Seit dem Schrems II – Urteil des EuGH aus dem Jahr 2020, ist die Nutzung von US Cloud-Technologien, allen voran Google Analytics, nicht DSGVO-konform möglich. Der neue Erlass des US-Präsident Joe Biden soll den Unmut über die Nutzung von US-Cloud-Technologien in der EU beseitigen und den Forderungen aus dem Schrems-II-Urteil entgegenkommen. Datenschutzrechtsexperten gehen allerdings schon jetzt davon aus, dass der Erlass nicht ausreichen wird um Datentransfer in die USA langfristig zu ermöglichen.
Nach Safe Harbor und Privacy Shield versuchen EU und USA nun zum dritten Mal, einen Kompromiss zwischen dem hohen Schutzstandard des europäischen Datenschutzrechts und der amerikanischen Massenüberwachung zu finden. Im März 2022 verkündeten EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden, dass es eine grundlegende Übereinkunft für ein Abkommen bezüglich des sicheren Datentransfers zwischen der EU und den USA gibt. Einige Monate später, am 07. Oktober 2022 hat Biden nun eine Executive Order verabschiedet, die Abhilfe bei jenen Punkten schaffen soll, welche der EuGH in “Schrems II” kritisiert hatte. Denn das bis dahin geltende Privacy Shield Framework wurde durch den EuGH für ungültig erklärt. Die neue Executive Order 2022 des US-Präsidenten soll nun die rechtlichen Rahmenbedingungen schaffen und so den neuen Angemessenheitsbeschluss der EU-Kommission ermöglichen.
Die in den USA vorherrschenden Datenschutzrechte von Nicht-US-Bürger:innen sind nicht auf dem gleichen Niveau wie in der EU, daher können die USA nicht in die Liste der Länder aufgenommen werden, für die ein “Angemessenheitsbeschluss” gilt. Solch ein Beschluss schafft Rechtssicherheit bezüglich der Übermittlung von Daten in das jeweilige Land. Von dieser Entscheidung hing die legale Nutzung von Cloud-Angeboten ab. Ziel von Bidens Executive Order ist es daher der EU-Kommission, die über die entsprechende Entscheidungsbefugnis verfügt, eine Grundlage für die Aufnahme der Vereinigten Staaten zu geben.
Die Besonderheit eines Angemessenheitsbeschlusses der EU-Kommission ist, dass er einen solchen Drittlandtransfer legitimiert, solang er nicht durch EuGH für unwirksam erklärt oder durch die EU-Kommission wieder aufgehoben wird. Das bedeutet die europäischen Aufsichtsbehörden wären an diese Bewertung gebunden.
Die Executive Order macht den Weg frei für die Prüfung eines neuen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO für einen Datentransfer in die USA. Bei einem Executive Order handelt es sich um eine Verfügung des US-Präsidenten, welche an die US-Bundesverwaltung gerichtet ist. Sie benötigt weder die Zustimmung des Repräsentantenhauses noch des Senats. Die US-Verfassung enthält für Executive-Order keine ausdrückliche Rechtsgrundlage. Sie wirkt nicht direkt in der EU und ist eine unmittelbar geltende rechtliche Vorgabe, die für jene US-Behörden bindend ist, an die sie gerichtet ist. Das bedeutet, dass sich die Executive Order an alle Bundesbehörden richtet, die elektronische Signale einerseits für geheimdienstliche Zwecke sammeln und andererseits auswerten.
Im Fall Schrems II sah der EuGH insbesondere zwei Aspekte als Verletzung der Rechte der Bürger*innen an: Erstens kritisierte er das unangemessen weit gefasste Mandat der Geheimdienste, die Sammlung der Daten. Vielmehr sollte dies auf ein Minimum reduziert werden. Andererseits haben Betroffene keine rechtlichen Möglichkeiten zur Geltendmachung ihrer Ansprüche.
Die Executive Order bietet für diese beiden Aspekte allerdings keine Problemlösung an. Wie die NGO Organisation noyb rund um Max Schrems verkündet hat, liegt dies vor allem an den verwendeten Wortlauten.
Die neue Executive Order verwendet die Formulierung des europäischen Rechts (“verhältnismäßig” und “notwendig” Artikel 52 GRC) anstelle des früheren Begriffs “so maßgeschneidert wie möglich” (Abschnitt 1(d) der PPD-28). Darüber hinaus haben die USA ebenso mitgeteilt, dass sie trotz der Nutzung neuer Worte ihre Massenüberwachungssysteme nicht einschränken werden, sondern diese sogar explizit erlauben werden (siehe Section 2 (c)(ii)) der Executive Order).
Max Schrems, Vorsitzender der NGO noyb meint dazu:
"Die EU und die USA sind sich über den Begriff 'verhältnismäßig' einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen - und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will."
Auch das Wort “Gericht” entspricht nicht dem Begriff im eigentlichen Sinne. Sondern es handelt sich um eine Art Kontrollgremium, dessen Mitglieder ernannt oder abberufen werden können. Das führt dazu, dass diesem die Unabhängigkeit fehlt und illegale oder unverhältnismäßige Transfers weiterhin möglich gemacht werden können.
Im Falle einer Beschwerde wird eine:n Mitarbeiter:in des Director of National Intelligence diese entgegennehmen. In weiterer Folge wird die “Data Protection Review Court” die Bearbeitung der Beschwerde prüfen. Es handelt sich allerdings nicht um ein Gericht, sondern um eine Stelle der Exekutive. Dies ist jedoch kein neuer Ansatz, sondern ähnelt stark dem verwendeten Prinzip des “Ombudsmann”, welcher vom EuGH als nicht ausreichend deklariert wurde. Daher stellt sich die Frage, wie diese Beschwerdestelle jene eines Gerichts entsprechen soll.
Max Schrems erörtert weiters:
"Wir müssen den Vorschlag im Detail prüfen, aber auf den ersten Blick scheint es sich bei diesem 'Gericht' einfach nicht um ein Gericht zu handeln. Die Charta verlangt eindeutig einen 'gerichtlichen Rechtsbehelf' - die bloße Umbenennung einer Beschwerdestelle in ein 'Gericht' macht sie nicht zu einem Gericht. Es ist faszinierend, wie die Europäische Kommission von Polen oder Ungarn - zurecht - makellose Gerichtssysteme fordert, aber wenn es um die USA geht, brauchen wir plötzlich gar kein Gericht."
Die EU-Kommission muss nun den “Angemessenheitsbeschluss” ausarbeiten. Dafür muss es auch den Europäischen Datenschutzausschuss (EDSA) und die europäischen Mitgliedstaaten anhören. Dieser Vorgang wird einige Zeit in Anspruch nehmen. Eine Entscheidung wird daher nicht vor Frühjahr 2023 erwartet. Bis dahin müssen Verantwortliche weiterhin Datentransfers mit anderen Transfermechanismen absichern, insbesondere mit Standardvertragsklauseln.
Sie wollen gleich auf Nummer sicher gehen und Ihre Daten schützen? Nehmen Sie Kontakt mit uns auf, bei einem kostenlosen Ersttermin werden wir gemeinsam Ihre Bedürfnisse analysieren.
Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.
Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.