Schrems-II: HmbBfDI-Stellungnahme zur Executive Order des US-Präsidenten vom 7. Oktober 2022

Executive Order sieht Übergangsfrist von bis zu einem Jahr vor – so lange haben achtzehn Geheimdienste der USA noch Zeit

[datensicherheit.de, 29.11.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die Lage des Datenschutzes in den USA ein. Mit der „Executive Order“ vom 7. Oktober 2022 habe der US-Präsident eine Antwort auf die „Schrems-II“-Entscheidung des Europäischen Gerichtshofs (EuGH) gegeben. Dieser Rechtsakt adressiere erkennbar die wesentlichen Kritikpunkte des Gerichts an der Rechtslage der USA. Ziel sei ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Transatlantische Datenübermittlungen würden damit sehr viel einfacher möglich als bislang. In den kommenden Monaten sei mit einem Entwurf der Kommissionsentscheidung zu rechnen. Vor dessen Finalisierung werde der Europäische Datenschutzausschuss eine in die Bewertung einfließende Stellungnahme abgeben.

Die aktuellen Auswirkungen der Executive Order

„Zum aktuellen Zeitpunkt hat sich an der Rechtslage in den USA noch nichts Entscheidendes geändert“, stellt der HmbBfDI fest. Die „Executive Order“ sehe eine Übergangsfrist von bis zu einem Jahr vor – so lange hätten die achtzehn Geheimdienste der USA Zeit, die im Rechtsakt vorgesehenen Garantien in die praktische Arbeit zu integrieren. Nach Informationen des HmbBfDI würden zahlreiche dieser Dienste für die Umsetzung noch mehrere Monate brauchen: „Dies betrifft insbesondere die neue Anforderung, Datenzugriffe auf das verhältnismäßige Maß einzugrenzen. Solange die Verhältnismäßigkeit nicht Einzug in die Geheimdienstpraxis gefunden hat, ist weiterhin von einer Datenauswertung auszugehen, die den Wesensgehalt des Datenschutzgrundrechts verletzt.“

Dasselbe gelte für die institutionellen Garantien durch Schaffung einer Beschwerdestelle und eines Datenschutzgerichts. Diese Gremien befänden sich noch im Aufbau. Die Arbeitsfähigkeit werde erst in mehreren Monaten gewährleistet sein. Derzeit verfasste „Transfer Impact Assessments“ müssten deshalb nach wie vor zu dem vom EuGH vorgezeichneten Ergebnis kommen. Die staatlichen Zugriffsbefugnisse in den USA gingen weiterhin über das in einer demokratischen Gesellschaft erforderliche Maß hinaus.

Inhalt der Executive Order – Garantien für europäischen Bürger

Die „Executive Order“ schafft demnach Garantien für europäischen Bürger gegenüber den US-amerikanischen Geheimdiensten. Die USA hätten sich damit weit auf die europäische Grundrechtstradition zubewegt. Die bisweilen zu lesende eher reflexartige und pauschale Kritik sei daher unangebracht. Ob der Rechtsakt letztlich den Anforderungen des EuGH genügt, werde von zahlreichen Details sowie der Umsetzung in der Praxis abhängen. Deswegen sei es jetzt wichtig, im dafür vorgesehenen Verfahren die rechtlichen Garantien gründlich zu prüfen. Zunächst sei der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss abzuwarten. Zu diesem werde sich der Europäische Datenschutzausschuss dann äußern.

