Nachdem Präsident Biden Anfang Oktober die Executive Order (EO) 14086 erlassen hat, um einen rechtmäßigen Datentransfer von der EU in die USA zu ermöglichen (wir berichteten), hat nun die EU-Kommission einen ersten Entwurf eines Angemessenheitsbeschlusses erstellt, in dem den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt wird, auf dessen Grundlage Daten aus der EU an US-Unternehmen übermittelt werden können.

Knackpunkt bei der Überarbeitung ist, ob die Zweifel des EuGH nach dem Schrems-II-Urteil (Entscheidung vom 16.07.2020, Az. C-311/18) ausgeräumt worden sind (wir berichteten).

Der EuGH bemängelte zum einen, dass die in den USA bestehenden Regelungen zu den Überwachungsprogrammen nicht auf das zwingend erforderliche Maß beschränkt sind und zum anderen der Ombuds-Mechanismus des Privacy Shields nicht dem erforderlichen Rechtsschutz entspricht, da dieser weder unabhängig ist noch verbindliche Regelungen gegenüber Nachrichtendiensten treffen könne.

In der Grundstruktur gleicht der Angemessenheitsbeschluss seinen Vorgängern: Es ist weiterhin eine Selbstzertifizierung der US-Unternehmen vorgesehen, während die Einhaltung der Vorgaben von der Federal Trade Commission (FTC) bzw. dem U.S. Department of Transportation (DoT) überprüft wird.

Zwei Aspekte des Entwurfs sollen an dieser Stelle hervorgehoben werden, mit denen die EU-Kommission und die USA versucht haben, die vom EuGH festgestellten Mängel zu beheben:

Beschränkung der Sammelleidenschaft der Geheimdienste

Die EU-Kommission verweist in ihrem Entwurf auf Abschnitt 2 (c)(ii) A EO 14086, wonach die Erhebung von Daten immer gezielt erfolgen muss. Dabei verweist der Entwurf zunächst auf die Beschränkungen und Schutzmaßnahmen aus Abschnitt FISA 702 und geht auf die Rolle des Foreign Intelligence Suveillance Court (FISC) als unabhängiges Gericht ein. Entscheidungen des FISC könnten demnach vor dem Supreme Court angefochten werden. Der FISC ist nach der Beschreibung im Entwurf dafür zuständig, die Zielerfassung einer bestimmten Person durch die National Security Agency (NSA) zu genehmigen. Dabei müsse die NSA die Grundlage für die Auswahl des Ziels dokumentieren. Außerdem müsse der Director of National Intelligence (DNI) die Gesamtzahl der Zielpersonen nach Abschnitt 702 FISA jährlich in einem Transparenzbericht melden. Ebenso müsste für eine herkömmliche elektronische Überwachung nach Abschnitt 105 FISA eine Genehmigung vom FISC eingeholt werden.

Wenn es um Massenerhebungen gehe, seien diese nach Abschnitt 2 (b) EO 14086 nur dann zulässig, wenn die Informationen zur Förderung nachrichtendienstlicher Prioritäten erforderlich sind und durch gezielte Erhebungen nicht in angemessener Weise gewonnen werden können. Hier macht der Entwurf auch eine Unterscheidung zur Massenüberwachung, da diese im Gegensatz zur Massenerhebung allgemein und wahllos erfolgt. Sollen Massenerhebungen außerhalb der USA erfolgen (am berühmten Seekabel oder ggf. an einem Internetknoten, wie bspw. der in Frankfurt), sollen besondere Schutzmaßnahmen gelten. So müssten Maßnahmen angewandt werden, die die Sammlung der Daten auf das notwendige Maß beschränken, um eine validierte nachrichtendienstliche Priorität voranzutreiben und die Sammlung nicht relevanter Informationen zu minimieren.

Der Einsatz der Massenerhebung von Daten soll auf sechs Ziele beschränkt sein:

  • Schutz vor Terrorismus, Geiselnahmen und der Gefangennahme von Personen
  • Schutz vor ausländischer Spionage, Sabotage oder Ermordung oder anderer geheimdienstlicher Aktivitäten
  • Schutz vor Bedrohungen durch die Entwicklung oder die Verbreitung von Massenvernichtungswaffen oder damit verbundenen Technologien und Bedrohungen
  • Schutz vor Bedrohungen der Cybersicherheit
  • Schutz vor Bedrohungen des Personals der USA, ihrer Verbündeten oder Partner
  • Schutz vor grenzübergreifenden kriminellen Bedrohungen, einschließlich illegaler Finanzierung und Umgehung von Sanktionen

Ziel der Erhebung können ausländische Regierungen, Organisationen oder Personen sein.

