US-Sicherheit im Spannungsfeld zur DSGVO – durchschlägt Joe Biden den gordischen Knoten?

Präsident Biden hat gemäß einer Pressemitteilung vom 07.10.2022 eine Durchführungsverordnung (Executive Order, E.O.) unterzeichnet, die dafür sorgen soll, dass der Datentransfer von der EU in die USA wieder rechtssicher möglich ist. Die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ finden Sie bspw. hier auf der Website von noyb.

Nachdem der EuGH den Privacy Shield zwischen der EU und den USA für ungültig erklärte, war der rechtssichere Datentransfer von der EU in die USA nicht mehr gegeben. Stein des Anstoßes waren für den EuGH die Sicherheitsvorschriften der USA. Der wissenschaftliche Dienst des Bundestages hatte im Jahre 2020 eine Übersicht über relevante Sicherheitsvorschriften der USA veröffentlicht.

In diesem Beitrag soll beleuchtet werden, warum es notwendig war, dass US-Präsident Biden solch eine E.O. erließ und welche Schritte die EU-Kommission unternehmen wird, um nun den „Privacy Shield 2.0“ auf den Weg zu bringen. Denn die E.O. war nur der erste Schritt.

9/11 und die Konsequenzen für den Datenschutz

Die USA hatten u. a. aufgrund der Terroranschläge vom 11.09.2001 ihre Sicherheitsvor­schriften verschärft und haben dadurch bis heute Rechtsvorschriften, die das durch die DSGVO gewährleistete Schutzniveau, welches Art. 45 DSGVO bei einer Übermittlung in einen Drittstaat fordert, zu untergraben drohen.

Konkret geht es um die Rechtsvorschriften in Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) und die Executive Order 12333 („E.O. 12333“). Diese werden häufig im Zusammenhang mit dem Datentransfer in die USA genannt.

Der EuGH hatte in seinem Urteil zu Schrems II (Entscheidung vom 16.07.2020, Az. C-311/18) entschieden, dass die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das erforderliche Maß beschränkt seien und EU-Bürger keine wirksamen Rechtsbehelfe gegen die Datenverarbeitung durch US-Behörden hätten.

Bei den Rechtsvorschriften handelt es sich um 702 FISA und E.O. 12333. Aber was besagen diese Vorschriften eigentlich?

Was besagt die Vorschrift 702 FISA?

Der Kongress fügte Abschnitt 702 in das FISA-Änderungsgesetz (FAA) von 2008 ein, damit Geheimdienste weniger restriktiven Verfahren unterliegen, um Informationen über Personen, die nicht US-Staatsbürger sind und sich nicht in den USA aufhalten, beschaffen zu können.

Gemäß 702 FISA (kodifiziert als 50 U.S. Code § 1881a) können der Generalstaatsanwalt und der Direktor der Nationalen Nachrichtendienste für bis zu einem Jahr die Genehmigung erteilen, Informationen über Personen zu beschaffen, die sich außerhalb der Vereinigten Staaten befinden und nicht US-Bürger sind.

Dabei ist Voraussetzung, dass das Foreign Intelligence Surveillance Court („FISC“) diese Genehmigung überprüft und bestätigt und sog. Minimierungsverfahren angewandt worden sind. Dabei muss der Antrag die Informationsbeschaffung auf ein Mindestmaß beschränken und darin bestehen, Informationen über ausländische Nachrichtendienste zu erhalten.

Ein Anbieter eines elektronischen Kommunikationsdienstes kann danach verpflichtet werden, entsprechende Informationen herauszugeben (50 U.S. Code § 1881a (h) (2) (A) vi).

Der Begriff „Anbieter elektronischer Kommunikationsdienste“ ist weit gefasst und umfasst Telekommunikationsanbieter, Anbieter von elektronischen Kommunikationsdiensten und Remote-Computing-Diensten sowie alle anderen Anbieter von Kommunikationsdiensten, die Zugang zu drahtgebundener oder elektronischer Kommunikation (entweder bei der Übertragung oder bei der Speicherung) haben (50 U.S. Code § 1881a (b) (4)). Dabei ist die Definition wohl so weit zu verstehen, dass selbst Unternehmen erfasst werden könnten, die ihren Beschäftigten einen E-Maildienst zur Verfügung stellen.

