EU‑U.S. DPF: Exe­cu­ti­ve Order unter­zeich­net; Ball bei der EU; noyb prüft Schrems III

Prä­si­dent Joe Biden hat gestern am 7. Okto­ber 2022 eine Exe­cu­ti­ve Order unter­zeich­net, die den einen Bau­stein des “EU‑U.S. Data Pri­va­cy Frame­work” (“EU‑U.S. DPF” oder “Trans­at­lan­tic Data Pri­va­cy Frame­work”, “TADPF”) dar­stellt. Der zwei­te wäre die Aner­ken­nung des aus­rei­chen­den Schutz­ni­veaus in den USA im Anwen­dungs­be­reich des TADPF durch die EU und dann sicher auch durch den EDÖB.

Das TADPF war im März 2022 ange­kün­digt wor­den, nach fast zwei­jäh­ri­gen Ver­hand­lun­gen zwi­schen den USA und der EU. Es soll die Lücke fül­len, die der EuGH mit Schrems II geris­sen hat.

Der EuGH hat­te im Schrems II-Urteil ins­be­son­de­re zwei Punk­te des US-Rechts bemängelt:

  • dass staat­li­chen Daten­zu­grif­fen eine den in Euro­pa gel­ten­den grund­recht­li­chen Anfor­de­run­gen genü­gen­de gesetz­li­che Grund­la­ge feh­le:

    180 … Unter die­sen Umstän­den ist die­se Vor­schrift … nicht geeig­net, ein Schutz­ni­veau zu gewähr­lei­sten, das dem durch die Char­ta – in ihrer Aus­le­gung durch die in den Rn. 175 und 176 des vor­lie­gen­den Urteils wie­der­ge­ge­be­ne Recht­spre­chung, wonach eine gesetz­li­che Grund­la­ge für Ein­grif­fe in Grund­rech­te, um dem Grund­satz der Ver­hält­nis­mä­ßig­keit zu genü­gen, den Umfang, in dem die Aus­übung des betref­fen­den Rechts ein­ge­schränkt wird, selbst fest­le­gen sowie kla­re und prä­zi­se Regeln für die Trag­wei­te und die Anwen­dung der betref­fen­den Maß­nah­me vor­se­hen und Min­de­ster­for­der­nis­se auf­stel­len muss – garan­tier­ten Niveau der Sache nach gleich­wer­tig ist.

    184 Folg­lich ist davon aus­zu­ge­hen, dass weder Sec­tion 702 des FISA noch die E.O. 12333 in Ver­bin­dung mit der PPD-28 den im Uni­ons­recht nach dem Grund­satz der Ver­hält­nis­mä­ßig­keit bestehen­den Min­dest­an­for­de­run­gen genü­gen, so dass nicht ange­nom­men wer­den kann, dass die auf die­se Vor­schrif­ten gestütz­ten Über­wa­chungs­pro­gram­me auf das zwin­gend erfor­der­li­che Maß beschränkt sind.

  • und dass wirk­sa­me Rechts­hel­fe feh­len:

    191 Hier­zu hat die Kom­mis­si­on … aus­ge­führt: „Auch wenn Pri­vat­per­so­nen, ein­schließ­lich Betroffene[n] in der [Uni­on], eine Rei­he von Rechts­schutz­in­stru­men­ten zur Ver­fü­gung steht, wenn sie aus Grün­den der natio­na­len Sicher­heit rechts­wid­rig (elek­tro­nisch) über­wacht wur­den, steht doch fest, dass zumin­dest eini­ge Rechts­grund­la­gen, die US-Nach­rich­ten­dien­ste nut­zen kön­nen (z. B. [die] E.O. 12333), [davon nicht erfasst wer­den].“ Sie hat also in die­sem 115. Erwä­gungs­grund hin­sicht­lich der E.O. 12333 das Feh­len jeg­li­chen Rechts­be­helfs her­vor­ge­ho­ben. Nach der in Rn. 187 des vor­lie­gen­den Urteils wie­der­ge­ge­be­nen Recht­spre­chung steht eine sol­che Lücke im gericht­li­chen Rechts­schutz gegen Ein­grif­fe, die mit den auf die­ses Prä­si­di­al­de­kret gestütz­ten Auf­klä­rungs­pro­gram­men ver­bun­den sind, der von der Kom­mis­si­on im DSS-Beschluss getrof­fe­nen Fest­stel­lung ent­ge­gen, dass das Recht der Ver­ei­nig­ten Staa­ten ein Schutz­ni­veau gewähr­lei­ste, das dem durch Art. 47 der Char­ta garan­tier­ten Niveau der Sache nach gleich­wer­tig sei.

    192 Im Übri­gen ist sowohl hin­sicht­lich der auf Sec­tion 702 des FISA gestütz­ten als auch hin­sicht­lich der auf die E.O. 12333 gestütz­ten Über­wa­chungs­pro­gram­me in den Rn. 181 und 182 des vor­lie­gen­den Urteils fest­ge­stellt wor­den, dass weder die PPD-28 noch die E.O. 12333 den betrof­fe­nen Per­so­nen Rech­te ver­lei­hen, die gegen­über den ame­ri­ka­ni­schen Behör­den gericht­lich durch­ge­setzt wer­den kön­nen, so dass die­se Per­so­nen nicht über einen wirk­sa­men Rechts­be­helf verfügen.

