Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH

Trans-Atlantic Data Privacy Framework ist weitgehend eine Kopie von "Privacy Shield". noyb wird die Entscheidung dem EuGH vorlegen.

Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen. Das angeblich "neue" transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nachwievor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen.

• Vergleich der Änderungen im US-Recht seit 2014:
  • "Alte" PPD-28 (2014)
  • "Neue" EO 14086, die die PPD-28 ersetzt (2022)
• Vergleich mit früheren Maßnahmen zur Öffentlichkeitsarbeit:
  • "Wiederherstellung des Vertrauens in die Datenströme zwischen der EU und den USA" und der "Umbrella" von 2013
  • Presseerklärung zum "Privacy Shield" aus dem Jahr 2016
  • Medien-FAQs zum "Privacy Shield" aus dem Jahr 2016
  • Einseitige "Grundsatzvereinbarung" zwischen Biden und von der Leyen aus dem Jahr 2022
• Entwurf des Angemessenheitsbeschluss von Dezember 2022

Hintergrund. Im Jahr 2013 enthüllte Edward Snowden, dass die US-Regierung "Big Tech"-Unternehmen und Programme wie "PRISM" oder "Upstream" gemäß FISA 702 und EO 12.333 nutzte, um den Rest der Welt auszuspionieren, ohne dass ein konkreter Verdacht oder eine richterliche Genehmigung erforderlich war. Dies beschränkte sich nicht auf Straftaten oder Terrorismus, sondern umfasste auch die Spionage gegen "Partner" in Europa. Seit einer EU-Richtlinie von 1995 dürfen personenbezogene Daten in der Regel nur dann in Länder außerhalb der EU übermittelt werden, wenn im Zielland ein "im Wesentlichen gleichwertiger" Schutz besteht. Die US-Industrie stützte sich seit 2000 auf eine Entscheidung der Europäischen Kommission mit der Bezeichnung "Safe Harbor", die die USA als "im Wesentlichen gleichwertig" erklärte. Der EuGH hat die Entscheidung der Kommission in der Rechtssache C-362/14 ("Schrems I") im Jahr 2015 angesichts der extremen US-Überwachungsgesetze für nichtig erklärt. Im Jahr 2016 hat die Europäische Kommission weitgehend dieselbe Entscheidung über Datenübermittlungen zwischen der EU und den USA unter dem neuen Namen "Privacy Shield" erneut erlassen, die vom EuGH in der Rechtssache C-311/18 ("Schrems II") im Jahr 2020 weitgehend aus denselben Gründen für ungültig erklärt wurde.

Ursula und Joe greifen in die Trickkiste. Nach der Annullierung von "Privacy Shield" 2020 kamen die Verhandlungen zwischen der EU und den USA kaum voran. Die USA bestanden darauf, dass EU-Daten weiterhin der Massenüberwachung durch die USA unterliegen und "Nicht-US"-Bürger:innen nicht die gleichen Rechte wie US-Personen haben werden. Nachdem sich mehr als 1,5 Jahre wenig bewegt hatte, nutzten die USA Berichten zufolge den Krieg in der Ukraine, um Druck auf die EU in Bezug auf die Weitergabe personenbezogener Daten auszuüben. Kurz darauf, am 25. März 2022, trafen sich Joe Biden und Ursula von der Leyen. Am selben Tag haben die beiden plötzlich ein Problem "gelöst", was sämtliche Juristen bislang nicht lösen konnten, und eine "Agreement in Principle" vorgelegt. In diesem einseitigen Dokument werden im Wesentlichen zwei "Tricks" beschrieben, die die Öffentlichkeit beruhigen sollen:

