Am Montag entschied der Oberste Gerichtshof der USA in der Rechtssache „Trump gegen Slaughter“, dass die US-amerikanische Federal Trade Commission („FTC“) nicht mehr unabhängig sein darf. Seit dem Jahr 2000 stützt sich die EU auf die „unabhängige“ FTC als Aufsichtsbehörde für das EU-US-Datenabkommen. Laut EU-Verträgen muss die Datenschutzaufsicht unabhängig sein. Im aktuellen EU-US-Abkommen stützt sich die Europäische Kommission sogar 259 (!) Mal auf die unabhängige FTC – die jetzt Trump untersteht. Max Schrems: „Da es in den USA keine unabhängigen Behörden mehr gibt, fordern wir die Kommission auf, die Angemessenheitsentscheidung für die USA in einem geordneten Prozess aufzuheben.“
- Durchführungsbeschluss (EU) 2023/1795 über das "EU-US Data Privacy Framework" (EUR-Lex)
- Urteil des US Supreme Courts in der Rechtssache Trump v. Slaughter
- noyb-Schreiben an die Europäische Kommission
Das EU-US Data Privacy Framework. Seit 1995 verbietet die EU grundsätzlich den Export personenbezogener Daten in Drittländer. Das soll sicherstellen, dass die EU-Datenschutzvorschriften nicht einfach durch die Übermittlung von Daten ins Ausland umgangen werden können. Zwar gibt es Ausnahmen für notwendige Übermittlungen – das kann von der Buchung eines Hotels bis hin zu komplexen Transaktionen reichen –, doch viele EU-Unternehmen haben darüber hinaus die Verarbeitung personenbezogener Daten an US-Cloud-Anbieter ausgelagert. Seit dem Jahr 2000 hat die Europäische Kommission wiederholt anerkannt, dass die USA im Hinblick auf den Schutz personenbezogener Daten ein „angemessenes“ Land sind – und damit den freien Datenverkehr zwischen der EU und den USA ermöglicht. Der Europäische Gerichtshof (EuGH) hat die beiden vorherigen Entscheidungen der Kommission im sogenannten „Schrems I“-Urteil (das „Safe Harbour“ außer Kraft setzte) sowie in der „Schrems II“-Entscheidung (die das „Privacy Shield“ außer Kraft setzte) für nichtig erklärt. Das geschah aufgrund der extremen US-Überwachungsgesetze und dem fehlenden Rechtsschutz in den USA. Trotzdem hat die Europäische Kommission im Jahr 2023 ein drittes Abkommen zwischen der EU und den USA (das sogenannte „EU-US Data Privacy Framework“) abgeschlossen. Das neue System war weitgehend eine Kopie der zuvor für nichtig erklärten Entscheidungen.
EU-Recht verlangt unabhängige Behörden. EU-Vertragsrecht (also der „verfassungsrechtliche“ Rahmen der EU) verlangt, dass Datenschutzbehörden "unabhängig" sein müssen. Konkret findet sich diese Anforderung in Artikel 16(2) AEUV sowie Artikel 8(3) der Charta der Grundrechte. Da Drittländer über „im wesentlichen gleichwertige“ Datenschutzgesetze verfügen müssen, ist auch eine unabhängige Aufsicht sicherzustellen. Bislang haben die USA die „unabhängige“ FTC als US-Datenschutzbehörde benannt, um die EU-Anforderung zu erfüllen. Die EU wiederum hat sich in ihrer Entscheidung zum Datenverkehr zwischen der EU und den USA sage und schreibe 259 (!) Mal auf die Aufsicht durch die FTC gestützt.
Max Schrems: „Entscheidend ist, dass der verfassungsrechtliche Rahmen der EU eine unabhängige Aufsicht vorschreibt. Die einzige Möglichkeit, dies zu ändern, wäre ein einstimmiger Beschluss aller EU-Mitgliedstaaten zur Änderung der EU-Verträge.“
Die Forderung nach einem unabhängigen Gericht. Darüber hinaus hat der EuGH betont, dass unabhängige Gerichte über die staatliche Überwachung durch die USA entscheiden müssen. Da die USA nicht in der Lage waren, entsprechende Gerichte einzurichten, schuf die Biden-Regierung den „Data Protection Court of Review“ . Obwohl dieses als „Gericht“ bezeichnet wird, handelt es sich tatsächlich um eine Behörde innerhalb des US-Justizministeriums. Es ist lediglich dank einer Exekutivverordnung (EO) des ehemaligen Präsidenten „unabhängig“. Diese kann von Trump jederzeit geändert werden und für den Präsidenten nicht bindend.
