Die meisten Datenübermittlungen zwischen der EU und den USA beruhen auf dem "Transatlantischen Datenschutzrahmen" (TAFPF) oder den sogenannten "Standardvertragsklauseln" (SCC). Beide Instrumente stützen sich auf schwache US-Gesetze, unverbindliche Verordnungen und Rechtsprechung, die derzeit angegriffen werden - und in den nächsten Monaten wahrscheinlich in die Luft fliegen werden. Da die Instabilität des US-Rechtssystems unbestreitbar ist und die USA offene Anzeichen von Feindseligkeit gegenüber der EU zeigen, ist es an der Zeit, zu überdenken, wohin unsere Daten fließen - und wie lange das rechtliche Kartenhaus, das die EU errichtet hat, noch Bestand hat.
Blog-Beitrag von Max Schrems
Mehrere Ebenen des US- und EU-Rechts. Die "Brücke", die die Europäische Kommission und frühere demokratische US-Regierungen gebaut haben, um die Verarbeitung personenbezogener Daten aus der EU in den USA zu ermöglichen, stützt sich nicht auf ein einfaches, stabiles US-Datenschutzgesetz. Stattdessen stützten sich die EU und die USA auf einen wilden Flickenteppich aus tonnenweise internen Richtlinien und Verordnungen, Rechtsprechung des Obersten Gerichtshofs, faktischen "praktiken" oder Executive Orders.
In dem Versuch, über die Runden zu kommen, stützen sich diese Schichten nicht gegenseitig, sondern sind aneinandergereiht, um eine möglichst dünne Verbindung zwischen dem EU- und dem US-Recht herzustellen - was bedeutet, dass das Scheitern von nur eines das bedeutet, dass der Ausfall eines der vielen rechtlichen Elemente die meisten Datenübertragungen zwischen der EU und den USA sofort illegal machen würde. Wie bei einem Kartenhaus wird die Instabilität einer einzelnen Karte das Haus zum Einsturz bringen.
Angesichts des enorm destruktiven Ansatzes der Trump-Administration sind viele Elemente der EU-US-Übertragungen unter Beschuss - oft nicht aufgrund direkter Absichten. Stattdessen greift die derzeitige US-Regierung das US-Rechtssystem und das Verfassungsgefüge (mit Hilfe eines stark politisierten Obersten Gerichtshofs) auf breiter Front an - mit vielen potenziellen Folgen für den Datenverkehr zwischen der EU und den USA.
1. Wahrscheinlicher Punkt des Scheiterns: Die Unabhängigkeit der FTC. Am vergangenen Montag verhandelte der Oberste Gerichtshof der USA einen Fall über die Unabhängigkeit der Federal Trade Commission (FTC). Seit einem Fall aus dem Jahr 1935 (Humphreys Vollstrecker) ist es Rechtsprechung des Obersten Gerichtshofs der USA, dass der US-Gesetzgeber "unabhängige" Stellen innerhalb der Exekutive schaffen kann, die in gewisser Weise vom US-Präsidenten isoliert ist.
Eine bisher nur am Rande vertretene Theorie, wonach nach der US-Verfassung alle Befugnisse der Exekutive nur einer Person (dem Präsidenten) zustehen, hat nun unter konservativen US-Juristen an Boden gewonnen. Diese so genannte "theorie der einheitlichen Exekutive" würde jede unabhängige Behörde wie die FTC in der Regel verfassungswidrig machen. Alle Befugnisse müssten auf den Präsidenten konzentriert werden.
In Trump vs. Slaughterhörte der Oberste Gerichtshof der USA nun die Argumente eines FTC-Kommissars, der von Trump trotz aller Unabhängigkeitsgarantien in 15 U.S.C. § 41. Aufgrund der Kommentare und Fragen der Richter wird weithin angenommen (siehe z.B. The Guardian, CNN oder SCOTUS-Blog), dass die konservative Mehrheit des Obersten Gerichtshofs der USA sich auf die Seite von Trump stellen und (in gewissem Maße) der Theorie der "einheitlichen Exekutive" folgen und die Unabhängigkeit der FTC aufheben wird.
In Kombination mit den Urteilen des Obersten Gerichtshofs der USA über absoluten Immunität des Präsidentenwürden sich die USA damit zunehmend auf ein System zubewegen, in dem der Präsident ein absoluter "König" ist - zumindest für vier Jahre.
Aus europäischer Sicht ist die Unabhängigkeit der FTC von entscheidender Bedeutung, da Artikel 8 Absatz 3 der EU-Grundrechtecharta vorschreibt, dass die Verarbeitung personenbezogener Daten von einer "unabhängigen Stelle" überwacht und durchgesetzt wirdunabhängigen" Stelle. Im TADPF (und zuvor in den Systemen "Safe Harbor" und "Privacy Shield") haben sich die EU und die USA darauf geeinigt, diese Befugnisse der FTC in den USA zu übertragen, die eine solche "unabhängige" Stelle ist. Abschnitt 2.3.4. der TADPF-Entscheidung der Europäischen Kommission hebt die Rolle der FTC bei der Durchsetzung hervor. Erwägungsgrund 61 und Fußnote 92 verweisen ausdrücklich auf 15 U.S.C. § 41 als Grundlage für die notwendigen Unabhängigkeitsgarantien in den USA.
