Seite 2: Was enthält Bidens neuer Erlass?

Bidens neuer Erlass geht auf dem Papier auf die Kritikpunkte des EuGH ein. So verfügt er unter anderem:

• die Erweiterung der Sicherheitsvorkehrungen bei Geheimdienstaktivitäten, um die Proportionalität der Aktivitäten in Bezug auf die Bedeutung für die nationale Sicherheit mit der EU in Einklang zu bringen.

• die Einrichtung eines mehrstufigen Mechanismus für die unabhängige und verbindliche Überprüfung und Abhilfe bei Beschwerden.

Auf der ersten Ebene führt ein "Civil Liberties Protection Officer" (Beauftragter für den Schutz der bürgerlichen Freiheiten) im Office of the Director of National Intelligence (CLPO) eine erste Untersuchung durch.

Als zweite Überprüfungsebene richtet die Anweisung ein Datenschutzüberprüfungs-Gericht ("Data Protection Review Court" - DPRC) ein, das die Entscheidungen des CLPO unabhängig und verbindlich überprüfen soll.

Kritische Stimmen: Wie ist der Erlass zu werten?

Obwohl die Executive Order noch viel Ausdeutungsspielraum in ihren Formulierungen lässt, wurde schnell Kritik laut. So urteilte Patrick Breyer, MdEP (Piraten):

Aus meiner Sicht ändern [die Formulierungen des Erlasses] nichts an den eigentlichen Kritikpunkten und Ursachen.

Zwei Gründe sind dabei ausschlaggebend. Zum einen wurden in Hinsicht auf die Massenüberwachung zwar neue Formulierungen gewählt. Diese ändern aber nichts daran, dass diese Dienstanweisung weiterhin ausdrücklich die Massenüberwachung ermöglicht. Breyer beurteilt dies überaus kritisch:

Diese neue Executive Order soll möglich machen, dass Unternehmen aus geschäftlichen Gründen unsere Daten einfach in einen Staat mitnehmen können, in dem es letzten Endes gar kein Datenschutzgesetz auf Bundesebene gibt wie in den USA.

Der zweite Grund ist das Datenschutzüberprüfungs-Gericht. Dieses Sondergericht, ad hoc eingeführt, stellt aber kein echtes Gericht das. Zum einen durch seinen Ursprung: In den USA können Gerichte nur per Gesetz eingerichtet werden. Die Dienstanweisung eines Präsidenten ist nicht aussreichend.

In diesem Fall entsteht also kein echter Gerichtshof, sondern eine Art Kontrollgremium, dessen Mitglieder ernannt oder abberufen werden können. Damit fehlt dieser Instanz die Unabhängigkeit, und es dürfte den Mitgliedern auch das Rückgrat fehlen, um illegale oder unverhältnismäßige Transfers oder unlautere Machenschaften der Geheimdienste zu beanstanden oder gar zu unterbinden.

Executive Orders sind als Verwaltungs-Anweisungen, zudem rechtlich nicht bindend. Sie können jederzeit wieder geändert oder widerrufen werden.

Entsprechend sieht Breyer wenig Aussicht auf Erfolg des erneuten Vorstoßes.

Aus diesem Grund bin ich der Meinung, dass [der erneute Versuch] scheitern wird vor Gericht, und dass dieses Risiko aber bewusst in Kauf genommen wird. Umgekehrt versucht man, auf den Gerichtshof massiv Druck zu machen, seine Rechtsprechung zu ändern und aufzuweichen. Genauso wie wir es bei der Vorratsdatenspeicherung beobachten: Sie wurde mehrfach wurde vom Europäischen Gerichtshof gekippt, die EU-Staaten führen sie trotzdem immer wieder ein, in bewusster Missachtung unserer Grundrechte.

Ein ähnliches Vorgehen könnte auch hier angewandt werden können. Die EU-Kommission muss sich keine weitere Zustimmung etwa vom EU-Parlament einholen, um den Angemessenheitsbeschluss zu fassen. Dann bleibt Kritikern nur der Klageweg. Breyer:

Vielleicht reicht es der EU-Kommission [...] auch schon, dass dieses neue Instrument ein, zwei Jahre in Kraft sein wird, bis es vom Gerichtshof überprüft ist. [...]

Max Schrems, Rechtsanwalt für Datenschutz und Vorstandsvorsitzender der NOYB – Europäisches Zentrum für digitale Rechte, registriert auch in der Wirtschaft wenig Begeisterung für den Datenschutz.

Ich habe das Gefühl, dass außerhalb Deutschlands und auch innerhalb Deutschlands viele Unternehmen [die DSGVO] mit einem Schulterzucken hingenommen haben. Sie haben nicht wirklich was an ihren Praktiken geändert und setzen Cloud-Nutzung immer noch durch, größtenteils ohne Sorge, dass sie da belangt werden. (…) Wir haben im Datenschutz ein massives Durchsetzungsproblem. Wir haben sechs Behörden, die offen zugeben, dass sie ihn einfach nicht durchsetzen wollen. Es ist gerade in Deutschland besonders heftig. Deutschland hat eine Tradition entwickelt, nach der DSGV so zu tun, als ob sozusagen der Datenschutz Teufelswerk wäre. Ich seh’ es bei Vorträgen, da ist so richtig schon Hass im Raum, wenn die DSGV nur genannt wird.