Offener Brief zur Zukunft des Datentransfers zwischen der EU und den USA
Während viele Details noch unklar sind, werden immer mehr Einzelheiten über das geplante EU-US-Datentransferabkommen bekannt. Diese Details scheinen mehr Fragen hinsichtlich der Stabilität eines neuen Angemessenheitsabkommens durch die Europäische Kommission aufzuwerfen. Angesichts dieser besorgniserregenden Entwicklungen hat der Hauptkläger in den Fällen "Schrems I" und "Schrems II" den folgenden offenen Brief (PDF) an die relevanten Interessengruppen geschickt:
Sehr geehrter Kommissar Didier Reynders,
Sehr geehrte Ministerin Gina Raimondo,
Sehr geehrte Pauline Dubarry,
Sehr geehrte EDPB-Vorsitzende Andrea Jelinek,
Sehr geehrter LIBE-Vorsitzender Juan Fernando López Aguilar,
Wir nehmen die Ankündigung einer grundsätzlichen Einigung über einen neuen transatlantischen Datenschutzrahmen zur Kenntnis. Wir gehen davon aus, dass die "grundsätzliche Einigung" hauptsächlich auf einer politischen Übereinkunft zwischen Kommissionspräsidentin von der Leyen und US-Präsident Joe Biden beruht, aber nicht das Ergebnis wesentlicher Änderungen des US-Rechts als Reaktion auf das EuGH-Urteil ist. Dieser Ansatz scheint das "Privacy Shield"-Abkommen zu wiederholen und ist äußerst bedenklich.
Wir sind uns bewusst, dass die Ankündigung nur grobe Ideen und Schlagzeilen skizziert, der endgültige Text aber noch ausgehandelt werden muss. Die folgenden vorläufigen Bemerkungen beruhen daher auf der begrenzten politischen Ankündigung und weiteren Einzelheiten, die die EU und die USA informell in verschiedenen öffentlichen oder halböffentlichen Formaten mit den Beteiligten geteilt haben.
Auf der Grundlage dieser Erklärungen gehen wir davon aus, dass die USA jeglichen wesentlichen Schutz für Nicht-US-Personen abgelehnt haben und Nicht-US-Personen weiterhin diskriminieren, indem sie grundlegende Schutzmaßnahmen wie die gerichtliche Genehmigung einzelner Überwachungsmaßnahmen verweigern
Wir gehen davon aus, dass sich das geplante Abkommen weitgehend auf US-Exekutivanordnungen stützen wird. Nachdem wir mit US-Überwachungsexperten und Anwälten zusammengearbeitet haben, scheinen solche Anordnungen strukturell unzureichend zu sein, um die Anforderungen des EuGH zu erfüllen.
Auf der Grundlage der bekannten Eckpunkte warnen wir die Verhandlungsführer auf beiden Seiten des Atlantiks, den Rat der EU, den EDPB und den LIBE-Ausschuss des Europäischen Parlaments, dass der angekündigte Rahmen das gleiche Schicksal wie seine beiden Vorgänger vor dem EuGH zu erleiden droht, wenn in den Vereinigten Staaten keine substanziellen (legislativen) Reformen durchgeführt werden
Wir fordern die Verhandlungsführer auf, sich weiterhin für eine langfristige, die Privatsphäre wahrende Lösung für transatlantische Datenströme einzusetzen, um eine "Schrems III"-Entscheidung zu vermeiden. Der derzeitige Ansatz kann für Bürger und Unternehmen auf Jahre hinaus zu weiterer Rechtsunsicherheit führen - eine Befürchtung, die auch von Industrievertretern in Reaktion auf die "Grundsatzvereinbarung" geäußert wurde.
Wir sind uns voll und ganz bewusst, dass dies alles andere als eine leichte Aufgabe ist, aber die Investition in die richtige Lösung würde nicht nur sicherstellen, dass diese Angelegenheit langfristig gelöst wird, sondern auch den Bürgern und der Wirtschaft auf beiden Seiten zugute kommen.