Einführung eines Rechtsbehelfsmechanismus

Wie bereits erwähnt, soll es nun statt einer Ombudsstelle einen zweistufigen Rechtsbehelfsmechanismus geben. Hier verweist der Entwurf auf den entsprechenden Abschnitt 3 EO 14086 und beschreibt den Mechanismus.

In der ersten Stufe kann eine Person aus der EU bei einer zuständigen Aufsichtsbehörde in der EU eine Beschwerde einreichen. Der Beschwerdeführer muss die übermittelten Daten benennen, auf welchem Wege dies geschah, die US-Regierungsstellen benennen, die an der Datenverarbeitet beteiligt sind und den angeblichen Datenschutzverstoß darlegen. Der Nachweis einer Verletzung ist demnach nicht notwendig, nur die Behauptung. Die Beschwerde wird vom Civil Liberties Protection Officer of the Office of the Director of National Intelligence (CLPO) überprüft. Der CLPO sei gemäß Abschnitt 3 (c)(i), (B)(i) und (B)(iii) EO 14086 in seiner Rolle unabhängig und müsse unparteiisch die Beschwerden prüfen. Stellt dieser einen Verstoß fest, wird dies dem stellvertretenden Generalstaatsanwalt für nationale Sicherheit (Assistant Attorney General for National Security – Rechtsberater der Regierung, mit einem Justiz- oder Innenminister vergleichbar) mitgeteilt, der verpflichtet ist, dies dem FISC zu melden. Dieser kann weitere Maßnahmen ergreifen. Der CLPO teilt dem Beschwerdeführer das Ergebnis seiner Untersuchung mit. Die Entscheidung kann angefochten werden.

In der zweiten Stufe kann der Beschwerdeführer die Entscheidung des CLPO beim Data Protection Review Court (DPRC) überprüfen lassen. Der DPRC ist nach dem Entwurf ein unabhängiges Gericht auf Grundlage von Abschnitt 3 (d)(i) EO 14086. Die Einrichtung des Gerichts erfolgt nach diesem Abschnitt über den Generalstaatsanwalt (Attorney General), der in Absprache mit dem Handelsministerium (DOC), dem DNI und dem Privacy and Civil Liberties Oversight Board (PCLOB) – einem unabhängigen Aufsichtsgremium, das befugt ist, die Strategien der Exekutive und ihre Umsetzung im Hinblick auf den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu überprüfen –, gemäß Section 201.3(a) Attorney General’s Regulation sechs Richter ernennen muss (siehe auch ErwG 177 in der Entwurfsfassung, S. 49), die Juristen mit einschlägiger Erfahrung auf dem Gebiet des Datenschutzes und des Rechts der nationalen Sicherheit sind, wobei Personen mit früherer richterlicher Erfahrung bevorzugt werden, und die zum Zeitpunkt ihrer ersten Ernennung keine Angestellten der Regierung der Vereinigten Staaten sind. Außerdem dürfen die Richter neben ihren offiziellen Aufgaben und ihrer Beschäftigung als Richter des Datenschutzüberprüfungsgerichts keine weiteren offiziellen Aufgaben oder Beschäftigungen innerhalb der Regierung der Vereinigten Staaten haben.

Unter Abschnitt 3 (d)(i)(H)(iv) EO 14086 wird zur Unabhängigkeit des Gerichts erläutert, dass der Generalstaatsanwalt sich nicht in die Überprüfungen einer Entscheidung einmischen darf, noch soll er Richter absetzen, außer in Fällen von Fehlverhalten oder Vernachlässigung oder Verletzung ihrer Pflichten, wobei die Rechtsprechung hierzu beachtet werden muss.

Das DPRC prüft nach Abschnitt 3 (d)(i)(D) EO 14086 die Feststellungen des CLPO. Das Gericht hat dabei Zugriff auf alle erforderlichen Informationen und kann entscheiden, dass keine Beweise für nachrichtendienstliche Tätigkeiten vorliegen, dass der CLPO rechtlich korrekte Feststellungen getroffen hat, oder eigene Feststellungen treffen. Entscheidungen werden mit Mehrheitsbeschluss gefällt. Das DPRC kann geeignete Abhilfemaßnahmen festlegen. Der Beschwerdeführer wird über die Entscheidung informiert.

