Da ging was schief.

Fehler 404.

10.05.2022
Privacy Shield

Wie wir den Kreislauf der Schrems-Urteile durchbrechen

Der transatlantische Datenverkehr bleibt problematisch, erst Recht in Kriegszeiten. Alle vier Jahre könnte ein neues “Schrems”-Urteil drohen – doch es gibt einen Ausweg: Technologie.

Wenn der Trade and Technology Council (TTC) – ein Gremium, das die Digitalpolitik von EU und USA koordinieren soll – ab 15.5.2022 in Paris-Saclay tagt, geht es dem Vernehmen nach um Exportkontrollen im Technologiebereich, die Kooperation bei der Halbleiterproduktion und die Bekämpfung von Desinformation. Ohne Zweifel diktiert der Angriffskrieg Russlands auf die Ukraine auch diese Agenda. Was zumindest offiziell wohl ausgeklammert bleibt, sind die Datentransfers aus der Europäischen Union in die Vereinigten Staaten. Dabei besteht seit dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Schrems II im Juli 2020 gerade hier erhebliche Rechtsunsicherheit.

Bekanntlich wurde der Angemessenheitsbeschluss der Kommission zum Privacy Shield Framework in dieser Entscheidung für ungültig erklärt. Seitdem müssten Datenübermittlungen wieder auf andere geeignete Garantien gestützt werden – wenn es denn solche gäbe. Nach überwiegender Auffassung kann nämlich das erforderliche Datenschutzniveau auch nicht durch Standarddatenschutzklauseln gewährleistet werden. Ergo: Der transatlantische Datenverkehr und damit auch die Nutzung von Cloud-Diensten US-amerikanischer Anbieter müsste wegen Unvereinbarkeit mit der Datenschutzgrundverordnung (DSGVO) eigentlich eingestellt werden. Wer aber will das?

Politischer Rettungsversuch

So weckt es Hoffnungen, dass sich die EU und die USA zumindest auf politischer Ebene geeinigt haben, Datentransfers nach Übersee wieder auf eine sichere Rechtsgrundlage stellen zu wollen. In einem gemeinsamen Statement gaben US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen am 25.3.2022 bekannt, dass die Parteien sich nach über einjährigen Verhandlungen grundsätzlich verständigt haben, einen Privacy Shield 2.0 (Trans-Atlantic Data Privacy Framework) aufzusetzen, um die Datenwirtschaft zwischen der EU und den Vereinigten Staaten zu fördern und gleichzeitig den Anforderungen aus Schrems II zu entsprechen.

Die Einigung soll bis Herbst 2022 rechtlich abgesegnet, insbesondere sollen die Zusagen auf US-amerikanischer Seite durch eine Executive Order implementiert werden. Man wolle den Schutz der Privatsphäre und der bürgerlichen Freiheiten durch neue Maßnahmen sicherstellen und hierdurch die Verhältnismäßigkeit von Überwachungsaktivitäten garantieren. Zugunsten betroffener Unionsbürger soll es einen mehrstufigen Rechtsbehelfsmechanismus geben, der ein unabhängiges „Gericht“ („Data Protection Review Court“) umfasst. Soweit die Theorie.

Aller guten Dinge sind drei: Schrems III

Diese Maßnahmen dürften freilich weder Max Schrems, den namensgebenden Dauerbeschwerdeführer aus Wien, noch den EuGH maßgeblich beeindrucken. Sie werden ein weiteres Mal darauf beharren, dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften tatsächlich ein Schutzniveau der Grundrechte zu gewährleisten hat, das dem in der Rechtsordnung der Union garantierten Niveau der Sache nach gleichwertig ist. Dass dies mit Blick auf Art. 7 Grundrechtecharta (GrCh) , dem Grundrecht auf Achtung des Privatlebens, und Art. 8 GRCh, dem Grundrecht auf Schutz der personenbezogenen Daten, in den USA nicht der Fall ist, zeigt ihre unveränderte Einstellung zu geheimdienstlicher Überwachung, die Sicherheitsbelangen gegenüber der Privatsphäre den Vorrang einräumt.

Diese Haltung dürfte durch den Krieg in der Ukraine eher bestärkt worden sein: Er zeigt die Bedeutung von Auslandsüberwachung einmal mehr auf. Diese wird legitimiert, ungeachtet der Grundrechte von Unionsbürgern nach Section 702 des Foreign Intelligence Surveillance Act (FISA), – dessen Geltung wurde bis 31.12.2023 verlängert. Dass der versprochene Rechtsschutz in den USA an harte Grenzen stößt, zeigt auch der Supreme Court: Er entschied am 4.3.2022 in der Sache FBI vs. Fazaga, dass Maßnahmen nach FISA dem Staatsgeheimnisprivileg unterfallen. Es darf gewettet werden, dass auch ein Privacy Shield 2.0 so wenig Bestand vor dem EuGH haben wird wie seine beiden Vorgängerabkommen.

Augen zu und durch?

So bleibt es bei dem Dilemma: In der aus wirtschaftlichen, politischen und auch gesellschaftlichen Gründen unausweichlich globalisierten digitalen Welt können technologische Grenzen überwunden werden, aber kaum rechtskulturelle Unterschiede. Im Zweifel für die Sicherheit, sagen die USA. Im Zweifel für die Privatsphäre, entgegnet die EU.

Der Angriffskrieg von Russland zeigt, dass beide Positionen berechtigt sind: Die Ukraine verteidigt westliche Werte, Demokratie und Grundrechte – ist aber nur erfolgreich, wenn und weil der Staat, das Militär und Sicherheitsbehörden wehrhaft und wehrfähig bleiben. Informationen sind ein wesentlicher Bestandteil dessen. Und nun?

Setzen wir weiter auf Kooperation mit den USA (und dafür spricht derzeit mehr denn je), kann man entweder die Augen schließen und so tun, als hätte man die Anforderungen der DSGVO eingehalten. Dafür nimmt man dann alle vier Jahre ein EuGH-Urteil in Kauf: faktische Ignoranz des Normativen.

Technik statt vertraglicher Augenwischerei

Oder man sucht technische Lösungen, wo rechtlich-vertragliche Augenwischerei nicht hilft. Diesen Ausweg zeigte der Europäische Datenschutzausschuss (EDSA) bereits in seinen Empfehlungen vom 10.11.2020 auf: In Randziffer 88 zum Use Case Cloud-Nutzung von Klardaten heißt es, „dass durch künftige technische Entwicklungen Maßnahmen möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass Zugang zu den unverschlüsselten Daten benötigt würde“.

Das Zauberwort heißt Innovation: Schaffung einer Intermediärslösung, die die Nutzung US-amerikanischer Cloud-Dienste ermöglicht, ohne dass Klardaten übermittelt werden. Für solche technischen Lösungen gibt es bereits Ansätze, sie bieten die normative Kraft des Faktischen, oder buchstäblich: Privacy by design.

Paris-Saclay beherbergt einen Technologie- und Wissenschaftspark, der zu den weltweit größten Forschungsclustern zählt. Vielleicht inspiriert dieser genius loci den TTC auch zu innovativen Lösungen jenseits der Tagesordnung.

 

Foto: von Compare Fibre auf Unsplash

Suggested Citation

Heckmann, Dirk: Wie wir den Kreislauf der Schrems-Urteile durchbrechen, libra-rechtsbriefing, 9.5.2022, https://www.libra-rechtsbriefing.de/L/schremsurteile/