Sobald das FISC eine Bescheinigung genehmigt hat, können der Generalstaatsanwalt und der Direktor der Nationalen Nachrichtendienste einen Anbieter elektronischer Kommunikationsdienste schriftlich anweisen, unverzüglich alle Informationen zur Verfügung zu stellen und zwar in einer Weise, die die Geheimhaltung der Beschaffung wahrt (50 U.S. Code § 1881a (i)).

Was besagt die Executive Order 12333?

Gemäß der E.O. 12333 dürfen US-Nachrichtendienste, wie die US National Security Agency, Überwachungen außerhalb der USA durchführen. Insbesondere werden die US-Geheimdienste ermächtigt, ausländische „Signals Intelligence“-Informationen zu sammeln, d. h. Informationen, die aus der Kommunikation und anderen Daten gewonnen werden, die über Funk, Draht oder andere elektromagnetische Mittel übertragen werden oder zugänglich sind.

Die Besonderheit ist, dass dabei nicht die Unternehmen selbst Adressat sind, sondern die Internet-Knoten bzw. Seekabel über die die Daten in die USA transferiert werden. Die Geheimdienste werden ermächtigt, auf diese Infrastruktur Zugriff zu erhalten, bevor die Daten in den USA ankommen.

Aus den Schlussanträgen zu Schrems II (Schlussanträge des Generalanwalts Henrik Saugmandsgaard Øe – Rechtssache C-311/18, Facebook Ireland und Schrems, Rn. 62) des EuGH geht hervor, dass es jedoch keinen Beweis gibt, dass irgendein Programm auf der Grundlage dieses Präsidialerlasses durchgeführt worden wäre.

Darüber hinaus beschränkte die Presidential Policy Directive-28 (PPD-28), ebenfalls ein Durchführungserlass, die Verwendung von massenhaft gesammelten Signalinformationen auf die Erkennung und Bekämpfung von sechs Arten von Bedrohungen:

• Spionage und andere Bedrohungen durch ausländische Mächte;
• Terrorismus;
• Bedrohungen durch Massenvernichtungswaffen;
• Bedrohungen der Cybersicherheit;
• Bedrohungen für amerikanische oder verbündete Streitkräfte; und
• grenzüberschreitende kriminelle Bedrohungen, einschließlich illegaler Finanzierungen und der Umgehung von Sanktionen.

Zu der PPD-28 heißt es weiter, dass in großem Umfang gesammelte Signaldaten auf keinen Fall dazu verwendet werden dürfen, Kritik oder abweichende Meinungen zu unterdrücken oder zu erschweren, Personen aufgrund ihrer ethnischen Zugehörigkeit, ihrer Rasse, ihres Geschlechts, ihrer sexuellen Orientierung oder ihrer Religion zu benachteiligen, US-Unternehmen und US-Wirtschaftszweigen einen Wettbewerbs­vorteil zu verschaffen oder andere als die in der PPD-28 genannten Zwecke zu erreichen.

Wie wird der Einfluss der Sicherheitsvorschriften auf die Rechtmäßigkeit eines Datentransfers nach der DSGVO eingeordnet?

Nachdem der EuGH in seinem Urteil Abschnitt 702 FISA und E.O. 12333 unzureichenden Schutz für EU-Bürger attestierte, versuchte die US-Regierung zunächst dagegen zu argumentieren.

So trat die National Telecommunications and Information Administration („NTIA“), eine u. a. für neue Technologien zuständige Abteilung des US- Handelsministeriums, der Begründung des EuGH entgegen. Das FISA-Gesetz selbst ermächtige bspw. eine Person, die Gegenstand einer FISA-Überwachung war und deren Kommunikation unrechtmäßig verwendet oder offengelegt wurde, Schadenersatz, Strafschadenersatz und Anwaltsgebühren gegen die Person zu verlangen, die den Verstoß begangen habe (50 U.S. Code § 1810 „Civil liability“). Das Gesetz zum Schutz der Privatsphäre in der elektronischen Kommunikation (Electronic Communications Privacy Act) sehe in 18 U.S. Code § 2712 „Civil actions against the United States“ einen separaten Klagegrund für Schadenersatz und Anwaltsgebühren gegen die Regierung bei vorsätzlichen Verstößen gegen verschiedene FISA-Bestimmungen vor. Einzelpersonen könnten den unrechtmäßigen Zugriff der Regierung auf personenbezogene Daten, auch im Rahmen des FISA, auch durch Zivilklagen nach dem Verwaltungsverfahrensgesetz (Administrative Procedure Act („APA“)) anfechten, das es Personen, die durch ein bestimmtes Verhalten der Regierung „rechtliches Unrecht erleiden“, ermöglicht, eine gerichtliche Anordnung zur Unterlassung dieses Verhaltens zu erwirken (siehe Whitepaper, Fn. 44).

