Berlin Was die Europäische Kommission kürzlich mitteilte, las sich so, als könnte die Wirtschaft tatsächlich aufatmen. Der Weg für einen dringend benötigten Rechtsrahmen zur Übermittlung der Daten von Europäern in die USA sei frei, erklärte die Brüsseler Behörde.

Zuvor hatte die Kommission die amerikanischen Zusagen zum Schutz der europäischen Daten vor dem Zugriff durch die Geheimdienste bewertet. Ergebnis: Das Schutzniveau entspreche dem der EU, damit könnten Daten wieder bedenkenlos übertragen werden.

Experten überzeugt diese Einschätzung jedoch keineswegs. Baden-Württembergs Datenschutzbeauftragter Stefan Brink zeigte sich verwundert über das Vorpreschen der EU-Kommission angesichts vieler offener Fragen. Er habe daher „Zweifel, ob ein gleichwertiger Schutz der personenbezogenen Daten erreicht werden kann“, sagte Brink dem Handelsblatt.

Deutliche Kritik an der Verlautbarung aus Brüssel äußerte der prominente österreichische Jurist Max Schrems. „Das ist eine bewusste Verletzung rechtsstaatlicher Prinzipien und eine Missachtung des Europäischen Gerichtshofs“, sagte Schrems dem Handelsblatt.

Schrems, Vorsitzender der internationalen Datenschutzorganisation Noyb, hat schon zwei Mal mit Klagen die Grundlagen für den Datenverkehr zu Fall gebracht und wird dies aller Wahrscheinlichkeit nach wieder versuchen. „Ich gehe zu 95 Prozent davon aus, dass wir auch gegen die neue Entscheidung klagen werden“, sagte er.

Sechs von zehn Unternehmen in Deutschland nutzen internationale Datentransfers

Dabei wäre für Unternehmen eine rechtssichere Grundlage für den Datentransfer in die USA immens wichtig. Der Europäische Gerichtshof (EuGH) kippte im Juli 2020 das damalige Abkommen („Privacy Shield“) zwischen den USA und der EU wegen Datenschutzmängeln. Die Richter monierten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten.

Der „Privacy Shield“ kam 2016 zustande – nachdem auch die Vorgängerregelung „Safe Harbor“ vom EuGH gekippt worden war.

Durch das EuGH-Urteil fehlt wichtigen US-amerikanischen Cloud-Anbietern wie Amazon, Microsoft und Google in Europa eine Rechtsgrundlage für ihre Dienste. Sie verstoßen damit gegen die europäische Datenschutz-Grundverordnung (DSGVO). Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.

Das Risiko nehmen viele in Kauf – zwangsläufig. Denn Datentransfers seien „essenzieller Bestandteil der gesamten Wirtschaft und auch der Wissenschaft“, erläutert Susanne Dehmel vom IT-Verband Bitkom. „Die Be- oder sogar Verhinderung von Datentransfers ist für deutsche und europäische Unternehmen mindestens ebenso gravierend wie die Unterbrechung von Lieferketten.“

Nach einer aktuellen Bitkom-Studie transferieren sechs von zehn Unternehmen in Deutschland (60 Prozent) personenbezogene Daten in Länder außerhalb der EU.

Um einen Ausweg aus dem juristischen Dilemma zu ebnen, schlug die EU-Kommission Mitte Dezember vor, den Datenschutz in den USA als gleichwertig mit dem europäischen anzuerkennen. Die Rede ist dabei von einer „Angemessenheitsentscheidung“. Mehrere Gremien müssen diese noch bestätigen.

Zuvor hatte US-Präsident Joe Biden verfügt, dass sich die US-Geheimdienste bei ihrem Zugriff auf europäische Daten auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist. Außerdem wurde eine Beschwerdestelle eingerichtet, die wie ein Gericht funktionieren soll. Die EU-Kommission spricht von „erheblichen Verbesserungen“ im Vergleich zum „Privacy Shield“-Datenschutzabkommen.

