Seit den Snowden-Enthüllungen wissen wir, dass die USA massenhaft EU-Nutzer:innen überwachen, indem sie persönliche Daten von US-Big-Tech-Unternehmen abgreifen. Das "Privacy and Civil Liberties Oversight Board" (PCLOB) ist die wichtigste US-Aufsichtsbehörde für diese Gesetze. US-Medien berichten nun, dass demokratische PCLOB-Mitglieder mittlerweile rausgeworfen und ihre E-Mail-Konten geschlossen wurden. Damit liegt die Zahl der ernannten Mitglieder unter die für die Tätigkeit des PCLOB erforderliche Schwelle. Dass der US-Präsident einfach Leute aus einer (angeblich) unabhängigen Behörde entfernt hat, stellt die Unabhängigkeit aller anderen Rechtsmittelinstanzen in den USA in Frage.
Die Europäische Union hat sich auf diese US-Tribunale verlassen, um zu behaupten, dass die USA einen "angemessenen" Schutz persönlicher Daten bieten. Gestützt auf das PCLOB und andere Mechanismen erlaubt die EU-Kommission im Rahmen des so genannten "Transatlantic Data Privacy Framework" (TADPF) den freien Fluss persönlicher Daten aus Europa in die USA. Das PCLOB ist das einzige relevante „Aufsichtselement“ des Abkommens, alle anderen dienen lediglich als Regressorgane. Tausende Unternehmen, Behörden und Schulen in der EU sind auf diese Bestimmungen angewiesen. Ohne TADPF müssten sie die Nutzung von US-Cloud-Anbietern wie Apple, Google, Microsoft oder Amazon sofort einstellen.
- Hintergrund zur EU-US Datentransfer-Saga
- TADPF-Informationen der EU
- TADPF-Programmseite der US-Regierung
- TADPF-Entscheidung (EU) 2023/1795
- EuGH: Schrems I und Schrems II
- Bericht über den Rausschmiss der PCLOB-Mitglieder
Das EU-US-Datentransfersystem – eine Mischung aus EU- und US-Recht. Generell verbietet das EU-Recht schon seit 1995 die Ausfuhr persönlicher Daten in Länder außerhalb der EU. Ausnahmen bestehen bei absoluter Notwendigkeit (z. B. beim Versand einer E-Mail in ein Nicht-EU-Land) oder wenn das Nicht-EU-Land einen „im Wesentlichen gleichwertigen“ Schutz der persönlichen Daten bietet. Die USA hingegen haben weitreichende Gesetze zur Massenüberwachung (z. B. FISA702 oder EO 12.333). Diese ermöglichen es der US-Regierung, ohne hinreichenden Verdacht oder individuelle gerichtliche Genehmigung auf alle bei Amazon, Meta, Microsoft, Google und anderen US-amerikanischen Big-Tech-Unternehmen gespeicherten Daten zuzugreifen. Daher hat der Europäische Gerichtshof bereits zweimal (Schrems I und Schrems II) entschieden, dass das US-Recht nicht „im Wesentlichen gleichwertig“ ist. Ursula von der Leyen hat jedoch darauf bestanden, ein drittes Abkommen zwischen der EU und den USA zu verabschieden: Das „Transatlantic Data Privacy Framework“ (TADPF).