Um dieses Ziel zu erreichen, legen wir die folgenden detaillierteren Beobachtungen und Empfehlungen vor:
(1) Anwendung einer korrekten Verhältnismäßigkeitsprüfung auf das US-Überwachungsrecht nach Artikel 8 CFR
Soweit wir wissen, planen die US-Verhandlungsführer keine Änderungen des US-Gesetzes in Bezug auf die materielle Überwachung, sondern wollen im Wesentlichen die Presidential Policy Directive 28 (PPD-28) on Signals Intelligence Activities durch eine neue Durchführungsverordnung ersetzen, die die Worte "notwendig und verhältnismäßig" enthalten würde
Es scheint, dass die Europäische Kommission darauf abzielt, dass diese Worte in einer US-Exekutivverordnung als gleichwertig mit der EU-Verhältnismäßigkeitsprüfung in Artikel 52 der Charta der Grundrechte angesehen werdener der Charta der Grundrechte (GRR)
Es ist jedoch schwer zu erkennen, wie die bestehende US-Überwachung nach europäischem Recht "notwendig und verhältnismäßig" sein kann, wenn der EuGH in zwei Urteilen ausdrücklich das Gegenteil festgestellt hat
Dieser Ansatz scheint zumindest aus den folgenden Gründen unzureichend zu sein:
- In beiden EuGH-Urteilen ("Schrems I" und "Schrems II") hat der Gerichtshof eindeutig festgestellt, dass die Überwachungsgesetze und -praktiken der USA gegen die Artikel 7, 8 und 47 der Grundrechtecharta verstoßen. Der EuGH hat sogar ausdrücklich festgestellt, dass diese Gesetze und Praktiken nicht "notwendig und verhältnismäßig" sind
- Das "Schrems II"-Urteil erging unter Berücksichtigung der PPD28 (der damals maßgeblichen Durchführungsrichtlinie). Wie die Europäische Kommission und die US-Regierung vor dem EuGH argumentiert haben, enthält die PPD-28 bereits die Formulierung "so maßgeschneidert wie möglich", was die Kommission als Äquivalent zur Verhältnismäßigkeit gemäß Artikel 52 CFR interpretiert hat. Der EuGH hat diese Idee zurückgewiesen. Wir verstehen nicht, wie Gesetze und Praktiken, die der EuGH ausdrücklich als nicht "notwendig und verhältnismäßig" eingestuft hat, den EuGH plötzlich überzeugen könnten, wenn sie anstelle von "somaßgeschneidertwie möglich" als "notwendig und verhältnismäßig" bezeichnet werden.
- Wir gehen davon aus, dass die USA zwar diese Formulierungen übernehmen, aber nicht zugestimmt haben, die Überwachung von nicht-amerikanischen Betroffenen in irgendeiner Weiseeinzuschränken . Insbesondere haben die USA nicht angekündigt, die Überwachungspraktiken im Rahmen der Gesetze und Programme (FISA 702, EO 12.333, "PRISM" und "Upstream"), die der EuGH in seinem Urteil ausdrücklich erwähnt, einzuschränken oder zu überarbeiten. Die USA haben auch nicht angedeutet, dass sie Änderungen vornehmen würden, um ihre Massenüberwachungspraktiken zu beenden. Die Überwachungsprogramme werden offenbar unverändert fortgesetzt. Der EuGH hat eine Verhältnismäßigkeitsprüfung nach Artikel 52 des EG-Vertrags durchgeführt und ist zu dem Schluss gekommen, dass die Überwachungspraktiken der USA diese Prüfung nicht bestanden haben. Würden die USA das Konzept der"Notwendigkeit und Verhältnismäßigkeit" übernehmen, würde dies bedeuten, dass sie diese Überwachungspraktiken einstellen oder stark einschränken müssten. Die Verhandlungsführer sind sich darüber im Klaren, dass dies nicht beabsichtigt ist.
