zurück zum Artikel

Ein Erlass von US-Präsident Biden soll die Rechtsunsicherheit bei der Nutzung von US-Cloud-Technologien in der EU beseitigen. Doch Kritiker bemängeln, dass Geheimdienste weiter auf personenbezogene Daten von EU-Bürger:innen zugreifen könnten. Was muss sich ändern?

Safe Harbour, Privacy Shield… die Abkommen zum transatlantischen Datenschutz waren eine Reihe von Misserfolgen. Immer wieder scheiterten sie an der Grundproblematik, dass sich der Datenschutz, den die EU ihren Bürgern in der DSGVO (Datenschutzgrundverordnung) garantiert, nicht mit dem "Cloud Act" in Einklang bringen.

Dieser legt die Befugnisse und Praktiken der US-Geheimdienste in puncto Datensammlung fest. Diese Diskrepanz hat vor allem Einfluss auf die Nutzung von US-Cloud-Technologie. Es herrscht seit dem "Schrems II"-Urteil des EuGH (Europäischer Gerichtshof) aus dem Jahr 2020 Rechtsunsicherheit, ob die Nutzung von US-Cloud-Anbietern für personenbezogene Daten überhaupt rechtens sei. Einige Datenschützer verneinen diese Frage [1], was in Folge dazu führt, dass etwa die Vergabekammer Baden-Württemberg die Nutzung von US-Clouds in öffentlichen Projekten jüngst unterbunden hat [2].

Betrachtet man die Verbreitung und Beliebtheit der US-Cloud-Technologie, wird schnell klar, dass der aktuelle Zustand nicht Bestand haben konnte. Zu groß ist das Interesse an diesen technologisch und wirtschaftlich attraktiven Angeboten. Nun soll eine "Executive Order", also eine Dienstanweisung des US-Präsidenten Joe Biden, einem neuen Anlauf zugrunde liegen.

Schon im März 2022 hatten Präsidentin der EU-Kommission Ursula von der Leyen und der US-Präsident eine solche Übereinkunft angekündigt [3]. Im Oktober folgte dann die Executive Order Bidens. Sie soll Abhilfe schaffen bei den Punkten, welche der EuGH in "Schrems II" kritisiert hatte.

Massenüberwachung und fehlender Rechtsweg kippten "Privacy Shield"

Wie kam es überhaupt zu dieser Situation? Es waren vor allem zwei Aspekte, bei denen der EuGH in "Schrems II" die Rechte der Bürger verletzt sah: Zum einen bemängelte er das unangemessen breite Mandat der Geheimdienste, Daten zu sammeln. Dieses müsse vielmehr auf das Minimum beschränkt werden. Zum anderen fehle den Betroffenen ein Rechtsweg, um gegebenenfalls Ansprüche geltend zu machen.

Die in den USA geltenden Datenschutzrechte für Nicht-US-Bürger entsprechen damit nicht dem Niveau derer in der EU, sodass die USA nicht in die Liste der Länder aufgenommen werden können [4], für die ein sogenannter "Angemessenheitsbeschluss" gilt.

Ein Angemessenheitbeschluss gibt rechtliche Sicherheit, Daten in das entsprechende Land zu transferieren. An diesem Beschluss hing also die rechtssichere Nutzung von Cloud-Angeboten. Bidens Executive Order soll der EU-Kommission, welche die entsprechende Beschlusskraft hat, ein Argument geben, die USA aufzunehmen.

Was enthält Bidens neuer Erlass?

Bidens neuer Erlass [5] geht auf dem Papier auf die Kritikpunkte des EuGH ein. So verfügt er unter anderem [6]:

• die Erweiterung der Sicherheitsvorkehrungen bei Geheimdienstaktivitäten, um die Proportionalität der Aktivitäten in Bezug auf die Bedeutung für die nationale Sicherheit mit der EU in Einklang zu bringen.

• die Einrichtung eines mehrstufigen Mechanismus für die unabhängige und verbindliche Überprüfung und Abhilfe bei Beschwerden.

Auf der ersten Ebene führt ein "Civil Liberties Protection Officer" (Beauftragter für den Schutz der bürgerlichen Freiheiten) im Office of the Director of National Intelligence (CLPO) eine erste Untersuchung durch.