• Erstens stellte der EuGH fest, dass die Massenüberwachung nach FISA 702 nicht "verhältnismäßig" im Sinne von Artikel 52 der EU-Grundrechtecharta ist. Die "neue" US Executive Order 14086 (die weitgehend der PPD-28 von 2014 entspricht) soll nun das Wort "verhältnismäßig" enthalten. Der "Trick" dabei: Die USA werden dem Wort "verhältnismäßig" eine andere Bedeutung beimessen als der EuGH. EO 14086 erklärt die Massenüberwachung nach FISA 702 als "verhältnismäßig" nach der amerikanischen Interpretation des Wortes - welche im Gegensatz zu den beiden Feststellungen des EuGH steht. Auf diese Weise konnten die EU und die USA behaupten, sie hätten sich auf dasselbe Wort ("verhältnismäßig") geeinigt - auch wenn es keine Einigung über die Bedeutung des Wortes gibt.
• Zweitens stellte der EuGH fest, dass der Rechtsbehelf über den "Ombudsmann" des Privacy Shield nicht im Entferntesten mit Artikel 47 der EU-Grundrechtecharta übereinstimmt - auch wenn der Ombudsmann 2016 von der PR-Abteilung der Kommission als "unabhängige" Form des Rechtsbehelfs im Bereich der nationalen Sicherheit angepriesen wurde. Der "Trick" beim Rechtsbehelf: Der Ombudsmann-Mechanismus wurde umbenannt und aufgeteilt in einen Civil Liberties Protection Officer (CLPO) und einen sogenannten "Gerichtshof" (der kein Gericht, sondern ein teilweise unabhängiges Exekutivorgan ist). Zwar gibt es einige geringfügige Verbesserungen gegenüber dem Ombudsmann. Einzeln betroffene Personen werden jedoch keine direkte Interaktion mit diesen neuen Stellen haben, und sie werden genau die gleiche Antwort geben wie die frühere "Ombudsperson". Gemäß EO 14086 müssen der CLPO und das "Gericht" in allen Fällen mit folgenden Worten antworten:"Ohne zu bestätigen oder zu leugnen, dass der Beschwerdeführer Gegenstand von Aktivitäten des US-Signalnachrichtendienstes war, wurden bei der Überprüfung entweder keine erfassten Verstöße festgestellt, oder das Datenschutzüberprüfungsgericht hat eine Feststellung getroffen, die angemessene Abhilfemaßnahmen erfordert." (siehe hier). Das "Urteil" dieses "Gerichts" ist also bereits bekannt, bevor jemals eine Beschwerde eingereicht wird. Es scheint undenkbar, dass der Gerichtshof dies als "gerichtlichen Rechtsbehelf" gemäß Artikel 47 Grundrechtecharta akzeptieren würde.
• Schließlich haben sich die USA geweigert, FISA 702 zu reformieren und Nicht-US-Bürger:innen einen angemessenen Schutz ihrer Privatsphäre zu gewähren. Es besteht Einigkeit darüber, dass FISA 702 gegen Grundrechte verstößt: in den USA gegen den 4. Verfassungszusatz und in der EU gegen die Artikel 7, 8 und 47 der Grundrechtecharta - aber die USA beharren weiterhin darauf, dass Ausländer:innen in den USA keine verfassungsmäßigen Rechte haben - daher stellt aus dieser Sicht die Verletzung ihres Rechts auf Privatsphäre kein Problem dar.
• FISA 702 muss bis Ende 2023 verlängert werden, da es im US-Gesetz eine "Verfallsklausel" gibt. Dies wäre die perfekte Gelegenheit gewesen, das US-Gesetz zu verbessern, aber angesichts des neuen Abkommens mit der EU gibt es für die USA wenig Grund, FISA 702 zu reformieren.

Insgesamt ist das neue "Trans-Atlantic Data Privacy Framework" eine Kopie von Privacy Shield (von 2016), das wiederum eine Kopie von "Safe Harbor" (von 2000) war. Da dieser Ansatz bereits zweimal gescheitert ist, gab es keine rechtliche Grundlage für den Kurswechsel - die einzige zugrundeliegede Logik des Abkommens ist politischer Natur.

Max Schrems, Vorsitzender von noyb: "Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. Genau wie 'Privacy Shield' basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken. Wieder einmal scheint die derzeitige Kommission dieses Chaos auf die nächsten Kommission abzuwälzen. FISA 702 muss von den USA noch in diesem Jahr verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jegliches Druckmittel verloren, um eine Reform von FISA 702 zu erreichen."