- Die Verhandlungsführer scheinen daher lediglich die Worte des EuGH und der EuGH-Rechtsprechung auf eine US-Exekutivanordnung zu übertragen, werden aber wahrscheinlich eine andere Bedeutung als der EuGH anwenden, da dies andernfalls zu einem Stopp der Upstream- und Downstream-Programme (früher "PRISM") gemäß Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und einem Ende der Massenüberwachung gemäß der Executive Order 12.333 führen müsste.
- Wir sind außerdem besorgt darüber, dass Durchführungsverordnungen in der Regel keine Rechte Dritter begründen. Selbst wenn in einer Durchführungsverordnung eine Prüfung derErforderlichkeit und Verhältnismäßigkeitgemäß Artikel 52 CFR durchgeführt würde, könnte eine betroffene Person solche Einschränkungen möglicherweise nicht vor Gericht durchsetzen.
Zusammenfassend lässt sich sagen, dass dieser Ansatz lediglich die politischen, diplomatischen und PR-Erfordernisse beider Seiten zu befriedigen scheint, aber die Tatsache zu ignorieren scheint, dass der EuGH bereits festgestellt hat, dass die Überwachung durch die USA nicht "notwendig und verhältnismäßig" ist und die USA diese Praktiken fortsetzen werden.
(2) Schaffung eines sinnvollen Rechtsbehelfs nach Artikel 47 CFR
Soweit wir wissen, planen die US-Verhandlungsführer nicht, das US-Recht zu ändern, um Rechtsbehelfe für die betroffenen EU-Bürger zu schaffen
Stattdessen sollte die US-Exekutive ein neues "Gremium" innerhalb der Exekutive schaffen (ähnlich der früheren "Ombudsperson", aber unter der Autorität des Generalanwalts), das sich mit potenziellen Verstößen gegen US-Gesetze und Anordnungen der Exekutive befassen wird. Dieses Gremium mit der Bezeichnung "Datenschutz-Überprüfungsgericht" wird - anders als der Name vermuten lässt - kein "Gericht" sein, sondern ein Organ der Exekutive. Es wird Teil der Exekutive sein und nur über eine begrenzte Unabhängigkeit verfügen
Wir gehen davon aus, dass die betroffenen Personen in der EU während des Verfahrens keinen Zugang zu Informationen über sie betreffende potenzielle Überwachungsmaßnahmen haben werden und dass sie gegen die Entscheidungen dieses "Gerichts" keine Berufung bei einer völlig unabhängigen, nach Artikel 3 der US-Verfassung eingerichteten Justizbehörde einlegen können
Dieser Ansatz scheint zumindest in folgendem Punkt gegen die Rechtsprechung des EuGH zu verstoßen:
- Die vorgeschlagene Lösung sieht keinen gerichtlichen Rechtsbehelf vor, sondern eine Rechtsbehelfsstelle innerhalb der Exekutive - ähnlich der Ombudsperson , die der EuGH nicht nur für unverhältnismäßig, sondern für einen Verstoß gegen das Wesen von Artikel 47 GRC hielt. Die bloße Benennung eines Exekutivorgans als "Gericht" schafft noch keinen Rechtsbehelf. Der Ansatz scheint besser als "Ombudsperson Plus" zu sein.
- Es ist schwer zu erkennen, wie diese neue Einrichtung die formalen Anforderungen eines Gerichts gemäß Artikel 47 GRR erfüllen soll, insbesondere im Vergleich zu laufenden Fällen und Standards, die innerhalb der EU (z. B. in Polen und Ungarn) angewandt werden. Der EuGH würde aufgefordert, innerhalb der EU einen "hohen" Standard nach Artikel 47 CFR anzuwenden, aber einen "niedrigen" Standard nach Artikel 47 CFR für ein US-amerikanisches "Data Protection Review Court". Es wäre die Europäische Kommission, die den EuGH von diesen unterschiedlichen Standards gemäß Artikel 47 CFR überzeugen müsste.
