was verspricht es? was hält es?
Der Datentransfer zwischen den USA und der EU ist nicht erst seit Inkrafttreten der Datenschutzgrundverordnung problematisch. Daten von EU-Bürger:innen sind in den USA nicht hinreichend vor Massenüberwachung geschützt. Die Gesetzeslage in den USA erlaubt es, die personenbezogenen Daten von Menschen aus der EU massenweise und anlasslos zu durchsuchen – im Gegensatz zu den Daten von Menschen mit US-amerikanischem Pass. Verschiedene Vertragstexte, die Namen wie “Hafen”, “Schild” oder “Beschluss” im Titel tragen, versuchen zwar immer wieder, den Schutz für EU-Bürger:innen zu verbessern, doch gelingt dies nur unzureichend, wie die Urteile des Europäischen Gerichtshofes (EuGh) zeigen. Die nächste Runde im Ping-Pong zwischen Gerichtshof und EU-Kommission ist eingeläutet.
Die Europäische Datenschutzgrundverordnung (DSGVO) bietet für den internationalen Datentransfer einige Rechtsgrundlagen an. Gibt es einen gültigen Angemessenheitsbeschluss der EU-Kommission, oder gibt es Standardvertragsklauseln zwischen Verantwortlichen und Empfängern, oder sind eigene Auftragsdatenverarbeiterverträge unterschrieben worden, oder hat eine Datenschutzbehörde branchenweite “Binding Corporate Rules” genehmigt, dann können personenbezogene Daten auch außerhalb der EU verarbeitet werden. Die USA haben eigens ausgehandelte Möglichkeiten für Datentransfers über den Atlantik in Anspruch genommen, wobei die jeweiligen Abkommen klingende Namen erhielten; vom “Safe Harbor” (bis 2015) über das sogenannte “Privacy Shield” (2015 – 2020) bis hin zu eigenen Standardvertragsklauseln (2020 – 2023). Seit 10. Juli 2023 gibt es nun eine neue Variante: den Angemessenheitsbeschluss. (Falls jemandem noch weitere Bezeichnungen im Zusammenhang mit dem Datentransfer zwischen EU-Staaten und der USA wie “Umbrella” oder “Framework” untergekommen sind, so könnte das daran liegen, dass auch diese immer wieder verwendet wurden um dem “Kind” einen Namen zu geben.)
altes Dilemma unter neuem Namen?
Dass die jeweiligen Abkommen auch vor Gericht nicht gehalten haben, was sie versprochen haben, nämlich unter anderem einen gleichwertigen Schutz von EU-Bürger:innen vor Massen-Überwachung in den USA, ist primär der Initiative von Max Schrems bzw. der von ihm gegründeten Datenschutz-NGO noyb zu verdanken, die unermüdlich darauf hinweist, dass personenbezogene Daten von EU-Bürger:innen in den USA nicht ausreichend geschützt sind.
Mit dem am 10. Juli veröffentlichten Angemessenheitsbeschluss, der zwischen der EU-Kommission und dem Handelsministerium der USA ausgehandelt wurde, soll sich das Ungleichgewicht zwischen Daten von EU-Bürger:innen und USA-Bürger:innen nun ändern. Es wurde darin vereinbart, dass ein eigenes Gericht geschaffen wird, an das sich EU-Bürger:innen bei Datenschutzverletzungen wenden können und dieses Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC) kann Datenlöschungen verfügen, sollte es Rechtsverletzungen feststellen.
noyb sagt hingegen, dass mit dem neuen Angemessenheitsbeschluss und dem darin vereinbarten neuen Gerichtsstand in den USA dennoch das alte Problem nicht gelöst wäre, dass nämlich Menschen mit Pässen aus EU-Mitgliedsstaaten nicht vor anlassloser Überwachung geschützt sind. Max Schrems dazu:
Genau wie ‘Privacy Shield’ basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken. Wieder einmal scheint die derzeitige Kommission dieses Chaos auf die nächsten Kommission abzuwälzen. FISA 702 [ein Gesetz zur Abwehr von Spionage, das die Überwachung ausländischer Aktivitäten in den USA extrem erleichtert; Anm. der Autorin] muss von den USA noch in diesem Jahr verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jegliches Druckmittel verloren, um eine Reform von FISA 702 zu erreichen.
Max Schrems am 10. Juli 2023
ein zwei drei – nächste Chance vorbei…
In einem Jahr ist laut dem Abkommen vorgesehen, dass es evaluiert werden muss. Noyb kündigt eine neuerliche Vorlage vor dem Europäischen Gerichtshof (EuGh) bereits in wenigen Monaten an.