Schrems wirft EU-Kommission „Verschönerungsversuche“ vor

Der österreichische Jurist Schrems kann das nach seiner Analyse nicht bestätigen. „Bisher haben wir weder in den Entscheidungen der Amerikaner noch im Vorschlag der EU-Kommission irgendetwas gefunden, was den Datenfluss zwischen EU und USA rechtlich absichern würde“, sagte er dem Handelsblatt. „Das sind Verschönerungsversuche, nichts weiter.“

Der österreichische Jurist hat schon mehrere Datenschutzfälle vor Europas höchstem Gericht gewonnen. (Foto: AP) Max Schrems

Das sieht der Datenschützer Brink ähnlich. Er geht nicht davon aus, dass die von Biden vorgestellte Verordnung („Executive Order“) den strengen Vorgaben des EuGH standhält. Es sei fraglich, inwieweit eine Executive Order überhaupt ein wirksames Instrument zur Umsetzung der DSGVO-Anforderungen sein könne. „Sie stellt eine interne Anweisung an Regierung und nachgeordnete Behörden dar und ist kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz.“ Die Einhaltung einer Executive Order sei insbesondere für EU-Bürger nicht einklagbar.

Zudem sei nicht klar, wie sich die Executive Order zu anderen bestehenden US-Gesetzen wie dem „Cloud Act“ verhalte. Das Gesetz verpflichtet US-amerikanische Unternehmen, gespeicherte Kundendaten an Strafverfolgungsbehörden in den USA weiterzugeben – etwa bei Terrorverdacht. Brink sagte, die jetzt von Biden zugesicherten Beschränkungen von Datenverarbeitungen auf bestimmte Fälle seien wenig überzeugend.

Denn die Auslegungen, was in dieser Hinsicht verhältnismäßig sei und was nicht, seien in Europa und den USA unterschiedlich. Es bleibe damit unklar, wann aus Sicht der USA ein Datenzugriff für die nationale Sicherheit zulässig bleibe.

Eine wichtige Neuerung, die Biden den Europäern anbietet, ist die Einrichtung eines unabhängigen Gerichts, an das sich EU-Bürger wenden können, die ihre Bürgerrechte durch US-Nachrichtendienste verletzt sehen. Dieses Gericht, der Data Protection Review Court, soll bindende Urteile fällen und die Geheimdienste dazu zwingen können, bestimmte Spionageaktivitäten einzustellen. Damit sollen Europäer eine Klagemöglichkeit in den USA erhalten.

Datenschützer Brink: Der vom EuGH geforderte Systemwechsel findet nicht statt

Auch hier äußerte Brink Zweifel. „Dieser Data Protection Review Court wird nach der Verordnung des Justizministers innerhalb seines Ressorts eingerichtet“, sagte der Datenschützer. „Er dürfte damit der Exekutive zuzurechnen sein, was seiner Unabhängigkeit entgegensteht.“

Der Europäische Gerichtshof habe zudem nicht nur Rechtsbehelfe gegen ein staatliches Ausspähen verlangt, sondern auch ein Ende anlassloser Überwachung. „Davon kann aber derzeit nicht ausgegangen werden“, so Brink. Der vom EuGH geforderte „Systemwechsel findet somit nicht statt“.

Schrems warnt die EU vor einem nochmaligen Scheitern. Der EuGH habe schon zwei Mal die rechtlichen Grundlagen für einen Datentransfer gekippt. „Nun entscheidet die Kommission einfach genau so noch einmal“, sagte er. Das sei rechtlich und politisch problematisch: „Die EU-Kommission prangert rechtsstaatliche Mängel in Ungarn und Polen an, drückt bei den USA aber alle Augen zu.“

Die Kritik will die EU-Kommission nicht direkt kommentieren. Ein Sprecher sagte aber, man sei zuversichtlich, dass die Punkte, die der EuGH beanstandet habe, nun ausgeräumt seien. Für den Zugriff von US-Geheimdiensten gebe es nun strikte Sicherheitsvorkehrungen und Beschränkungen.

Die betroffenen US-Internetkonzerne drängen daher so schnell wie möglich auf ein neues EU-USA-Abkommen. „Wir fordern die EU-Mitgliedstaaten auf, die Angemessenheitsentscheidung unverzüglich zu genehmigen und die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks wiederherzustellen“, sagte Alexandre Roure vom Verband CCIA, der die Interessen von Firmen wie Amazon, Google und weiteren Cloud-Anbietern aus den USA vertritt. Die US-Regierung habe historische Schritte unternommen.