- Wir gehen davon aus, dass daswir gehen davon aus, dass dieses neue "Gericht" weiterhin wie die derzeitige "Ombudsperson" arbeiten wird und weder bestätigen noch dementieren wird, ob eine Person überwacht wurde und ob ein Verstoß gegen US-Recht vorliegt. Wir gehen davon aus, dass die betroffene Person weder direkt noch indirekt die Möglichkeit haben wird, Beweise einzusehen, Offenlegung zu beantragen, den Gegner zu befragen oder ein begründetes Urteil zu erhalten . Damit wird es zu einer "Stempel-Institution" ohne praktische Relevanz.
- Dieser "Stempel"-Ansatz wird auch die Möglichkeiten für einen möglicherweise geplanten Rechtsbehelf bei einer nachgeordneten Stelle einschränken: Wenn das "Datenschutz-Überprüfungsgericht" verpflichtet ist, eine vorgegebene Standardantwort zu übermitteln, sehen wir nicht, dass es Raum für eine fundierte, sinnvolle materielle Beschwerde gibt. Wenn es in jedem Fall nur ein mögliches vordefiniertes Ergebnis gibt, scheint es kaum einen Fall zu geben, in dem ein Bürger einen Fehler geltend machen kann, da es nur eine mögliche Antwort zu geben scheint.
- Es stellt sich die grundsätzliche Frage, ob US-Doktrinen wie " staatsgeheimnisse" für diese Stellen gelten und jede Möglichkeit einer fairen Anhörung weiter einschränken. Wir gehen davon aus, dass sich die US-Regierung weiterhin auf diese Doktrinen stützen wird.
Zusammenfassend lässt sich sagen, dass wir nicht erkennen können, wie dieser neue "Gerichtshof" mit Artikel 47 CFR vereinbar sein soll, insbesondere im Lichte der jüngsten Rechtsprechung des EuGH zur Überwachung in den USA, aber auch im Lichte der Rechtsprechung des EuGH zu Rechtsmitteln und zur Rechtsstaatlichkeit in den EU-Mitgliedstaaten. Es scheint, dass der EuGH einen separaten Artikel 47 CFR-Test für die USA entwickeln müsste, um festzustellen, dass ein Exekutivorgan, das Gummistempel-Antworten produziert, tatsächlich eine Form des gerichtlichen Rechtsschutzes ist. Wir können nicht erkennen, wie eine solche Entwicklung in der Rechtsprechung des EuGH auch nur im Entferntesten realistisch oder gar wünschenswert ist.
(3) Die Notwendigkeit, den Schutz der Privatsphäre im Geschäftsverkehr zu aktualisieren
Zusätzlich zu den Unzulänglichkeiten der angekündigten grundsätzlichen Einigung im Zusammenhang mit den fehlenden Reformen der US-Überwachung und Gesetzewarnen wir die EU-Verhandlungsführer auch vor der Notwendigkeit, die Verpflichtungen zum Schutz kommerzieller Daten im Rahmen eines künftigen Abkommens zu aktualisieren.
Wir sind besorgt darüber, dass die Verhandlungsführer der EU und der USA anscheinend keine Aktualisierung der Grundsätze des Privacy Shields selbst planen. Soweit wir wissen, sollen die Privacy-Shield-Grundsätze und -Zertifizierungen nicht angetastet oder gar umbenannt werden. Dies ist äußerst problematisch, da die Grundsätze weitgehend auf den "Safe Harbor"-Prinzipien aus dem Jahr 2000 beruhen, die 2016 nur geringfügig aktualisiert wurden. Sie stehen nicht im Einklang mit den Anforderungen der Datenschutz-Grundverordnung, die seit 2018 gilt. Tatsächlich beziehen sich die Privacy-Shield-Grundsätze sogar auf die nicht mehr geltende Richtlinie 95/46/EG und nicht auf die DSGVO
Wir zeigen hier einige Beispiele für einige der vielen Mängel der Privacy-Shield-Grundsätze und wo sie von der DSGVO abweichen:
- Die Privacy-Shield-Grundsätze enthalten keine allgemeine Anforderung an eine Rechtsgrundlage, wie sie in Artikel 6 Absatz 1 der Datenschutz-Grundverordnung und Artikel 8 Absatz 2 der Charta der Grundrechte enthalten ister der Grundrechtecharta. Vielmehr gibt es nur einen sogenannten "notice & choice"-Ansatz mit einem Ablehnungsrecht (opt-out). Insbesondere weil die Grundsätze in der Regel für Unterauftragsverarbeiter gelten, die keinen direkten Kontakt zu einer betroffenen Person haben, scheint es kaum ein realistisches Szenario zu geben, in dem eine betroffene Person überhaupt über eine problematische Verarbeitung informiert wird.