Als zweite Überprüfungsebene richtet die Anweisung ein Datenschutzüberprüfungs-Gericht ("Data Protection Review Court" - DPRC) ein, das die Entscheidungen des CLPO unabhängig und verbindlich überprüfen soll.

Kritische Stimmen: Wie ist der Erlass zu werten?

Obwohl die Executive Order noch viel Ausdeutungsspielraum in ihren Formulierungen lässt, wurde schnell Kritik laut. So urteilte Patrick Breyer, MdEP (Piraten):

Aus meiner Sicht ändern [die Formulierungen des Erlasses] nichts an den eigentlichen Kritikpunkten und Ursachen.

Zwei Gründe sind dabei ausschlaggebend. Zum einen wurden in Hinsicht auf die Massenüberwachung zwar neue Formulierungen gewählt. Diese ändern aber nichts daran, dass diese Dienstanweisung weiterhin ausdrücklich die Massenüberwachung ermöglicht. Breyer beurteilt dies überaus kritisch:

Diese neue Executive Order soll möglich machen, dass Unternehmen aus geschäftlichen Gründen unsere Daten einfach in einen Staat mitnehmen können, in dem es letzten Endes gar kein Datenschutzgesetz auf Bundesebene gibt wie in den USA.

Der zweite Grund ist das Datenschutzüberprüfungs-Gericht. Dieses Sondergericht, ad hoc eingeführt, stellt aber kein echtes Gericht das. Zum einen durch seinen Ursprung: In den USA können Gerichte nur per Gesetz eingerichtet werden. Die Dienstanweisung eines Präsidenten ist nicht aussreichend.

In diesem Fall entsteht also kein echter Gerichtshof, sondern eine Art Kontrollgremium, dessen Mitglieder ernannt oder abberufen werden können. Damit fehlt dieser Instanz die Unabhängigkeit, und es dürfte den Mitgliedern auch das Rückgrat fehlen, um illegale oder unverhältnismäßige Transfers oder unlautere Machenschaften der Geheimdienste zu beanstanden oder gar zu unterbinden.

Executive Orders sind als Verwaltungs-Anweisungen, zudem rechtlich nicht bindend. Sie können jederzeit wieder geändert oder widerrufen werden.

Entsprechend sieht Breyer wenig Aussicht auf Erfolg des erneuten Vorstoßes.

Aus diesem Grund bin ich der Meinung, dass [der erneute Versuch] scheitern wird vor Gericht, und dass dieses Risiko aber bewusst in Kauf genommen wird. Umgekehrt versucht man, auf den Gerichtshof massiv Druck zu machen, seine Rechtsprechung zu ändern und aufzuweichen. Genauso wie wir es bei der Vorratsdatenspeicherung beobachten: Sie wurde mehrfach wurde vom Europäischen Gerichtshof gekippt, die EU-Staaten führen sie trotzdem immer wieder ein, in bewusster Missachtung unserer Grundrechte.

Ein ähnliches Vorgehen könnte auch hier angewandt werden können. Die EU-Kommission muss sich keine weitere Zustimmung etwa vom EU-Parlament einholen, um den Angemessenheitsbeschluss zu fassen. Dann bleibt Kritikern nur der Klageweg. Breyer:

Vielleicht reicht es der EU-Kommission [...] auch schon, dass dieses neue Instrument ein, zwei Jahre in Kraft sein wird, bis es vom Gerichtshof überprüft ist. [...]

Max Schrems, Rechtsanwalt für Datenschutz und Vorstandsvorsitzender der NOYB – Europäisches Zentrum für digitale Rechte, registriert auch in der Wirtschaft wenig Begeisterung für den Datenschutz.

Ich habe das Gefühl, dass außerhalb Deutschlands und auch innerhalb Deutschlands viele Unternehmen [die DSGVO] mit einem Schulterzucken hingenommen haben. Sie haben nicht wirklich was an ihren Praktiken geändert und setzen Cloud-Nutzung immer noch durch, größtenteils ohne Sorge, dass sie da belangt werden. (…) Wir haben im Datenschutz ein massives Durchsetzungsproblem. Wir haben sechs Behörden, die offen zugeben, dass sie ihn einfach nicht durchsetzen wollen. Es ist gerade in Deutschland besonders heftig. Deutschland hat eine Tradition entwickelt, nach der DSGV so zu tun, als ob sozusagen der Datenschutz Teufelswerk wäre. Ich seh’ es bei Vorträgen, da ist so richtig schon Hass im Raum, wenn die DSGV nur genannt wird.

