Analyse der neuen Durchführungsverordnung von Joe Biden

Datenübermittlungen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) finden täglich massenweise statt. Ob durch den Einsatz von Hosting Diensten, Analysetools oder den E-Mail-Anbieter, ständig gelangen personenbezogene Daten auf amerikanische Server. Umso erstaunlicher ist die unklare Rechtslage, in der es entscheidend auf die konkrete Risikoeinschätzung im Einzelfall ankommt, die in diesem Bereich herrscht.

Doch wie kommt diese Rechtsunsicherheit zustande? Und wird sich nun durch die neue „Executive Order“ (Durchführungsverordnung) von Biden alles verändern?

Hintergrund: Von Snowden bis Biden, von “Safe-Harbor” bis “Schrems II”

Um den Kontext der Durchführungsverordnung von Biden vom 07.10.2022 vollumfänglich zu verstehen, ist es erforderlich zu begreifen, warum gerade der Datentransfer in die USA im Fokus der europäischen Gerichte steht.

Hierfür ist es erforderlich wenigstens bis in das Jahr 2000 zurückzublicken. Mit der Entscheidung der Kommission vom 26. Juli 2000 war damals das sog. “Safe Harbor”-Abkommen (Zu Deutsch: “Sicherer Hafen”) zustande gekommen. Hintergrund war, dass bereits das damals geltende Datenschutzrecht in Europa einen Datentransfer in Drittstaaten (und damit auch in die USA) grundsätzlich verbot, wenn nicht ein vergleichbares Schutzniveau garantiert war.

Mit dem Beschluss der Kommission wurde US-Unternehmen nun die Möglichkeit eröffnet, dem sog. “Safe Harbor” beizutreten, sich also auf der entsprechenden Liste des US-Handelsministeriums eintragen zu lassen und sich gleichzeitig zu verpflichten, bestimmte datenschutzrechtliche Vorgaben einzuhalten.

Wie jedoch sicher kaum gesagt werden muss, entwickelte sich der digitale Markt und damit konsequenterweise auch die Datenübermittlung zwischen der EU und den USA in den folgenden Jahren enorm. Private (US-amerikanische) Messaging-Dienste wie WhatsApp lösten die Kommunikation durch SMS praktisch vollständig ab, Amazon entwickelte “Amazon Web Services” (AWS) als Infrastrukturdienstleistung für Unternehmen und private Nutzer und (bald marktbeherrschende) Unternehmen wie Facebook und Google begannen “Tracker- und Analysedienste” anzubieten. Rufe nach einer Aktualisierung des “Safe Harbor”-Abkommens wurden immer lauter.

2013 – nach den Enthüllungen Edward Snowdens über die extrem weitreichende Überwachung durch die amerikanischen Geheimdienste – forderten schließlich sogar die deutschen Datenschutzbeauftragten die deutsche Bundesregierung und die Europäische Kommission auf, bis auf weiteres keinen Datenexport in die USA auf Grundlage des “Safe Harbor”-Abkommens mehr zuzulassen.

Als Reaktion begannen Reformversuche, bis schließlich durch das sog. “Schrems I”-Urteil der großen Kammer des Europäischen Gerichtshofs (EuGH) am 6. Oktober 2015 die Entscheidung der Kommission vom 26. Juli 2000 als ungültig erklärt wurde. “Safe Harbor” war Geschichte.

In diesem “Schrems-I”-Urteil kritisierte der EuGH vor allem, dass sich die mit der Datenübermittlung einhergehende Einschränkung der Grundrechte zahlreicher Unionsbürger nicht auf das “absolut Notwendige” beschränke, sowie die Tatsache, dass die Bestimmungen von “Safe Harbor” keine hinreichenden Rechtsbehelfsmechanismen für EU-Bürger vorsehen, was das Grundrecht eines jeden Unionsbürger auf wirksamen gerichtlichen Rechtsschutz nach Art. 47 Abs. 1 Charta verletze. Schließlich wurde außerdem bemängelt, dass durch die Entscheidung keineswegs das (vom Gesetz verlangte) im gesamten Drittstaat geltende angemessene Schutzniveau festgestellt wurde.