- Die Privacy-Shield-Grundsätze verlangen nicht, dass die Datenverarbeitung "erforderlich" ist, wie in Artikel 5 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung und Artikel 52 Absatz 1 des Gemeinsamen Referenzrahmens gefordert, sondern nur "relevant".
- Die meisten Elemente des Auskunftsrechts nach Artikel 15 DSGVO und Artikel 8 Absatz 2 der Charta der Grundrechteder Charta der Grundrechte sind in den Grundsätzen des Privacy Shield nicht enthalten.
- Der Rechtsbehelfsmechanismusder in den Grundsätzen vorgesehene Rechtsbehelfsmechanismus basiert auf der privaten Schlichtung, einem System, das in der EU seit der Richtlinie 93/13/EWG für Verbraucher verboten ist. Die privaten Schlichtungsstellen werden von dem US-Unternehmen bezahlt und verfügen nicht über die erforderlichen "Überwachungs- und Aufdeckungsmechanismen" oder Befugnisse, die auch nur im Entferntesten mit den Befugnissen der EU-Aufsichtsbehörden gemäß Artikel 58 DSGVO vergleichbar sind. Damit ein Schiedsspruch nach US-Recht tatsächlich vollstreckbar ist, sind mehrere Schritte erforderlich.
Es gibt zahllose weitere Beispiele dafür, dass die Privacy-Shield-Grundsätze nicht "im Wesentlichen gleichwertig" mit der Datenschutz-Grundverordnung sind und es daher US-Wettbewerbern ermöglichen, auf dem europäischen Markt tätig zu werden, ohne das EU-Recht einzuhalten. Selbst wenn das Problem der US-Überwachung gelöst wäre, könnte jedes neue Abkommen vom EuGH mit der Begründung für ungültig erklärt werden, dass die Privacy-Shield-Grundsätze der Datenschutz-Grundverordnung nicht "im Wesentlichen gleichwertig" sind.
Die Zukunft der internationalen Datenübermittlung
Wir bedauern, dass die Verhandlungsführer diese Gelegenheit nicht genutzt haben, um sicherzustellen, dass die Menschenrechte auf Privatsphäre und Datenschutz auf beiden Seiten des Atlantiks und unabhängig von geografischem Standort oder Staatsangehörigkeit geschützt werden. Wir sind zutiefst davon überzeugt, dass ein globales Internet und der freie Fluss personenbezogener Daten nur möglich ist, wenn der Schutz nicht auf historischen und nationalistischen Konzepten wie der Staatsbürgerschaft beruht. Während die DSGVO und die Artikel 7, 8 und 47 CFR Menschenrechte sind und für jeden Nutzer gelten, unabhängig von nationalen Bindungen, folgen FISA 702 und die entsprechenden Exekutivanordnungen in den USA weiterhin einer archaischen Vorstellung von "US-Personen" und "Nicht-US-Personen".
Dies führt nicht nur zu Menschenrechtsverletzungen, sondern scheint auch die angeblichen Ziele dieser Überwachungsgesetze zu untergraben: Wir wissen, dass die meisten aktuellen Gefahren (wie einheimischer Terrorismus, Spionage und ähnliches) nicht auf der Staatsbürgerschaft der Zielperson beruhen.