Die Durchsetzung scheitert oft an Ressourcenmangel

Ein Durchsetzungsproblem findet sich auch in den Berichten der zuständigen Behörden wieder. So beklagt etwa das Bayerisches Landesamt für Datenschutzaufsicht (LDA) in seinem 11. Tätigkeitsbericht 2021 [7] einen Mangel an Ressourcen und einen zunehmenden Rückstau unerledigter Anträge. So habe sich die Fallzahl innerhalb eines Jahrzehnts verzehnfacht. Dieser Grundlast sei das LDA mit seinen 33 Planstellen nicht gewachsen. Ende 2021 blieben rund 3500 Vorgänge nicht abgeschlossen.

Breyer sieht hier eine größere Dimension:

[Die mangelnde Verfolgung von Datenschutzvergehen] ist definitiv ein gesamteuropäisches Problem. Wir haben uns ja im Europäischen Parlament eine Übersicht vorlegen lassen, wie der Personalschlüssel ist. In vielen Ländern ist das schlecht, manche sind besser aufgestellt als andere. Wir beobachten aber eben auch, dass es gar nicht unbedingt der Personalschlüssel sein muss: Es gibt Behörden, die mit wenig Personal trotzdem wegweisende und sehr datenschutzfreundliche Entscheidungen erlassen. Es gibt umgekehrt Datenschutzbehörden, die zahlenmäßig gar nicht so schlecht ausgestattet sind, wie in Irland zum Beispiel, bei denen aber andere, politische Gründe dafür sorgen, dass man einfach sehr unternehmensnah ist.

Europa steht nun vor der Frage, ob es durch seine Datenschutzbehörden in der jetzigen Übergangssituation Datentransfers in die USA unterbinden lassen will. Nachdem diese als illegal festgestellt worden sind, gab es dazu zunächst markante Worte. Breyer vermutet aber auf der Ebene der Datenschutzbehörden Unwillen: "Die sagen: wir warten ab, was sich da entwickelt, was für eine Nachfolgelösung kommt, das lohnt sich nicht, da reinzugrätschen."

Der Ausblick: Angemessenheitsbeschluss und Klage?

Diese Nachfolgelösung soll Bidens Executive Order ermöglichen. Die EU-Kommission könnte auf ihrer Basis einen Angemessenheitsbeschluss für die USA treffen. Für diesen Fall hält Schrems den Rechtsweg für eine Option:

Falls wir es angreifen, gibt es im Prinzip zwei Möglichkeiten: Man kann eine Nichtigkeitsklage einbringen beim EUG, dem allgemeinen Gericht der EU, und dann kann man ein zweiter Instanz zum EuGH gehen. Oder man kann national über ein Gericht eine Vorlage erzwingen und dann kann der EuGH direkt entscheiden.

Es wäre eine unschöne Praktik, wenn die EU-Kommission Wirtschaftsinteressen Vorrang gibt und da, wo sie ohne ein Veto des EU-Parlaments aktiv werden kann, entsprechend mögliche Grundrechtsverletzungen in Kauf nimmt.

Dass sich Widerstand dagegen rührt, ist ein Trostpflaster. Aber es schadet der Substanz des Staatenbundes, wenn die Bürger und ihre NGO sich immer wieder aktiv gegen die Übergriffe der Exekutive wehren müssen. In einem Zeitalter, wo die demokratischen Strukturen und Institutionen dem Angriff autoritärer Zirkel ausgesetzt sehen, könnte der resultierende Vertrauensverlust fatal sein.

URL dieses Artikels:
https://www.heise.de/-7332196

Links in diesem Artikel:
[1] https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerden-als-nicht-rechtskonform-an-4893604.html
[2] https://www.behoerden-spiegel.de/2022/08/10/cloud-dienste-von-tochter-von-us-unternehmen-verboten/
[3] https://ec.europa.eu/commission/presscorner/detail/en/statement_22_2043
[4] https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschl%C3%BCsse
[5] https://noyb.eu/sites/default/files/2022-10/Biden%20EO%20on%20Surveillance%2C%20Structured.pdf
[6] https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
[7] https://www.lda.bayern.de/media/baylda_report_11.pdf

Copyright © 2022 Heise Medien