„Slaughter“-Urteil verbietet unabhängige Behörden. In einer 180-Grad-Wende gegenüber der bisherigen Rechtsprechung hat die konservative Mehrheit am Obersten Gerichtshof der USA nun entschieden, dass die Unabhängigkeit der FTC verfassungswidrig ist. Dies folgt der "Unitary Executive Theory", wonach der US-Präsident die Macht über alle US-Behörden haben muss. Das Gericht erklärte alle US-Gesetze, die Behörden unabhängig machen, für verfassungswidrig. Da sich die EU auf die „Unabhängigkeit“ der FTC als Datenschutzbehörde stützte, ist die gesamte Struktur des EU-US Data Privacy Framework gerade zusammengebrochen.
Max Schrems: „Selbst nach der Logik der Europäischen Kommission ist die Grundlage für jegliches EU-US-Datenabkommen hinfällig. Wir fordern die Kommission auf, einen geordneten Ausstieg aus der US-Cloud einzuleiten – was nicht einfach, aber leider unvermeidbar ist. Die Kommission hat unter dem Druck der Industrie ein rechtliches Kartenhaus errichtet. Nun, da dieses offensichtlich zusammenbricht, muss sie Verantwortung übernehmen.“
Die Auswirkungen sind nicht unbegrenzt. Selbst wenn die gesamte faktische Grundlage des EU-Beschlusses weggefallen ist, bleibt der Beschluss der Kommission formal in Kraft, bis entweder die Kommission ihn aufhebt oder der EuGH ihn für nichtig erklärt. Es gibt daher keine unmittelbaren Auswirkungen durch die Änderung in der US-Verfassung. Die DSGVO regelte zudem nur die Übermittlung personenbezogener Daten. Nicht personenbezogene Daten können weiterhin frei fließen. Schlussendlich erlaubt Artikel 49 DSGVO absolut notwendige Datenübermittlungen in jedes Drittland. Artikel 49 erlaubt es jedoch nicht, Daten strukturell aus der EU auszulagern, sofern dies nicht unbedingt erforderlich ist. Genau das passiert aber aktuell in großem Maß.
Auch Standardvertragsklauseln und BCRs sind betroffen. Auch wenn sich manche Unternehmen vielleicht nicht direkt auf das EU-US-Rahmenabkommen stützen und stattdessen formell Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) nutzen, stützen sie sich in der Regel auch auf eine interne Folgenabschätzung. Diese verweisen wiederum auf ehemals unabhängige US-Exekutivorgane wie das PCLOB oder den Data Protection Review Court. Die Entscheidung des Obersten Gerichtshofs betrifft daher in der Regel auch diese Unternehmen, selbst wenn sie sich nicht auf die FTC stützen. Anders als Unternehmen, die sich auf den formellen Beschluss der Kommission stützen, müssen sie ihre Folgenabschätzung unverzüglich aktualisieren – und logischerweise zu dem Schluss kommen, dass Datentransfers nicht mehr rechtmäßig sind.
Nächste Schritte: Die Kommission muss den EU-US-Deal aufheben. noyb hat ein formellen Brief an die Europäische Kommission geschickt und die Kommission darin aufgefordert das EU-US-Datenabkommen ordnungsgemäß aufzuheben. Politisch haben sich viele EU-Mitgliedstaaten bereits einem Ansatz der „digitalen Souveränität“ zugewandt und angekündigt, sich von US-Dienstleistern unabhängig zu machen. Auch einige US-Dienstleister bieten eine (mehr oder weniger) getrennte Datenverarbeitung für die EU an. Da die USA jedoch weiterhin massiven Druck auf die EU ausüben, den Fluss personenbezogener Daten aufrechtzuerhalten, wird noyb in den kommenden Wochen auch eine Klage einreichen. Das gibt dem EuGH die Möglichkeit, das derzeitige Abkommen für nichtig zu erklären. Ein solches Gerichtsverfahren dauert in der Regel aber zwei bis drei Jahre, bis eine endgültige Entscheidung vorliegt.