Kein anderes Element des TADPF verfügt über die erforderlichen Ermittlungsbefugnisse und die Unabhängigkeit. Es gibt zwar auch private Schiedsgerichte, aber denen fehlen jegliche Ermittlungsbefugnisse oder entsprechende Durchsetzungsbefugnisse. Folglich muss jeder TADPF-Teilnehmer entweder der unabhängigen FTC oder dem DoT (für Transportunternehmen) unterstellt werden.
Trump v. Slaughter soll spätestens im Juni oder Juli 2026 entschieden werden, könnte aber auch schon früher entschieden werden. Es ist also an der Zeit, sich anzuschnallen und sich vorzubereiten.
Ein Weg könnte darin bestehen, auf SCCs oder BCRs auszuweichen, da diese keine unabhängige US-Behörde für die Durchsetzung erfordern, sondern auch erlauben, das Abkommen einer EU-Datenschutzbehörde zu unterstellen. Es stellt sich jedoch auch die Frage, wie bereits übermittelte Daten in ein von der EU genehmigtes System oder sogar in die EU im Allgemeinen "zurückgebracht" werden können. Darüber hinaus könnten SCCs und BRCs auch von massiven Änderungen im US-Recht betroffen sein (siehe unten).
2. Wahrscheinlicher Punkt des Scheiterns: Datenschutz-Überprüfungsgericht. Unmittelbar im Zusammenhang mit Trump v. Slaughter, bei dem es um die Überwachung im privaten Sektor geht, stellt sich parallel dazu die Frage, inwieweit der so genannte "Data Protection Review Court" (DPRC) noch als realistischer Rechtsbehelf gegen die Überwachung durch die US-Regierung herangezogen werden kann.
Der DPRC hat viele rechtliche Probleme (mit diesen Problemen könnte man leicht eine Doktorarbeit füllen), aber vor allem ist der DPRC nicht ein echtes US-Gericht - auch weil es nicht per Gesetz eingerichtet wurde. Es handelt sich vielmehr um eine Gruppe von Personen innerhalb der Exekutive, die lediglich durch eine Executive Order von Biden (EO 14.086, siehe Details unten). Diese Personengruppe kann bestenfalls als "Gericht" im Sinne von Artikel 6 EMRK bezeichnet werden, aber selbst diese Behauptung ist wahrscheinlich eine Übertreibung.
Der springende Punkt ist, dass in Bezug auf Trump vs. Slaughterdie "Unabhängigkeit" dieses sogenannten "Gerichts" nicht einmal gesetzlich festgelegt ist (wie 15 USC § 41 für die FTC), sondern durch EO 14.086 also eine rein interne Präsidialverordnung, die jederzeit geändert werden kann.
Logischerweise, wenn der Oberste Gerichtshof in Trump vs. Slaughter feststellt, dass unabhängige Exekutivorgane verfassungswidrig sind, könnte es logischerweise sein, dass alle Unabhängigkeitsansprüche in EO 14.086 selbst (logischerweise) ebenfalls verfassungswidrig sind. Dies hängt sehr stark von der Argumentation ab, die der Oberste Gerichtshof in Trump vs. Slaughterab, aber es ist sehr wahrscheinlich, dass dies eine direkte Folge eines weiter gefassten Urteils sein wird.
Dieses Problem würde weit über das TADPF hinausgehen, denn andere Transfersysteme (SCC oder BCR) stützen sich auf so genannte "Transfer Impact Assessments" (TIAs), die ihrerseits in der Regel auf EO 14.086 und die DPRC als Grund dafür anführen, warum ein EU-Kontrolleur zu dem Schluss gekommen ist, dass das US-Recht SCCs oder BCRs nicht über das hinausgehen darf, was nach Artikel 7, 8 und 47 der Charta zulässig ist.
Fallen diese Elemente weg, bleibt nur noch Artikel 49 DSGVO für "notwendige" Übermittlungen (z. B. Senden einer E-Mail in die USA, Aufgabe einer Bestellung oder Buchung eines Hotels oder Fluges), aber für ein "Outsourcing" an US-amerikanische Cloud-Anbieter oder SaaS-Anbieter gäbe es in der Regel keine tragfähige Rechtsgrundlage mehr.
3. Wahrscheinlicher Punkt des Scheiterns: EO 14.086. Neben den Änderungen im US-Verfassungsrecht ist auch Trump selbst ein großer Risikofaktor. Wie oben erläutert, stützen sich grundsätzlich alle Formen der Datenübermittlung zwischen der EU und den USA auf eine Biden-Exekutivverordnung (EO 14.086). Trump hat wiederholt damit gedroht, diese EO zu kippen. Bereits am Tag seines Amtsantritts deuteten Medienberichte darauf hin, dass er alle Biden-EOs blindlings umstoßen wird. Am Ende unterzeichnete er EO 14.148unterzeichnet, mit der lediglich 68 Biden-EOs und 11 Biden Presidential Memoranda aufgehoben wurden - nicht aber EO 14.086.