Auf Sand gebaut. Am 10.07.2023 erließ die EU-Kommission den Durchführungsbeschluss (EU) 2023/1795 und verabschiedete damit offiziell das TADPF. Dies ermöglicht es jedem EU-Unternehmen, trotz der US-Überwachungsgesetze Daten frei an US-Anbieter zu übertragen. Die Europäische Kommission stützte sich auf (sehr fragwürdige) Garantien der US-Regierung (einschließlich des PCLOB), um den USA einen „im Wesentlichen gleichwertigen“ Schutz zu attestieren. All das ist jedoch nicht in den US-Statuten oder im kodifizierten Recht verankert, da es im US-Kongress keine Mehrheit für die Verabschiedung solcher Gesetze gab. Stattdessen stützte sich die EU auf Executive Orders, Schreiben der US-Regierung und diplomatischen guten Willen. Es wurde lange Zeit kritisiert, dass der nächste US-Präsident diese Schutzmaßnahmen mit einem Federstrich abschaffen könnte. Dieses Szenario zeichnet sich nun ab. In ihrer Entscheidung erwähnt die Europäische Kommission den PCLOB ganze 31 Mal, um zu erklären, warum die USA über einen „im Wesentlichen gleichwertigen“ Schutz verfügen. Das PCLOB ist das einzige allgemeine „Kontrollorgan“, das überwacht, ob US-Dienste Gesetze, Anordnungen und andere Zusagen tatsächlich einhalten. Andere Elemente des US-Rechts setzen voraus, dass ein Kläger aktiv wird. Die USA haben den Zugang zu diesen Gremien jedoch traditionell blockiert. Das hat dazu geführt, dass praktisch nie Klagen zugelassen wurden. Damit ist das PCLOB der einzige relevante Aufsichtsmechanismus, auf den sich der TADPF berufen hat.
Max Schrems: „Dieser Deal war schon immer auf Sand gebaut. Aber die EU-Wirtschaftslobby und die EU-Kommission wollten ihn trotzdem. Anstatt sich auf stabile rechtliche Beschränkungen zu einigen, hat die EU den Versprechen der US-Regierung zugestimmt, die in Sekundenschnelle aufgehoben werden können. Jetzt, wo die ersten Trump-Wellen diesen Deal treffen, könnte er sich bald auflösen und viele EU-Unternehmen in eine rechtliche Grauzone treiben. Der PCLOB selbst ist jedoch nur ein Puzzleteil. So lange er nur vorübergehend nicht funktioniert, kann man argumentieren, dass das Abkommen nicht schlechter ist als zuvor. Allerdings sieht die Richtung, in die es bereits in der ersten Woche der Trump-Präsidentschaft geht, wirklich nicht gut aus."
Unabhängigkeit von Exekutivorganen ist fraglich. Anders als EU-Datenschutzbehörden sind die meisten US-Aufsichtsbehörden der Exekutive unterstellt und daher nicht unabhängig. Die Unabhängigkeit wird oft nur vom Präsidenten gewährt, kann aber jederzeit widerrufen oder aufgehoben werden. Viele dieser seltsamen Rechtskonzepte sind das Ergebnis der strukturellen Unfähigkeit, in den USA tatsächliche Gesetze zu verabschieden. Stattdessen werden ganze Rechtsbereiche lediglich durch Executive Orders geregelt. Dass der US-Präsident nun einfach versucht, Menschen zu entlassen, stellt die Idee (angeblich) „unabhängiger“ Exekutivorgane von Anfang an in Frage. Viele andere Elemente des TADPF, wie das „Data Protection Review Court“, sind rechtlich noch schwächer geschützt.
Max Schrems: „Es gab viele Fragen zur Funktionsweise und Unabhängigkeit dieser Aufsichtsmechanismen. Leider scheint es, dass sie nicht einmal die ersten Tage einer Trump-Präsidentschaft überstehen werden. Das ist der Unterschied zwischen soliden rechtlichen Schutzmaßnahmen und Wunschdenken. Die Europäische Kommission hat sich ausschließlich auf letzteres verlassen.“
41 Tage bis zum nächsten kritischen Punkt. In einer seiner ersten Executive Orders legte Trump fest, dass alle nationalen Sicherheitsentscheidungen von Biden (einscehließlich dr relevanten Entscheidungen, auf denen die EU-US-Transfers beruhen) innerhalb von 45 Tagen überprüft und möglicherweise verworfen werden sollen. Das bedeutet, dass weitere Elemente, auf die sich das TADPF stützt, innerhalb weniger Wochen zusammenbrechen könnten. Da das gesamte Abkommen auf den Executive Orders von Biden basiert, könnte Trump alle Schlüsselelemente des Abkommens mit einer einzigen Unterschrift streichen. Das würde Datentransfers zwischen der EU und den USA mit sofortiger Wirkung illegal machen.