Wir rufen die Verhandlungsführer und andere relevante Interessengruppen, einschließlich der US-Tech-Industrie, dazu auf, traditionelle nationalistische Konzepte in Frage zu stellen. Wenn das Internet keine nationalen Grenzen kennen soll, müssen auch unsere Datenschutzrechte und Überwachungsgesetze nationalistische Konzepte überwinden. Eine Möglichkeit wären internationale Vereinbarungen zwischen demokratischen Nationen.
Kapitel 5 der Datenschutz-Grundverordnung erlaubt bereits einen freien Datenfluss - wenn die Schutzmaßnahmen "im Wesentlichen gleichwertig" sind. Wir bedauern, dass die nationalen Überwachungsgesetze in den USA und der EU immer noch an Konzepten wie der Staatsbürgerschaft festhalten und bisher keine modernen Interoperabilitätsklauseln enthalten.
Dieser Konflikt zwischen (interoperablen) Datenschutzbestimmungen und (nationalistischen) Überwachungsgesetzen behindert den internationalen Datenverkehr, den Handel und die Konvergenz.
Reaktion auf eine neue Angemessenheitsentscheidung
Da unsere Rechtsstreitigkeiten stets darauf abzielen, eine dauerhafte Lösung zu gewährleisten, die sowohl den Schutz der Nutzerdaten als auch den freien Datenverkehr ermöglicht, wären wir die ersten, die ein solches Ergebnis begrüßen würden. Wir hoffen immer noch, dass ein endgültiger Text die in diesem Schreiben hervorgehobenen Mängel überwinden kann, und wir ermutigen die Verhandlungsführer auf beiden Seiten des Atlantiks, dringend benötigte Reformen des US-Rechts voranzutreiben.
Ohne diese Gesetzesänderungen sind wir besorgt, dass ein künftiges Abkommen (wieder) auf politischen Hoffnungen statt auf rechtlichen Realitäten beruhen würde. Besonders besorgt sind wir darüber, dass die Europäische Kommission wissentlich eine weitere rechtswidrige Angemessenheitsentscheidung erlassen könnte, um die Urteile des EuGH zu untergraben. Dies wird oft als "ein paar weitere Jahre kaufen" bezeichnet. Dies kann nicht nur zu einem endlosen Ping-Pong zwischen Brüssel und Luxemburg führen, sondern bedroht auch das Vertrauen in die Rechtsstaatlichkeit und den EuGH auf europäischer Ebene.
In Anbetracht dessen ist noyb bereit, jede endgültige Angemessenheitsentscheidung anzufechten, die nicht die erforderliche Rechtssicherheit schafft. Sollte ein solcher Rechtsstreit tatsächlich notwendig sein, werden wir uns besonders auf einen schnellen und effizienten Weg zum EuGH konzentrieren, um eine rasche Entscheidung zu erreichen. Wir hoffen, dass dies eine kürzere Zeit der Rechtsunsicherheit im Falle einer schlecht durchdachten politischen Einigung gewährleistet
Eine solche Anfechtung kann einen Antrag an den EuGH beinhalten, die Anwendung jeder dritten Version einer US-Angemessenheitsentscheidung auszusetzen. Eine solche Option ist in Artikel 278 AEUV vorgesehen und könnte sicherstellen, dass die Europäische Kommission den EuGH nicht untergräbt, indem sie weitere rechtswidrige Angemessenheitsbeschlüsse erlässt, um die Überprüfung derselben durch den EuGH zu umgehen.
Wir hoffen, dass diese Vorbemerkungen für Sie nützlich sind. Wir stehen Ihnen gerne zur Verfügung, wenn Sie Fragen haben oder uns weitere Informationen über die geplante neue Vereinbarung zukommen lassen möchten.
Mit freundlichen Grüßen,
Max Schrems
Ehrenvorsitzender, noyb
Mit freundlichen Grüßen,
Max Schrems
Ehrenvorsitzender, noyb
