We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.
Erste Reaktion: Executive Order zur US-Überwachung reicht wohl nicht
Mehr als sechs Monate nach einer "grundsätzlichen Einigung" zwischen der EU und den USA hat US-Präsident Joe Biden heute die lang erwartete Executive Order unterzeichnet, mit der die Urteile des Europäischen Gerichtshofs (EuGH) umgesetzt werden sollen. Der EuGH verlangte, dass (1) die Überwachung durch die USA im Sinne von Artikel 52 der Charta der Grundrechte (GRC) verhältnismäßig ist und (2) dass gemäß Artikel 47 GRC ein gerichtlicher Rechtsbehelf eingelegt werden kann. Bidens neue Durchführungsverordnung scheint an beiden Anforderungen zu scheitern. Es gibt weiterhin US-Massenüberwachung und ein "Gericht" das kein Gericht ist.
Executive Order. Eine Executive Order ist eine interne Dienstanweisung des US-Präsidenten mit Gültigkeit innerhalb der US-Regierung, aber kein Gesetz. Zuvor wurden die Details der Massenüberwachung durch eine Executive Order von Präsident Obama aus dem Jahr 2014 (genannt PPD-28) geregelt. Es ist zwar erfreulich, dass unsere Fälle vor dem EuGH zu einer Reaktion des US-Präsidenten führen, doch kann eine interne Anordnung des US-Präsidenten das Problem nicht lösen:
Zwei Versionen von "Verhältnismäßigkeit" führen zu weiterer Massenüberwachung. Die neue Executive Order verwendet nun den Wortlaut des europäischen Rechts ("verhältnismäßig" und "notwendig" wie in Artikel 52 GRC) anstelle des bisherigen Begriffs "so maßgeschneidert wie möglich", der in Abschnitt 1(d) der PPD-28 verwendet wurde. Dies könnte theoretisch eines der Probleme lösen, wenn die USA das Wort "verhältnismäßig" wie der EuGH auslegen würden - was jedoch nicht der Fall ist.
Die USA haben jedoch auch klargestellt, dass sie trotz der Nutzung neuer Worte ihre Massenüberwachungssysteme ("bulk surveillance") nicht einschränken werden, sondern wird sogar explizit erlaubt (siehe Section 2 (c)(ii)) der Executive Order). Alle europäischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht "verhältnismäßig" (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt hat.
Wie ist das möglich? Es scheint, als hätten sich die EU und die USA zwar darauf geeinigt, das Wort "verhältnismäßig" in ein US-Dokument zu kopieren, aber nicht darauf, dass es dieselbe rechtliche Bedeutung haben soll. Laut US-Vertretern sollen die Worte nun eine (nicht weiter definierte) "amerikanische Bedeutung" haben. Hätte der Begriff tatsächlich die europäische Bedeutung, müssten die USA ihre Massenüberwachungssysteme grundlegend einschränken - was nicht geplant ist.
Max Schrems, Vorsitzender von noyb.eu: "Die EU und die USA sind sich über den Begriff 'verhältnismäßig' einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen - und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will."
"Gericht" ist in Wirklichkeit ein Verwaltungsorgan. Abgesehen davon, dass die Überwachung durch die USA weder rechtlich noch faktisch eingeschränkt wird, wird auch der in Artikel 47 GRC geforderten "Rechtsbehelf" nicht umgesetzt.
Statt einem "Gericht" im üblichen Sinne, wird ein Mitarbeiter des Director of National Intelligence gewisse Beschwerden entgegennehmen. Eine zweite Stelle, die nun "Data Protection Review Court" heißen soll, kann dann die Bearbeitung der Beschwerden überprüfen. Obwohl die Stelle "Court" heißt, ist es aber kein Gericht, sondern eine Stelle der Exekutive. Das neue System ähnelt sehr stark dem früheren "Ombudsmann", der vom EuGH bereits für nicht ausreichend erklärt wurde. Es ist fraglich, wie diese Beschwerdestelle in irgendeiner Weise dem in der EU-Charta geforderten "Gericht" entsprechen soll.
Urteile sind schon vor Klage festgeschrieben. Das Verfahren ist genauso grotesk wie vor dem Ombudsman: Man muss indirekt über eine Datenschutzbehörde eine Beschwerde an einen US-Beamten schicken. Dieser wird einem Antworten, dass die USA weder bestätigen noch verneinen dass man überwacht wurde. Außerdem wurde die potentielle Überwachung entweder rechtmäßig vorgenommen - und wenn nicht wurde das Problem behoben (siehe Section 3(c)(E) der Executive Order). Die gleiche (festgeschriebene) Antwort erhält man auch vom Data Protection Review Court. Section 3(i)(d)(H) schreibt fest, dass das "Gericht" immer mit der folgenden Klausel antworten muss: "the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation."
Max Schrems, Vorsitzender von noyb.eu: "Wir müssen den Vorschlag im Detail prüfen, aber auf den ersten Blick scheint es sich bei diesem 'Gericht' einfach nicht um ein Gericht zu handeln. Die Charta verlangt eindeutig einen 'gerichtlichen Rechtsbehelf' - die bloße Umbenennung einer Beschwerdestelle in ein 'Gericht' macht sie nicht zu einem Gericht. Es ist faszinierend, wie die Europäische Kommission von Polen oder Ungarn - zurecht - makellose Gerichtssysteme fordert, aber wenn es um die USA geht, brauchen wir plötzlich gar kein Gericht."