Max Schrems: „Ich kann mir kaum vorstellen, dass eine Biden-Executive-Order, die den USA von der EU aufgezwungen wurde und die Spionage der USA im Ausland regelt, in Trumps "America First"-Logik überleben könnte. Das Problem ist, dass sich nicht nur US-amerikanische Big-Tech-Unternehmen auf dieses System verlassen. Auch normale EU-Unternehmen argumentieren mit diesen, dass die Nutzung von US-Cloud-Systemen in der EU legal ist.“
Die Kommission hat EU-Unternehmen in die Enge getrieben. Trotz aller Fakten, der Kritik des Europäischen Parlaments und der EU-Datenschutzbehörden hat die Europäische Kommission stets argumentiert, dass die TADPF solide und zuverlässig ist. Ebenso wollten die großen US-Technologiefirmen ohne technische Einschränkungen hinsichtlich des Zugriffs der US-Regierung auf dem EU-Markt bleiben. Jetzt müssen sich alle, von großen Banken über nationale Schulsysteme bis hin zu vielen kleinen Unternehmen, möglicherweise darauf einstellen, dass die Nutzung von US-Cloud-Produkten bald illegal ist.
EU-US-Datentransfers vorerst legal – aber macht euch bereit. Eine Entscheidung der US-Regierung wird US-Transfers nicht sofort illegal machen. Die EU-Kommission wird das Abkommen so lange aufrechterhalten, wie es in den Büchern steht und nicht annulliert wird. Selbst wenn sich die Sachlage als falsch herausstellt, bleibt die Entscheidung formal bestehen, bis sie aufgehoben wird. Wenn jedoch Schlüsselelemente nicht mehr funktionieren, muss sie das Abkommen annullieren.
Max Schrems: "Die Argumente für das EU-US-Abkommen scheinen zu zerfallen. So lange es aber nicht offiziell annulliert wird, können sich Unternehmen auf das Abkommen verlassen. Angesichts der Entwicklungen in den USA ist es jedoch wichtiger denn je, dass jedes Unternehmen oder jede andere Organisation einen Notfallplan hat."
Europäische Kommission in einer schwierigen Lage. Die Europäische Kommission hat sich nicht nur aus einer Glaubwürdigkeitsperspektive, sondern auch aus einer diplomatischen Perspektive in eine schwierige Lage manövriert. Wenn sie jetzt schnell reagiert und das TADPF aufhebt, wird die US-Tech-Oligarchie schreien, dass die EU die großen US-Technologiefirmen "verarschen“ würde. die Trump-Administration könnte dies als Grund nehmen, einen ersten großen Streit mit der EU zu beginnen. Allerdings scheint es auch problematisch, nicht zu handeln, da die Zukunft des TADPF möglicherweise nur von kurzer Dauer ist.
EU-Version der US-TikTok-Debatte? Die USA haben die Befürchtungen Europas, dass persönliche Daten in die USA gelangen und dort zur Massenüberwachung gegen die EU verwendet werden könnten, lange Zeit herabgewürdigt. Als es jedoch darum ging, dass TikTok die eigenen Daten in China zusammenführt, haben die USA plötzlich eine Kehrtwende vollzogen. Ein Verbot oder eine Zwangsübernahme von US-amerikanischen Big-Tech-Unternehmen in Europa wäre zwar rechtlich unmöglich. Allerdings wäre es nach EU-Recht Pflicht, EU-Daten von der US-Regierung fernzuhalten, sobald die Europäische Kommission das EU-US-Datenabkommen für ungültig erklärt. Dies hätte erhebliche Auswirkungen auf US-amerikanische Big-Tech-Unternehmen in Europa.