Im Februar 2016 wurde die Antwort der USA und der Kommission bekannt gegeben. Ein sog. “EU-US-Datenschutzschild” (Im Folgenden: “Privacy Shield”) sollte nun den Datenverkehr zwischen ihnen rechtmäßig gestalten. Insbesondere wurde dabei auf Transparenzpflichten gesetzt, sowie die Verpflichtung von amerikanischen Unternehmen festgeschrieben, (1) Entscheidungen der europäischen Datenschutzbehörden nachzukommen, (2) Beschwerden von betroffenen Personen innerhalb einer bestimmten Frist nachzukommen und (3) kostenlose Verfahren zur Streitbeilegung zur Verfügung zu stellen. Darüber hinaus wurde festgelegt, dass Zugriffe durch US-Amerikanische Sicherheitsbehörden die Ausnahme bleiben müssen und nur erfolgen dürfen, wenn sie notwendig und verhältnismäßig sind.

Aber auch das Privacy Shield Abkommen sollte nicht lange gelten, denn im “Schrems II”- Urteil der großen Kammer des EuGH vom 16. Juli 2020 wurde auch das Privacy Shield für ungültig erklärt. Insbesondere wurde bemängelt, dass kein in der USA geltender Rechtsakt den betroffenen Personen Rechte verlieh, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden konnten. Weiter wurde auch die Verhältnismäßigkeit der Grundrechtseingriffe angezweifelt.

Die Standardvertragsklauseln, um dessen Rechtmäßigkeit es in der Entscheidung ebenfalls ging, wurden zwar durch die Entscheidung nicht für ungültig erklärt, dennoch wurde klargestellt, dass sie allein nicht pauschal ausreichen, um ein angemessenes Schutzniveau im Einzelfall zu garantieren. Es ging bei der Kritik des EuGH und anderen Datenschützern seit den Enthüllungen durch Snowden vordergründig stehts um die weitreichenden Befugnisse der amerikanischen Geheimdienste, die nicht mit den europäischen Grundrechten vereinbar seien. Standardvertragsklauseln wirken jedoch nur zwischen den Vertragsparteien, sie können die amerikanischen Behörden nicht binden, dies muss durch einen offiziellen Rechtsakt geschehen.

Als neuste Konsequenz unterzeichnete Joe Biden deswegen nun eine Durchführungsverordnung, die nun endlich Rechtssicherheit für die Datenübermittlung von und in die USA schaffen sollte.

Analyse und Kritik

Doch die Durchführungsverordnung Bidens lässt weiterhin Fragen offen. Eine vollumfängliche Analyse würde den hier gegeben Rahmen sprengen, sodass im Folgenden vor allem auf drei zentrale Kritikpunkte eingegangen wird.

Die Form des Rechtsakts

Zunächst ist bereits die Form der rechtlichen Neuerung zu problematisieren. So handelt es sich hierbei keinesfalls um ein förmliches Bundesgesetz, welches der Kongress als Gesetzgeberisches Organ verabschiedet hat und, welches unmittelbar rechtliche Wirkung entfaltet. Stattdessen wurde die Form einer sog. Executive Order gewählt. Übersetzt bringt wohl der Begriff der “Durchführungsverordnung” den teilweise verbindlichen Charakter des Rechtsakts am besten zum Ausdruck. Es handelt sich um ein, vom amtierenden Präsidenten erlassenes Dekret. Im Gegensatz zu Bundesgesetzen können Durchführungsverordnungen jederzeit durch den amtierenden Präsidenten abgeändert oder zurückgenommen werden. Sie begründen auch in der Regel keine unmittelbaren Rechte, sondern sind zunächst lediglich für die dem Präsidenten unterstehenden Beamten und Behörden bindend, die sie umsetzen (“durchführen”) müssen. Interessant ist jedoch, dass die Durchführungsverordnung in Section 5. (h) den Eindruck erweckt, tatsächlich unmittelbare Rechte zu verleihen: “This order creates an entitlement to submit qualifying complaints to the CLPO and to obtain review of the CLPO’s decisions by the Data Protection Review Court in accordance with the redress mechanism established in section 3 of this order.”

