USA unterzeichnen Dekret für Datenaustausch mit der EU

Im März 2022 haben sich die EU und die USA grundsätzlich auf Rahmenbedingungen für ein Privacy Shield 2.0 geeinigt. Nun gibt es dazu erste Details. US-Präsident Joe Biden unterzeichnete ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU. Der Erlass sieht neue Richtlinien für den Umgang von US-Geheimdiensten mit Daten von EU-Bürgerinnen und -Bürgern vor, wie das Weisse Haus mitteilt.

Der von Biden unterzeichnete Erlass schreibt fest, dass die Überwachung von Datenströmen durch US-Geheimdienste nur für das Erreichen von "definierten Zielen der nationalen Sicherheit" erfolgen darf. Und dass dabei die "Privatsphäre und die bürgerlichen Freiheitsrechte" aller Menschen unabhängig von Nationalität und Wohnort berücksichtigt werden müssten.

Zudem sieht der Erlass einen zweistufigen Beschwerdemechanismus vor – für EU-Bürger und -Bürgerinnen, die der Ansicht sind, "rechtswidrig Ziel von US-Geheimdienstaktivitäten" geworden zu sein. Auf der ersten Stufe ist ein "Beamter zum Schutz der bürgerlichen Freiheitsrechte" vorgesehen. Dieser soll dem Direktorat der US-Geheimdienste angesiedelt sein und Beschwerden von EU-Bürgerinnen und -Bürgern prüfen. Die zweite Stufe soll ein unabhängiges Datenschutzgericht bilden, das die Entscheidungen dieser Beamten überprüfen soll.

EU erarbeitet Beschluss

Die EU-Kommission begrüsst das US-Dekret für einen neuen transatlantischen Datenschutzrahmen. Mit dem Erlass würden "verbindliche Garantien eingeführt, die alle vom Gerichtshof der EU angesprochenen Punkte berücksichtigen", heisst es in einer Mitteilung der EU-Kommission. Diese werde nun einen Entwurf für einen Angemessenheitsbeschluss ausarbeiten, auf dessen Basis personenbezogene Daten auf der Grundlage starker Schutzgarantien ungehindert zwischen der EU und den USA fliessen können sollen.

Auch EU-Justizkommissar Didier Reynders zeigt sich zufrieden. Die Unterzeichnung durch Biden sei ein "wichtiger Schritt in unserer Entschlossenheit, den sicheren und freien transatlantischen Datenverkehr wiederherzustellen", teilt Reynders via Twitter mit.

Der Europäische Gerichtshof (EuGH) hatte im Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelte den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten und war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Beide Abkommen - Privacy Shield und Safe Harbor - fanden ein Ende aufgrund einer Klage des österreichischen Juristen und Datenschutzaktivisten Max Schrems. Die entsprechenden Urteile bezeichnet man deshalb als "Schrems I" und "Schrems II".

Schrems: Massenüberwachung bleibt erlaubt

Es sei zwar erfreulich, dass diese Fälle vor dem EuGH zu einer Reaktion des US-Präsidenten geführt hätten, teilt Schrems in einer ersten Reaktion auf der Website seiner Datenschutzorganisation Noyb mit. Doch eine interne Anordnung des US-Präsidenten könne das Problem nicht lösen.

Die EU und die USA seien sich scheinbar uneinig über die Bedeutung des Grundsatzes der Verhältnismässigkeit, schreibt Schrems. "Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will."

Ausserdem kritisiert Schrems das vorgesehene Datenschutzgericht. Dieses sei kein Gericht im üblichen Sinne, sondern ein Verwaltungsorgan, das der Exekutive unterstehe. Das Organ sei vergleichbar dem früheren "Ombudsmann", den der EuGH bereits für nicht ausreichend erklärte.

"Wir prüfen das nun genauer, aber auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtlicher Basis", schreibt Schrems und ergänzt: "Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.