Folge der NSA-Enthüllungen: Datenschutzrahmen zwischen EU und USA massiv kritisiert
Dass Meta Anfang Juni zu einer Strafe in Höhe von 1,2 Milliarden Euro verurteilt wurde, lag am Transfer von personenbezogenen Daten in die USA. Die EU-Kommission hat nun ein neues Abkommen präsentiert, das diesen legitimieren soll. Kritiker bezeichnen dieses weiterhin als nicht ausreichend.
Ausgangspunkt für das neue Abkommen sind die NSA-Enthüllungen. Als das Ausmaß der amerikanischen Geheimdienst-Überwachung publik wurde, scheiterten sowohl die 2013 geltenden Safe-Harbor-Regeln als auch der Nachfolger Privacy Shield im Laufe der Jahre vor dem Europäischen Gerichtshof (EuGH). Der Grund: Persönliche Daten von europäischen Nutzern sind nicht ausreichend vor dem Zugriff der US-Geheimdienste geschützt, wenn diese in die USA übermittelt werden. Garantien der US-Regierung sind laut der europäischen Rechtsprechung nicht ausreichend.
Es ist der Widerspruch zwischen dem europäischen Datenschutzrecht und der amerikanischen Massenüberwachung mit Gesetzen wie dem FISA 702, der sich auch im Jahr 2023 nicht ohne Weiteres auflösen lässt. Die Konsequenz: Wenn Unternehmen Nutzerdaten in die USA übermitteln, kann es sich um einen Verstoß gegen die DSGVO handeln. Im Falle vom Facebooks Mutterkonzern Meta führte das zu einer Strafe in Höhe von 1,2 Milliarden Euro – ein neuer Rekord für DSGVO-Bußgelder. Max Schrems, Vorsitzender der Datenschutz-Organisation Noyb und Kläger in dem Verfahren, sagte aber bereits anlässlich des Beschlusses, dieser beschränke sich nicht nur auf Meta. Ebenso warnten Wirtschaftsverbände, die aktuellen Vorgaben wären nicht ausreichend.
Dritter Anlauf für Datenschutzabkommen
Die Herausforderung für das neue – und jetzt dritte – Abkommen ist daher: Es muss Garantien durch die US-Regierung geben, die den EuGH-Auflagen entsprechen. Das soll nun der Fall sein, verkündete die EU-Kommission gestern im Rahmen eines Angemessenheitsbeschluss. „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten“, sagt EU-Kommissionspräsidentin Ursula von der Leyen.
Schließen sich Unternehmen diesem Datenschutzrahmen an, müssen diese klassische DSGVO-Vorgaben wie Löschfristen und Zweckbindungen einhalten. EU-Bürger sollen im Gegenzug Rechtshilfen erhalten, sollten US-Unternehmen nicht angemessen mit den Daten umgehen. Relevant sind aber insbesondere die Zusagen der US-Administration, die den Zugriff auf im Rahmen des Datenschutzrahmens übermittelte Daten auf das zum „Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß“ beschränken will, heißt es in der Mitteilung der EU-Kommission.
Einzelpersonen in der EU sollen zudem auf ein „unabhängiges und unparteiisches Rechtsbehelfsverfahren“ zurückgreifen können, wenn US-Geheimdienste die Daten abgreifen. Mit solchen Beschwerden werde sich ein eigens für diesen Zweck geschaffenes Gericht befassen.
Definition von Wahnsinn
Kritiker überzeugt der neue Ansatz nicht. Der Noyb-Vorsitzende Schrems verweist darauf, dass es eine Definition von Wahnsinn sei, immer wieder dasselbe zu tun und ein anderes Ergebnis zu erwarten. Das gelte auch für den neuen Datenschutzrahmen. „Genau wie 'Privacy Shield' basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken“, so Schrems.
Grundlage für das neue Abkommen sei lediglich eine Executive Order von US-Präsident Joe Biden, die im Kern den alten Datenschutz-Garantien aus dem Jahr 2014 entspricht, aber lediglich um das Wort „verhältnismäßig“ ergänzt worden seien. Nur sei diese Zusage, so Schrems, bei weitem nicht ausreichend, denn die US-Administration würde den Begriff völlig anders definieren als der EuGH. Nötig wäre eine Änderung an Gesetzen wie dem FISA 702, um den Schutz für EU-Bürger zu erhöhen. Doch damit ist nicht mehr zu rechnen.
Er kündigt erneut den Weg vor den EuGH an, die Richter könnten sich bereits Anfang nächsten Jahres mit den neuen Regeln befassen. Dann wird sich zeigen, ob die Vereinbarungen ausreichen. Schrems: „In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt – jetzt einfach zwei weitere Jahre an Rechtsunsicherheit hinzugefügt.“
Insofern wird sich zeigen, ob Unternehmen tatsächlich profitieren. So erklärt der Branchenverband Bitkom, die mühsamen Verhandlungen zwischen EU-Kommission und US-Administration hätten sich gelohnt. Allein die bereits genannte Executive Order zeige, dass die USA auf europäische Bedenken reagieren wolle. Von dem Datenschutzrahmen würden nun „vor allem kleine und mittelständische Unternehmen profitieren“, da „künftig keine Einzelfallprüfungen mehr notwendig“ seien, so Bitkom-Präsident Ralf Wintergerst. Allerdings räumt auch der Wirtschaftsverband ein, dass die Regelungen erneut vor Gericht landen.