EO 14.148 fordert, dass alle EOs zur "nationalen Sicherheit" innerhalb von 45 Tagen vom Nationalen Sicherheitsberater überprüft werden müssen - dies hätte bis zum 06.03.2025 geschehen müssen. Es gab keine Berichte über daraus resultierende Änderungen. Dies bedeutet nicht, dass die EO 14.086 nicht zwischenzeitlich (teilweise) gekippt wurde, da der US-Präsident kann "geheim" EOs erlassen, die die veröffentlichte EO 14.086 ändern. Angesichts der sprunghaften Handlungen von Trump ist dies kein unwahrscheinliches Szenario.
In einem jüngsten Ausbruch über Bidens Verwendung der sogenannten Autopen hat Trump alle mit Autopen unterzeichneten EOs von Biden in einem Beitrag auf Truth Social. Es ist völlig unklar, ob es sich bei EO 14.086 um eine solche "Autopen"-EO handelt und ob Trumps Social-Media-Postings auf die formale Aufhebung dieser EOs hinauslaufen. Gleichzeitig muss man sich fragen, ob sich irgendein NSA-Beamter noch allzu sehr an diese EOs gebunden fühlt. Es ist auch nicht unwahrscheinlich, dass auf das Truth Social Posting eine formelle EO folgt, die diese Biden EOs aufhebt.
Ein weiteres Indiz dafür, dass EO 14.086 auf dem Spiel stehen könnte, ist die Agenda des "Project 2025" für die konservative Übernahme der US-Regierung. Auf seite 225wettert der Autor gegen EO 14.086, die EU und die angeblich unfaire Behandlung der USA - EO 14.086 steht also eindeutig auf der Tagesordnung. Um die Sache noch absurder zu machen, ist der Autor (Dustin Carmack) jetzt der neue "republikanische" Lobbyist von Meta - einem Unternehmen, das sich auf EO 14.086 beruft, um seine Datenübertragungen zwischen der EU und den USA zu rechtfertigen, die in der Rechtssache Schrems I angefochten wurden Schrems I und Schrems II.
Insgesamt könnte die EO 14.086 jeden Moment fallen - und mit ihr der TADPF und damit fast alle TIAS und die meisten SCC, BCR.
Viele andere Optionen. Auch wenn dies den Rahmen dieses Blogbeitrags sprengen würde, gibt es viele weitere Fragen zu den vielen anderen Elementen, die im TADPF verwendet werden.
Es gibt natürlich immer noch die grundsätzliche Frage, ob der TADPF jemals die "wesentliche Gleichwertigkeit". Zum Beispiel:
- Die Schutzmaßnahmen in EO 14.086 waren weitgehend eine 1:1-Kopie einer Obama-EO namens PPD-28, die vom EuGH in Schrems II.
- Die extrem hohen Belastungen für Rechtsbehelfe oder das Fehlen eines echten Rechts auf Anhörung vor dem DPRC sind meilenweit von Artikel 47 der Charta entfernt.
- Die kommerziellen Datenschutzgrundsätze des TADPF verlangen nicht einmal eine Rechtsgrundlage (wie in Artikel 8 Absatz 2 der Charta und Artikel 6 Absatz 1 der Datenschutz-Grundverordnung gefordert), sondern lediglich die Möglichkeit eines Opt-out.
Darüber hinaus gab es Fragen zur Unabhängigkeit des PCLOB oder zur starken Abhängigkeit der EU von (ungeschriebenen) "US-Praktiken" - obwohl Trump gezeigt hat, dass er und seine Regierung nicht einmal Gesetze respektieren, geschweige denn frühere "praktiken".
Was können wir tun? Meiner Meinung nach müssen sich die EU-Regierungen und die für die Verarbeitung Verantwortlichen (mehr denn je) dringend auf die sehr wahrscheinlichen Auswirkungen auf den Datentransfer zwischen der EU und den USA in den nächsten Monaten vorbereiten. Die Nationale Sicherheitsstrategie der USA hat deutlich gemacht, dass die Trump-Administration Europa eher als Feind denn als Partner ansieht und dass die europäische Digitalgesetzgebung ein Kernpunkt der wahrscheinlichen US-Aggression ist.
Die einzige langfristige Lösung besteht (leider) darin, jegliche Datenübermittlung an US-Anbieter einzuschränken, sofern diese "besitz, Gewahrsam oder Kontrolle" über europäische personenbezogene Daten haben. Es mag weitere Angebote geben, bei denen jeder faktische Zugriff aus den USA technisch unmöglich ist - bisher ist jedoch der einzige realistische Schutz, der auf dem Markt verfügbar ist, der Wechsel zu Europäische Anbieter.