Aller guten Dinge sind drei? Bereits im Zuge der Snowden-Enthüllungen im Jahr 2013 kündigte die Europäische Kommission an, sie werde das Vertrauen "wiederherstellen" und "Safe Harbor sicherer machen" und einen "Umbrella" ausarbeiten. Im Jahr 2016 wurde Journalisten mitgeteilt, dass der "Privacy Shield" bedeuten würde, dass "die USA der EU zum ersten Mal eine schriftliche Zusicherung gegeben haben", dass es "klare Beschränkungen, Schutzmaßnahmen und Überprüfungsmechanismen" und sogar "keine wahllose Massenüberwachung" geben würde. Keine dieser Behauptungen und Systeme hat sich vor dem EuGH als stabil erwiesen. In der aktuellen Kommunikation der Kommission werden dieselben (sich ständig wiederholenden) Behauptungen nun erneut aufgestellt.

Max Schrems:"Wir hatten jetzt 'Harbors', 'Umbrellas', 'Shields' und 'Frameworks' - aber keine substantielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei "neu", "robust" oder "wirksam", reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht."

Anfechtung beim EuGH in der Schublade. Jeder, dessen personenbezogene Daten im Rahmen des neuen Abkommens übermittelt werden, kann bei den Datenschutzbehörden oder Gerichten Rechtsmittel einbringen. noyb hat bereits verschiedene Verfahrensoptionen vorbereitet, um das neue Abkommen erneut vor den EuGH zu bringen. Wir gehen davon aus, dass das neue Abkommen in den nächsten Monaten von den ersten Unternehmen verwendet wird, wodurch der Weg für eine Anfechtung geöffnet wird. Es ist nicht unwahrscheinlich, dass eine Anfechtung bis Ende 2023 oder Anfang 2024 dem EuGH von einem nationalen Gericht vorgelegt wird. Der EuGH hätte dann sogar die Möglichkeit, das neue Abkommen für die Dauer des Verfahrens auszusetzen. Eine endgültige Entscheidung wäre 2024 oder 2025 zu erwarten. Unabhängig davon, ob eine solche Anfechtung erfolgreich sein wird, wird dies in etwa ein bis zwei Jahren Klarheit über das "Trans-Atlantic Data Privacy Framework" bringen.

Max Schrems: "Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satt haben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen. Im Sinne der Rechtssicherheit und der Rechtsstaatlichkeit werden wir dann eine Antwort darauf bekommen, ob die kleinen Verbesserungen der Kommission ausreichend waren oder nicht. In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt - jetzt einfach zwei weitere Jahre an Rechtsunsicherheit hinzugefügt."

Justizkommissar ignoriert Rechtsstaatlichkeit und Bürgerrechte. Dieser dritte Versuch, weitgehend dieselbe rechtswidrige Entscheidung zu treffen, wirft auch die Frage nach der Rolle der Europäischen Kommission als Hüterin der EU-Verträge auf. Anstatt die Rechtsstaatlichkeit aufrechtzuerhalten, erlässt die Kommission einfach immer wieder eine ungültige Entscheidung - trotz eindeutiger Urteile des EuGH. Trotz großer Empörung nach den Snowden-Enthüllungen in der EU und wiederholter Aufforderungen des Europäischen Parlaments, Maßnahmen zu ergreifen, scheint die Kommission den Beziehungen zu den USA und dem wirtschaftlichen Druck auf beiden Seiten des Atlantiks Vorrang vor den Rechten der Europäer:innen und den Anforderungen des EU-Rechts zu geben.

Max Schrems:"Die Kommission soll die 'Hüterin der Verträge' und die Verteidigerin der 'Rechtsstaatlichkeit' in der EU sein. Sie zelebriert diese Rolle, wenn es um die Verletzung von EU-Recht durch die Mitgliedstaaten geht. Jetzt ignoriert die Kommission selbst zum dritten Mal den Europäischen Gerichtshof."