Vor die­sem Hin­ter­grund gibt die Exe­cu­ti­ve Order gemäss dem Fact Sheet des Wei­ssen Hau­ses im wesent­li­chen Fol­gen­des vor:

  • Schutz­mass­nah­men” in Bezug auf US-Signal­auf­klä­rungs­tä­tig­kei­ten (“Signals intel­li­gence” bzw. “Upstream Sur­veil­lan­ce”; d.h. in Bezug auf ein syste­ma­ti­sches Abfan­gen von Daten bei ihrer Über­mitt­lung etwa auf Grund­la­ge von FISA 702 und der EO 12333, die bei­de im Fokus des EuGH stan­den), etwa eine Beschrän­kung auf eine ver­hält­nis­mä­ssi­ge Tätig­keit für bestimm­te Zwecke der natio­na­len Sicher­heit und unter Berück­sich­ti­gung des Daten­schut­zes auch zugun­sten von Nicht-US-Bürgern;
  • Vor­ga­ben für den Umgang mit Per­so­nen­da­ten und erwei­ter­te Zustän­dig­kei­ten der ent­spre­chen­den Beam­ten, damit bei Ver­stö­ssen geeig­ne­te Maß­nah­men ergrif­fen werden;
  • ein Update der Richt­li­ni­en und Ver­fah­ren der U.S. Intel­li­gence Community;
  • unab­hän­gi­ger Rechts­schutz für Ein­zel­per­so­nen aus Qua­li­fy­ing Sta­tes und für bestimm­te Orga­ni­sa­tio­nen bei behaup­te­ten Daten­schutz­ver­let­zun­gen, über den “Civil Liber­ties Pro­tec­tion Offi­cer” (CLPO) der bin­dend ent­schei­den kann; sodann über ein neu­es Data Pro­tec­tion Review Court (DPRC), das Ent­schei­dun­gen des CLPO über­prü­fen kann. Der oder das DPRC soll unab­hän­gig zusam­men­ge­setzt sein und ohne Anwei­sun­gen der Regie­rung handeln;
  • das bestehen­de Pri­va­cy and Civil Liber­ties Over­sight Board (PCLOB) soll die Richt­li­ni­en und Ver­fah­ren der Intel­li­gence Com­mu­ni­ty regel­mä­ssig prüfen.

Der Voll­text der Exe­cu­ti­ve Order ist hier abruf­bar.

Der Ball liegt nun bei der EU-Kom­mis­si­on, die nun das Ver­fah­ren für einen Ange­mes­sen­heits­be­schluss ansto­ssen kann. In die­sem Rah­men wer­den sich der Euro­päi­sche Daten­schutz­aus­schus­ses (EDPB/EDSA) und die Mit­glied­staa­ten äussern, und das Euro­päi­sche Par­la­ment hat ein Kon­troll­recht. Wei­te­re Infor­ma­tio­nen dazu fin­den sich in den Fra­gen & Ant­wor­ten der EU-Kom­mis­si­on zum TADPF. In der Zwi­schen­zeit sind Unter­neh­men wei­ter­hin auf die Stan­dard­ver­trags­klau­seln ange­wie­sen (sofern kei­ne Aus­nah­men oder ande­ren “Trans­fer Tools” gelten.

Wenig über­ra­schend ist sicher die Reak­ti­on von noyb, dem NGO von Max Schrems: “Exe­cu­ti­ve Order on US Sur­veil­lan­ce unli­kely to satisfy EU law”. Begrün­det wird dies damit, dass

  • die Über­wa­chungs­mass­nah­men fort­ge­setzt werden:

    Howe­ver, despi­te chan­ging the­se words, the­re is no indi­ca­ti­on that US mass sur­veil­lan­ce will chan­ge in prac­ti­ce. So-cal­led “bulk sur­veil­lan­ce” will con­ti­nue under the new Exe­cu­ti­ve Order (see Sec­tion 2 (c)(ii)) and any data sent to US pro­vi­ders will still end up in pro­grams like PRISM or Upstream, despi­te of the CJEU decla­ring US sur­veil­lan­ce laws and prac­ti­ces as not “pro­por­tio­na­te” (under the Euro­pean under­stan­ding of the word) twice.

  • das DPRC kein wirk­li­ches Gericht sei:

    Court” is not a real Court. The Exe­cu­ti­ve Order is meant to also add redress. The­re will now be a two step pro­ce­du­re, with the firs step being an offi­cer under the Direc­tor of Natio­nal Intel­li­gence and a second step being a “Data Pro­tec­tion Review Court”. Howe­ver, this will not be a “Court” in the nor­mal legal mea­ning of Arti­cle 47 of the Char­ter or the US Con­sti­tu­ti­on, but a body wit­hin the US government’s exe­cu­ti­ve branch. The new system is an upgrades ver­si­on of the pre­vious “Ombuds­per­son” system, which was alrea­dy rejec­ted by the CJEU. It seems clear that this exe­cu­ti­ve body would not, amount to “judi­cial redress” as requi­red under the EU Charter.

  • Betrof­fe­ne wei­ter­hin nicht infor­miert wer­den, ob sie tat­säch­lich von einer Über­wa­chung betrof­fen waren:

    As befo­re the US government will neit­her con­firm nor deny that the user was under sur­veil­lan­ce and will only inform the user that the­re was eit­her no vio­la­ti­on or it was reme­di­es (see Sec­tion 3(c)(E) of the EO). The user will not be know more. This also makes the opti­on for an appeal useless, as the­re is sim­ply not­hing to appeal about, as long as the user got this rub­ber stamp answer.

noyb will die Rechts­la­ge wei­ter ana­ly­sie­ren und dann ent­schei­den, ob noyb Schrems III anpeilt.