Rechtsbehelfe gegen FISA-Anweisungen sind damit nach Ansicht der NTIA in ordentlichen Gerichtsverfahren grundsätzlich möglich. Ebenso wäre zu berücksichtigen, dass die Anträge einer gerichtlichen Kontrolle unterliegen.

Nach E.O. 12333 könne es keine „Anforderung“ für ein Unternehmen geben, Daten an die US-Regierung weiterzugeben. Die Sammlung von Massendaten ist nur in anderen Kontexten zulässig, z. B. bei geheimen nachrichtendienstlichen Aktivitäten, die einen Zugriff auf Daten im Ausland beinhalten – Aktivitäten, bei denen Unternehmen rechtlich nicht zur Teilnahme gezwungen werden können (siehe das o. g. Whitepaper, Fn. 44).

Gleichwohl geht der EuGH in seinem Urteil zu Schrems II sowie bei Abschnitt 702 FISA davon aus, dass E.O. 12333 in Verbindung mit PPD-28 nicht den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, sodass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.

Daher konnte der Datentransfer nur noch auf die Standardvertrags- bzw. Standarddatenschutz­klauseln gestützt werden. USA und EU suchten seither fieberhaft nach einem Nachfolgemodell.

Präsident Biden erlässt neue Executive Order

Den ersten Schritt hat Präsident Biden nun gemäß der eingangs genannten Pressemitteilung getan, indem er eine E.O. unterzeichnete, die die PPD-28 ablöst und die Bedenken des EuGH ausräumen soll. Dazu gehören u. a. folgende Punkte:

• Daten dürfen nur erfasst werden, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich ist und der Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigt wird;
• ein mehrstufiger Rechtsbehelfsmechanismus wird etabliert, an den sich Personen aus der EU wenden können und
• US-Nachrichtendienste führen Verfahren ein, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten sollen.

Die EU-Kommission gab gleichzeitig eine Erklärung ab und begrüßte die Durchführungsverordnung des Präsidenten als erhebliche Verbesserungen im Vergleich zum Privacy Shield. Dabei gingen sie vor allem auf den Rechtsbehelfsmechanismus näher ein. Dieser besteht aus zwei Ebenen:

• Der Beschwerdemöglichkeit von EU-Bürgern bei dem sog. „Civil Liberties Protection Officer“ der US-Geheimdienste; und
• der Möglichkeit, die Entscheidung des Civil Liberties Protection Officer vor dem neu geschaffenen Data Protection Review Court anzufechten. Das Gericht wird sich aus kompetenten Mitgliedern zusammensetzen, die nicht der US-Regierung angehören und nur wegen begangener Straftaten oder fehlender Eignung abberufen werden dürfen. Gegenüber der Regierung sollen sie unabhängig sein. Das Gericht wird befugt sein, Beschwerden von EU-Bürgern zu untersuchen, einschließlich der Einholung einschlägiger Informationen von Nachrichtendiensten, und es wird verbindliche Abhilfeentscheidungen treffen können.

Gleichzeitig kündigte die Kommission die nächsten Schritte an. Diese sehen den Entwurf eines Angemessenheitsbeschlusses, die Einholung der Stellungnahme des Europäischen Datenschutzausschusses (EDPB) und „Grünes Licht“ von einem Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, vor. Dabei hat das Europäische Parlament ein entsprechendes Kontrollrecht bei der Angemessenheitsentscheidung.

Fazit

Bis dieser Beschluss vorliegt und ein Privacy Shield 2.0 besteht, werden sicher noch einige Monate vergehen, sodass in diesem Jahr nicht mehr damit zu rechnen ist. Ob dieser Shield dann Bestand haben wird oder nur eine Verschnaufpause darstellt, bis der EuGH diesen wiederum kippt, wird die Zeit zeigen.

Max Schrems kritisierte bereits, dass der neu geschaffenen Data Protection Review Court kein Gericht sei und sich der Verhältnismäßigkeitsbegriff der USA nicht mit dem Begriff aus Art. 52 der EU-Grundrechtecharta (Auslegung der Rechte und Grundsätze) decke.

Die nächsten Monate lassen eine rege Diskussion zu diesem Thema erwarten.