Dennoch ist schon durch die Tatsache, dass die Durchführungsverordnung jederzeit zurückgenommen werden kann, bereits ein erheblicher Makel für die Rechtssicherheit.

Das Verständnis von Verhältnismäßigkeit

Ein weiteres, mögliches Problem findet sich außerdem bereits am Anfang der Durchführungsverordnung. So wird sowohl in Section 1 als auch in Section 2 bereits auf die „Verhältnismäßigkeit“ eingegangen. Warum der Grundsatz der Verhältnismäßigkeit zentral ist, ergibt sich ebenfalls aus der ständigen Rechtsprechung des EuGH.

So hat der Europäische Gerichtshof festgestellt, dass “die Weitergabe personenbezogener Daten an einen Dritten, etwa an eine Behörde, […] einen Eingriff in die in den Art. 7 und 8 der [EU-Grundrechte-Charta] verankerten Grundrechte [auf Achtung des Privatlebens und Schutz personenbezogener Daten]” darstellt. (Rn. 171 Schrems II)

Der EuGH stellte jedoch auch bereits fest, dass “die in den Art. 7 und 8 der Charta niedergelegten Rechte […] keine uneingeschränkte Geltung beanspruchen” können. (Rn. 172 Schrems II). Ein Eingriff kann gerechtfertigt sein. Hierfür muss er jedoch jedenfalls nach Art. 52 Abs. 1 Satz. 3 der Charta dem Grundsatz der Verhältnismäßigkeit entsprechen.

Ob diesem Grundsatz mit den Bestimmungen der Durchführungsverordnung gerecht geworden ist, ist durchaus fraglich. In der Durchführungsverordnung wird zwar immer wieder betont, dass die Verhältnismäßigkeit einer geheimdienstlichen Maßnahme zentral für denen Rechtmäßigkeit sein soll, jedoch scheint es, als wäre der Verhältnismäßigkeitsbegriff der Durchführungsverordnung keinesfalls identisch mit dem der EU.

Zentral ist hier vor allem auch die Voraussetzung, dass sich Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken müssen (Rn. 176 Schrems II). Der Eingriff muss regelmäßig das mildeste Mittel darstellen mit dem das legitime Ziel erreich werden kann.

Ob diesem Grundsatz mit den Bestimmungen der Durchführungsverordnung Rechnung getragen wird, ist durchaus fraglich. In der Durchführungsverordnung wird zwar immer wieder betont, dass die Verhältnismäßigkeit einer geheimdienstlichen Maßnahme zentral für denen Rechtmäßigkeit sein soll, jedoch scheint es, als wäre der Verhältnismäßigkeitsbegriff der Durchführungsverordnung keinesfalls identisch mit dem der EU.

So steht beispielsweise in Section 2 (a) (ii) (A) zwar, dass die Überwachungsmaßnahme (also die Datenerhebung/ -verarbeitung) für das Vorantreiben eines nachrichtendienstlichen Ziels notwendig sein muss, im nächsten Halbsatz wird dann jedoch gesagt, dass die Tätigkeit nicht das einzige verfügbare oder genutzte Mittel sein muss, um Aspekte der validierten nachrichtendienstlichen Priorität voranzubringen. (Wortlaut: “signals intelligence activities shall be conducted only based on a reasonable assessment, that the activities are necessary to advance a validated intelligence priority, although signals intelligence does not have to be the sole means available or used for advancing aspects of the validated intelligence priority.”) Es wird somit fast explizit keine Voraussetzung des “mildesten Mittels” festgeschrieben.

Wirksamer Rechtsschutz

Als letztes problematisiert wird der Rechtsbehelfsmechanismus, den die Durchführungsverordnung vorsieht. In der Vergangenheit hat der EuGH immer wieder die Zentralität des Art. 47 der Charta hervorgehoben, nach dem “jede Person, deren unionsrechtlich garantierte Rechte oder Freiheiten verletzt worden sind, das Recht hat, […] bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Nach Art. 47 Abs. 2 hat jede Person ein Recht darauf, dass ihre Sache vor einem unabhängigen und unparteiischen Gericht verhandelt wird.” (Rn. 186 Schrems II)

