen wurden.

Kommissionspräsidentin Ursula von  der Leyen ist überzeugt, dass die neue Übereinkunft nach der grundsätzlichen Einigung im März 2022 einen sicheren Datenverkehr für die Europäer gewährleisten werde. Die USA haben auch schon versichert, dass sie alle Pflichten zur Umsetzung des Abkommens erfüllt haben.

Und gemäß der von US-Präsident Joe Biden im Oktober 2022 unterzeichneten Durchführungsverordnung 14086 sollen die Geheimdienste seines Landes bei der Datensammlung künftig darauf achten, dass diese „notwendig und verhältnismäßig“ ist und besser kontrolliert werden kann.

Für die von  Max Schrems ins Leben gerufene Datenschutzorganisation Nyob ändert sich, anders als von der EU-Kommission behauptet, aber wenig am US-Recht. Das grundsätzliche Problem mit dem FISA-Abschnitt 702 hätten die USA nicht wirklich angegangen. Das US-Repräsentantenhaus hat 2018 gerade erst das umstrittene Überwachungsgesetz FISA verlängert.

Abschnitt 7 erlaubt Geheimdiensten wie der NSA, auch ohne konkreten Verdacht und entsprechenden Gerichtsbeschluss weitreichende Zugriffe auf Kommunikationsdaten von „non-US persons“, wenn sie zum Beispiel von US-Unternehmen wie Google erhoben wurden. Demnach haben nach wie vor nur US-Bürger:innen verfassungsgemäße Rechte, nicht ohne Anlass überwacht zu werden. Nyob sieht daher im angeblich neuen transatlantischen Datenschutzabkommen nur eine Kopie des gescheiterten Privacy Shield, das in wenigen Monaten erneut vor dem EuGH landen werde.

„Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet“, zitiert Heise den Nyob-Vorsitzenden Schrems. Sein Verein habe die neue Anfechtung vor dem EuGH schon „in der Schublade“, obwohl man „dieses juristische Pingpong satt“ habe. Wenn der Fall dem Luxemburger Gericht Ende 2023, Anfang 2024 auf dem Tisch liegt, ist allerdings nicht vor 2024 oder 2025 mit einer Entscheidung zu rechnen.

Der neue Bitkom-Präsident Ralf Wintergerst begrüßt allerdings, dass mit der Veröffentlichung des neuen Frameworks am 10. Juli 2023 „eine dreijährige Hängepartie zu Ende“ gegangen sei. Firmen erhielten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten über den Großen Teich transferieren müssen. Vor allem kleine und mittelständische Unternehmen würden davon profitieren, „dass künftig keine Einzelfallprüfungen mehr notwendig sind“.

Quelle Titelbild: Adobe / Dragon Claws