Weitere Recherchen und mögliche Anfechtung. noyb und seine Partner werden die Dokumente in den kommenden Tagen genauer analysieren und in den nächsten Tagen und Wochen eine detaillierte rechtliche Analyse veröffentlichen. Sollte die Entscheidung der Kommission nicht mit dem EU-Recht und den einschlägigen EuGH-Urteilen übereinstimmen, wird noyb wahrscheinlich eine weitere Klage vor dem EuGH einreichen. In der Zwischenzeit muss der US-Kongress FISA 702 im Jahr 2023 erneut genehmigen, was es dem US-Gesetzgeber ermöglichen könnte, sinnvolle Beschränkungen einzuführen, die die Rechte von internationalen Kund:innen wahren.
Max Schrems: "Wir prüfen das nun genauer, aber auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtlicher Basis. Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird."
EU und USA sind einig über Schutzniveau, können aber kein stabiles Abkommen schließen? Es erscheint unlogisch, dass zwei demokratische Länder, die sich über die grundlegenden Rechtsprinzipien des Schutzes der Privatsphäre einig sind, zum dritten Mal in Folge ein potentiell illegales Abkommen abschließen.
Der vierte Zusatzartikel zur US-Verfassung verankert das Recht auf Privatsphäre und verlangt, dass für jede Abhörmaßnahme ein hinreichender Verdacht und eine richterliche Genehmigung vorliegen muss. Ebenso verlangt der EuGH, dass die Überwachung zielgerichtet sein muss und eine richterliche Genehmigung oder Überprüfung gemäß der EU-Grundrechtecharta vorliegen muss.
Der einzige Unterschied scheint darin zu bestehen, dass die EU die Privatsphäre als ein Menschenrecht ansieht, das für alle Menschen gilt. Der vierte Verfassungszusatz gilt hingegen nur für US-Bürger:innen oder Personen mit ständigem Wohnsitz in den USA. Nach Ansicht der USA, haben Europäer:innen also kein Recht auf Privatsphäre. FISA 702 macht sich diesen Unterschied zwischen Inländern und Ausländern im US-Recht zunutze und erlaubt eine Überwachung, die zwar nach dem Vierten Verfassungszusatz illegal wäre - aber okay ist solange keine Amerikaner:innen ins Visier genommen werden.
Max Schrems:"Es ist erstaunlich, dass die EU und die USA tatsächlich darin übereinstimmen, dass Abhörmaßnahmen einen hinreichenden Verdacht und eine richterliche Genehmigung erfordern. Die USA sind jedoch der Ansicht, dass Ausländer kein Recht auf Privatsphäre haben. Ich bezweifle, dass die USA eine Zukunft als weltweiter Cloud-Anbieter haben, wenn internationale Kunden nach US-Gesetzen keine Rechte haben. Es ist empörend, wenn die Europäische Kommission akzeptiert, dass EU-Bürger Menschen zweiter Klasse sein sollen die nicht die gleichen Rechte wie US-Bürger verdienen."
US-Unternehmen müssen auch die DSGVO nicht einhalten. Auffallend ist auch, dass die Europäische Kommission nicht verlangt hat, dass die sogenannten "Privacy Shield"-Prinzipien an die seit 2018 geltende DSGVO angepasst werden. Die Grundsätze sind weitgehend identisch mit den früheren "Safe Harbor"-Grundsätzen, die im Jahr 2000 formuliert wurden. Das bedeutet, dass US-Unternehmen weiterhin europäische Daten verarbeiten können, ohne die DSGVO einzuhalten. So benötigen sie beispielsweise nicht einmal eine Rechtsgrundlage für die Verarbeitung, wie etwa eine Einwilligung. Unter dem Privacy Shield müssen US-Unternehmen den Nutzer:innen lediglich eine Opt-out-Option anbieten. Und das, obwohl der EuGH betont hat, dass es in den USA "der Sache nach gleichwertigen" Schutz geben muss, damit Daten frei in die USA übermittelt werden können.
Die nächsten Schritte. Jetzt wo die USA ihre Executive Order erlassen haben, muss die Europäische Kommission einen so genannten "Angemessenheitsbeschluss" gemäß Artikel 45 DSGVO ausarbeiten. Die Kommission muss den Europäischen Datenschutzausschuss (EDSA) und die europäischen Mitgliedstaaten anhören, was einige Monate dauern kann. Während eine negative Stellungnahmen des EDSA nicht bindend ist, könnten die Mitgliedstaaten den Beschluss verwerfen - was jedoch nicht erwartet wird. Sobald die Entscheidung veröffentlicht ist, können sich die Unternehmen bei der Übermittlung von Daten in die USA darauf berufen und Nutzer:innen können diese vor den nationalen und europäischen Gerichten anfechten. Dies wird nicht vor dem Frühjahr 2023 erwartet, obwohl ursprünglich der Hebst 2022 geplant war.