Der Gerichtshof hat dabei auch betont, dass “das Bestehen solcher wirksamen Rechtsbehelfe im betreffenden Drittland […] im Kontext einer Übermittlung personenbezogener Daten in dieses Drittland besonders wichtig [ist].” (Rn. 189 Schrems II)

Nun wird durch die Durchführungsverordnung tatsächlich ein Rechtsbehelfsmechanismus und sogar ein Datenschutzgericht geschaffen, doch es bleibt fraglich, ob dies ausreichend ist. Es ergeben sich drei zentrale Probleme:

1. Die Frage der Unabhängigkeit des Gerichts

So werden die Richter des Gerichts durch den Justizminister in Absprache mit der Handelsministerin, der Direktorin der nationalen Nachrichtendienste (Director of National Intelligence) und der Aufsichtsbehörde für Datenschutz und bürgerliche Freiheiten (Privacy and Civil Liberties Oversight Board, kurz: PCLOB) ernannt.  Dem sog. Datenschutz-Überprüfungsgericht (Data Protection Review Court). Durch die Durchführungsverordnung wird etwa festgelegt, dass der Justizminister Richter abberufen darf, sofern bestimmte Gründe, wie etwa Fehlverhalten oder Pflichtverletzungen vorliegen. Ein sehr unübliches Verfahren, jedenfalls aus der Europäischen Perspektive, da es die Unabhängigkeit von Richtern sehr stark einschränkt.

2. Intransparenz des Verfahrens

So darf man sich das gerichtliche Verfahren keinesfalls so vorstellen, dass die betroffene Person und die Behörde verhandeln. Vielmehr wird lediglich das Gericht unter Geheimhaltung über den Sachverhalt beraten. Ein, von den Richtern selbst ausgewählter, sog. “Sonderbeistand” vertritt in diesem geheimen Verfahren die Interessen der betroffenen Person.

Das Ergebnis des Verfahrens erfährt die betroffene Person lediglich auf Antrag über die zuständige Behörde. Dabei wird nicht bestätigt oder geleugnet, ob die betroffene Person Gegenstand von nachrichtendienstlichen Tätigkeiten der Vereinigten Staaten war. Stattdessen wird lediglich mitgeteilt, dass “bei der Überprüfung entweder keine erfassten Verstöße festgestellt wurden oder das Datenschutz-Überprüfungsgericht eine Feststellung getroffen hat, die angemessene Abhilfemaßnahmen erfordert”.

3. Keine grundsätzliche Änderung der gerichtlichen Durchsetzungsmöglichkeiten

Im letzten Absatz der Durchführungsverordnung wird schließlich klargestellt, dass sie keine anderen Ansprüche, Rechte oder Vorteile materieller oder verfahrensrechtlicher Art begründen soll, die von einer Partei gegen die Vereinigten Staaten, ihre Ministerien, Behörden oder Einrichtungen, ihre Beamten, Angestellten oder Bevollmächtigten oder eine andere Person rechtlich oder nach Billigkeit durchgesetzt werden können. Diese Anordnung ziele hiernach nicht darauf ab, die Verfügbarkeit oder den Umfang einer gerichtlichen Überprüfung der im Rahmen des Rechtsbehelfsverfahrens getroffenen Entscheidungen zu ändern, die durch das geltende Recht geregelt ist, und tut dies auch nicht. (Wortlaut: „This order is not intended to, and does not, create any other entitlement, right, or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. This order is not intended to, and does not, modify the availability or scope of any judicial review of the decisions rendered through the redress mechanism, which is governed by existing law.”

Fazit und Ausblick

Im “Fact Sheet” des Weißen Hauses zur Durchführungsverordnung wird als Ziel ein Angemessenheitsbeschluss festgehalten, ob die in der Durchführungsverordnung beabsichtigten Maßnahmen jedoch das (vom EuGH in ständiger Rechtsprechung verlangte) dem in der Union herrschende der Sache nach gleiche Schutzniveau erreicht wird ist fraglich.

Einige Beobachter erwarten dennoch, dass die Kommission versuchen wird einen Angemessenheitsbeschluss auf den Weg zu bringen. Solange dieser jedoch nicht ergangen und auch vom EuGH bestätigt ist, kann von Rechtssicherheit beim Datentransfer in die USA noch keine Rede sein.