Der Rechtsbehelfsmechanismus wird nach Abschnitt 3 (e) EO 14086 jährlich durch das PCLOB evaluiert. Dies betrifft insbesondere die rechtzeitige Bearbeitung der Beschwerden und ob der uneingeschränkte Zugang des CLPO und DPRC zu Informationen gewährleistet war. Der Generalstaatsanwalt ist verpflichtet, die Empfehlungen der Evaluierung umzusetzen.

Weiter verweist der Entwurf auf die bereits bestehenden Rechtsbehelfsmöglichkeiten. Die Überprüfung soll dabei den Rechtsrahmen und die tatsächliche Praxis betreffen.

Die Kommission selbst verpflichtet sich in dem Entwurf, die Entwicklungen in den USA kontinuierlich zu überwachen, um zu beurteilen, ob die USA weiterhin ein im wesentlichen gleichwertiges Schutzniveau gewährleisten.

Außerdem liegen dem Beschluss die Datenschutz-Rahmenprinzipien des Handelsministeriums (DOC) bei, in denen dargelegt wird, wie die Selbstzertifizierung der Unternehmen erfolgen soll und welche Kriterien die Unternehmen einhalten müssen, damit das Handelsministerium die Selbstzertifizierung anerkennt.

Fazit

Der EuGH hatte in seinem Schrems-II-Urteil kritisiert, dass die auf EO 12333 und Presidential Policy Directive 28 (PPD-28) gestützten Überwachungsprogramme ohne richterliche Kontrolle Zugriff auf Daten erlaube und keine präzise und klare Eingrenzung des Umfangs einer solchen Sammelerhebung bestünde. Die EO 14086 regelt nun zum einen eine Eingrenzung einer Massensammlung von Daten, wobei eine Massenerhebung von Daten weiterhin möglich ist. Sie muss allerdings zielgerichteter erfolgen. So wird die Massenerhebung auf die genannten sechs Ziele beschränkt. Allerdings wird die Praxis zeigen, wie wirksam die Beschränkungen sind. „Bedrohungen des Personals der USA“ erscheinen als sehr dehnbare Formulierung, die die Beschränkung als weich erscheinen lassen. Ob dies mit dem Erforderlichkeitsprinzip nach Art. 52 Abs. 1 der EU-Grundrechtecharta (GRCh) vereinbar ist, wie der EuGH in seinem Urteil fordert, ist zweifelhaft.

Zum anderen besteht mit dem DPRC ein Gericht und ein Rechtsbehelfsmechanismus, der wirksam eine richterliche Kontrolle ermöglichen soll. Allerdings fordert der EuGH in seinem Urteil, dass sich eine wirksame richterliche Kontrolle an den Maßstäben des Art. 47 GRCh messen lassen muss. Danach hat jede Person das Recht auf wirksame Rechtsbehelfe und Zugang zu einem „unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht“.

Es lässt sich bereits in Zweifel ziehen, ob der Rechtsbehelfsmechanismus aus der Executive Order den Kriterien des Art. 47 GRCh entspricht. Vom Wortlaut her stellt sich die Frage, ob das Gericht durch Gesetz errichtet worden ist. Eine Executive Order ist ein Dekret des Präsidenten und damit der Exekutive. Gesetze werden nach rechtsstaatlichem Verständnis durch Parlamente verabschiedet und damit von der Legislative. Daher sind schon aufgrund des Zustandekommens des Gerichts Zweifel angebracht, ob die Errichtung über eine Executive Order bei einer Überprüfung durch den EuGH standhalten könnte.

Der Entwurf wird nun für eine Stellungnahme dem Europäischen Datenschutzausschuss (EDPB) zugeleitet, danach sind die EU-Mitgliedstaaten im entsprechenden Ausschuss am Zuge. Zuletzt hat das Europäische Parlament die Möglichkeit Stellung zu nehmen.

Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsbeschlüssen. Es kann wohl davon ausgegangen werden, dass der EDPB sich kritisch zum Entwurf verhalten wird, wogegen die EU-Mitgliedstaaten aus politischen und wirtschaftlichen Erwägungen heraus dem Entwurf zustimmen werden. Das Europäische Parlament wird zwar konsultiert, ein Vetorecht hat es aber ebenso wenig wie der EDPB. Daher kann man davon ausgehen, dass der Entwurf als Angemessenheitsbeschluss Rechtskraft erlangen wird. Dies kann, wenn man dem EU-Kommissar für Justiz Didier Reynders folgt, noch dieses Jahr im Juli erfolgen.

Sollte der Entwurf Rechtskraft erlangen, lässt sich aber mit einiger Sicherheit sagen, dass sich eine Person finden wird, die dagegen klagt.