Präsident Joe Biden hat gestern am 7. Oktober 2022 eine Executive Order unterzeichnet, die den einen Baustein des “EU‑U.S. Data Privacy Framework” (“EU‑U.S. DPF” oder “Transatlantic Data Privacy Framework”, “TADPF”) darstellt. Der zweite wäre die Anerkennung des ausreichenden Schutzniveaus in den USA im Anwendungsbereich des TADPF durch die EU und dann sicher auch durch den EDÖB.
Das TADPF war im März 2022 angekündigt worden, nach fast zweijährigen Verhandlungen zwischen den USA und der EU. Es soll die Lücke füllen, die der EuGH mit Schrems II gerissen hat.
Der EuGH hatte im Schrems II-Urteil insbesondere zwei Punkte des US-Rechts bemängelt:
- dass staatlichen Datenzugriffen eine den in Europa geltenden grundrechtlichen Anforderungen genügende gesetzliche Grundlage fehle:
180 … Unter diesen Umständen ist diese Vorschrift … nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta – in ihrer Auslegung durch die in den Rn. 175 und 176 des vorliegenden Urteils wiedergegebene Rechtsprechung, wonach eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss – garantierten Niveau der Sache nach gleichwertig ist.
…
184 Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind. - und dass wirksame Rechtshelfe fehlen:
191 Hierzu hat die Kommission … ausgeführt: „Auch wenn Privatpersonen, einschließlich Betroffene[n] in der [Union], eine Reihe von Rechtsschutzinstrumenten zur Verfügung steht, wenn sie aus Gründen der nationalen Sicherheit rechtswidrig (elektronisch) überwacht wurden, steht doch fest, dass zumindest einige Rechtsgrundlagen, die US-Nachrichtendienste nutzen können (z. B. [die] E.O. 12333), [davon nicht erfasst werden].“ Sie hat also in diesem 115. Erwägungsgrund hinsichtlich der E.O. 12333 das Fehlen jeglichen Rechtsbehelfs hervorgehoben. Nach der in Rn. 187 des vorliegenden Urteils wiedergegebenen Rechtsprechung steht eine solche Lücke im gerichtlichen Rechtsschutz gegen Eingriffe, die mit den auf dieses Präsidialdekret gestützten Aufklärungsprogrammen verbunden sind, der von der Kommission im DSS-Beschluss getroffenen Feststellung entgegen, dass das Recht der Vereinigten Staaten ein Schutzniveau gewährleiste, das dem durch Art. 47 der Charta garantierten Niveau der Sache nach gleichwertig sei.
192 Im Übrigen ist sowohl hinsichtlich der auf Section 702 des FISA gestützten als auch hinsichtlich der auf die E.O. 12333 gestützten Überwachungsprogramme in den Rn. 181 und 182 des vorliegenden Urteils festgestellt worden, dass weder die PPD-28 noch die E.O. 12333 den betroffenen Personen Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können, so dass diese Personen nicht über einen wirksamen Rechtsbehelf verfügen.
Vor diesem Hintergrund gibt die Executive Order gemäss dem Fact Sheet des Weissen Hauses im wesentlichen Folgendes vor:
- “Schutzmassnahmen” in Bezug auf US-Signalaufklärungstätigkeiten (“Signals intelligence” bzw. “Upstream Surveillance”; d.h. in Bezug auf ein systematisches Abfangen von Daten bei ihrer Übermittlung etwa auf Grundlage von FISA 702 und der EO 12333, die beide im Fokus des EuGH standen), etwa eine Beschränkung auf eine verhältnismässige Tätigkeit für bestimmte Zwecke der nationalen Sicherheit und unter Berücksichtigung des Datenschutzes auch zugunsten von Nicht-US-Bürgern;
- Vorgaben für den Umgang mit Personendaten und erweiterte Zuständigkeiten der entsprechenden Beamten, damit bei Verstössen geeignete Maßnahmen ergriffen werden;
- ein Update der Richtlinien und Verfahren der U.S. Intelligence Community;
- unabhängiger Rechtsschutz für Einzelpersonen aus Qualifying States und für bestimmte Organisationen bei behaupteten Datenschutzverletzungen, über den “Civil Liberties Protection Officer” (CLPO) der bindend entscheiden kann; sodann über ein neues Data Protection Review Court (DPRC), das Entscheidungen des CLPO überprüfen kann. Der oder das DPRC soll unabhängig zusammengesetzt sein und ohne Anweisungen der Regierung handeln;
- das bestehende Privacy and Civil Liberties Oversight Board (PCLOB) soll die Richtlinien und Verfahren der Intelligence Community regelmässig prüfen.
Der Volltext der Executive Order ist hier abrufbar.
Der Ball liegt nun bei der EU-Kommission, die nun das Verfahren für einen Angemessenheitsbeschluss anstossen kann. In diesem Rahmen werden sich der Europäische Datenschutzausschusses (EDPB/EDSA) und die Mitgliedstaaten äussern, und das Europäische Parlament hat ein Kontrollrecht. Weitere Informationen dazu finden sich in den Fragen & Antworten der EU-Kommission zum TADPF. In der Zwischenzeit sind Unternehmen weiterhin auf die Standardvertragsklauseln angewiesen (sofern keine Ausnahmen oder anderen “Transfer Tools” gelten.
Wenig überraschend ist sicher die Reaktion von noyb, dem NGO von Max Schrems: “Executive Order on US Surveillance unlikely to satisfy EU law”. Begründet wird dies damit, dass
- die Überwachungsmassnahmen fortgesetzt werden:
However, despite changing these words, there is no indication that US mass surveillance will change in practice. So-called “bulk surveillance” will continue under the new Executive Order (see Section 2 (c)(ii)) and any data sent to US providers will still end up in programs like PRISM or Upstream, despite of the CJEU declaring US surveillance laws and practices as not “proportionate” (under the European understanding of the word) twice.
- das DPRC kein wirkliches Gericht sei:
“Court” is not a real Court. The Executive Order is meant to also add redress. There will now be a two step procedure, with the firs step being an officer under the Director of National Intelligence and a second step being a “Data Protection Review Court”. However, this will not be a “Court” in the normal legal meaning of Article 47 of the Charter or the US Constitution, but a body within the US government’s executive branch. The new system is an upgrades version of the previous “Ombudsperson” system, which was already rejected by the CJEU. It seems clear that this executive body would not, amount to “judicial redress” as required under the EU Charter.
- Betroffene weiterhin nicht informiert werden, ob sie tatsächlich von einer Überwachung betroffen waren:
As before the US government will neither confirm nor deny that the user was under surveillance and will only inform the user that there was either no violation or it was remedies (see Section 3(c)(E) of the EO). The user will not be know more. This also makes the option for an appeal useless, as there is simply nothing to appeal about, as long as the user got this rubber stamp answer.
noyb will die Rechtslage weiter analysieren und dann entscheiden, ob noyb Schrems III anpeilt.