„Positiv ist hervorzuheben, dass erstmals geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt werden.“ Hier zeigten die USA Bereitschaft, den Umfang staatlicher Datenerhebungen zumindest einzugrenzen. „Der häufig zu lesende Einwand, dass die ,Proportionality’ nicht 1:1 der deutschen ,Verhältnismäßigkeit’ entspricht, wird der Bedeutung des Themas nicht gerecht.“ Die Begriffsdefinition in der „Executive Order“ lehne sich erkennbar an das europäische Verfassungsrecht an. Das einzelfallbezogene und überprüfbare Dokumentationserfordernis zwinge zudem zu einer jeweils sorgfältigen Abwägung. Ein Angemessenheitsbeschluss erfordere keine vollständig kongruenten Rechtssysteme, sondern lediglich ein dem Wesen nach gleiches Niveau. „Schon im Vorfeld zu unterstellen, dass Rechtsbegriffe in der Umsetzungspraxis unzureichend ausgelegt werden könnten, ist spekulativ.“

Problematisch sei hingegen, dass am Instrument der Massenüberwachung (bulk collection) ausdrücklich festgehalten werde. „Inwieweit die neue Verhältnismäßigkeitsanforderung konkret die Massenüberwachung verändert, ist dem Text der ,Executive Order’ daher nicht eindeutig zu entnehmen.“ Wichtig seien deshalb engmaschige Überprüfungen der künftigen Anwendung im Hinblick auf etwaige Fehlentwicklungen.

Erfreulich sei auch, dass ein weiterer wesentlicher Kritikpunkt des Gerichtshofs aufgegriffen worden sei, nämlich ein effektiver Rechtsschutz europäischer Bürger gegen sie betreffende geheimdienstliche Aktivitäten durch ein Gremium mit verbindlichen Entscheidungsbefugnissen: Der neu eingerichtete „Data Protection Review Court“ genieße eine Stellung wie ein Gericht, werde mit unabhängigen Richtern von außerhalb der Exekutive besetzt und könne unter anderem Datenlöschungen und Verarbeitungseinschränkungen anordnen. „Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die ,Executive Order’, diese zu beseitigen.“

Zu beachten sei jedoch, dass für die Kläger das Rechtsschutzverfahren in der Sache vielleicht effektiv, aber kaum transparent und nachvollziehbar sei. „So ist nicht vorgesehen, in den Urteilen darüber zu informieren, ob und welche Maßnahmen ergriffen wurden.“ Diese Handhabung des Spannungsfelds zwischen staatlichem Geheimhaltungsinteresse und Rechtsschutzinteressen der Betroffenen würden die Kommission und der Datenschutzausschuss gründlich zu beleuchten haben.

Die Rechtsform als „Executive Order“ sei das probate Regelungsinstrument in den USA für extraterritoriale Anordnungen – es handele sich nicht um ein Gesetz zweiter Klasse. Sie sei insofern nicht mit der eher schwachen deutschen „Verordnung“ zu vergleichen. Robuste Eingriffe wie Wirtschaftssanktionen und Terrorismusbekämpfung würden seit Jahrzehnten wirksam per Präsidentenanordnung durchgesetzt. „Dass sie z.B. nach einem Regierungswechsel zügig zurückgenommen werden kann, ist richtig. Dies gilt für parlamentarische Gesetze jedoch ebenfalls.“ Die EU werde darauf mit sofortiger Aberkennung des Angemessenheitsstatus reagieren können.

Executive Order hat fundierte, ergebnisoffene Prüfung verdient

Die „Executive Order“ habe eine fundierte, ergebnisoffene Prüfung verdient. Die Kommission werde bei der Prüfung der Angemessenheit vor der Herausforderung stehen, einen abstrakten, noch nicht in der Praxis gelebten Rechtstext zu bewerten. „Entscheidende Punkte wie die Interpretation der Verhältnismäßigkeit durch die Geheimdienste oder die Funktionsfähigkeit des Datenschutzgerichts werden von der tatsächlichen Anwendung abhängen.“

Vor diesem Hintergrund sei zu raten, die künftige Entwicklung vor Ort im Blick zu halten. Dies erfordere von europäischer Seite einzufordernde Transparenz. Entsprechende Bedingungen und Vorbehalte könnten in den Beschluss mit aufgenommen werden.

Weitere Informationen zum Thema:

THE WHITE HOUSE, 07.10.2022
Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities

datensicherheit.de, 02.06.2021
Schrems II: Koordinierte Prüfung internationaler Datentransfers gestartet / Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren