Berlin In dem seit Jahren andauernden Streit zwischen der EU und den USA über den Transfer persönlicher Daten über den Atlantik zeichnet sich eine Lösung ab. US-Präsident Joe Biden unterzeichnete am Freitagmorgen in Washington ein Dekret, das der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzt.
Damit soll den Bedenken des Europäischen Gerichtshofs (EuGH) Rechnung getragen werden, der in zwei Entscheidungen Abkommen für die Übermittlung von Daten aus Europa in die Vereinigten Staaten für ungültig erklärt hat. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt.
In den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) war der EuGH in den Jahren 2015 und 2020 zu dem Schluss gekommen, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Vor allem gegen die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf ihre Daten könnten sich EU-Bürgerinnen und Bürger nicht angemessen zur Wehr setzen.
Für die Wirtschaft in Europa ist es von großer Bedeutung, dass nun Bewegung in das Thema kommt. Seit Jahren warten Unternehmen auf eine rechtssichere Lösung für den globalen Daten- und Wirtschaftsverkehr.
Top-Jobs des Tages
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Die US-Verordnung formuliert zunächst die Bedingungen, bei denen das Sammeln der Daten von Privatpersonen zulässig ist – etwa im Kampf gegen Terrorismus oder zum Schutz der nationalen Sicherheit. Zugleich legt Bidens Dekret dar, wann Datenspionage grundsätzlich unzulässig ist, beispielsweise dann, wenn sie in diskriminierender Absicht erfolgt.
Ohne neues Abkommen sind Bußgelder von bis zu 20 Millionen Euro möglich
Selbst in Fällen, in denen US-Behörden Daten abfangen und analysieren dürfen, müssen sie künftig belegen, dass ihre Maßnahmen der Gefahrenabwehr dienen und verhältnismäßig sind. Insbesondere müssen sie zeigen können, dass es keine weniger weitreichenden Eingriffsmöglichkeiten gibt.
>> Lesen Sie hier: Das sind die größten Datenschutz-Ärgernisse für Unternehmen
Wichtigste Neuerung ist aber die Einrichtung eines unabhängigen Gerichts, an das sich EU-Bürger wenden können, die ihre Bürgerrechte durch US-Nachrichtendienste verletzt sehen. Dieses Gericht, der Data Protection Review Court, kann bindende Urteile fällen und die Geheimdienste dazu zwingen, bestimmte Spionageaktivitäten einzustellen. Damit erhalten Europäer eine Klagemöglichkeit in den USA.
Ranghohe Beamte des Weißen Hauses zeigten sich überzeugt, dass die Schritte für eine dauerhafte Lösung ausreichten. Auch die EU-Kommission zeigte sich zufrieden. Ein hoher Beamter sprach „von einem wichtigen Schritt“, der nicht nur eine Verbesserung der bestehenden Regeln darstelle, sondern zu einem völlig neuen Rechtsrahmen zum Schutz der Rechte europäischer Internetnutzer führe. „Jede US-Geheimdienstbehörde muss nun ihre Aktivitäten überprüfen“, betonte der Beamte. Die Kommission ist zuversichtlich, dass der neue Datenschutzschild vor dem EuGH Bestand haben wird.
Der amerikanische Industrieverband CCIA (Computer and Communication Industry Association) begrüßte das Dekret ebenfalls. „Datenübertragungen sind das Herzstück der transatlantischen Beziehungen“, sagte CCIA-Präsident Matt Schruers. „Sie treiben den Handel voran, der unsere beiden Volkswirtschaften am Laufen hält und Vorteile für Verbraucher und Unternehmen jeder Größe bringt, die rechtliche Klarheit über die Mechanismen der Datenübertragung benötigen.“
Der Digitalverband Bitkom sprach von einem „klaren Fortschritt für die Absicherung internationaler Datentransfers“. „Die derzeit notwendigen Einzelfallprüfungen sind für die Wirtschaft nach wie vor eine große Belastung, insbesondere für kleine und mittelständische Unternehmen“, sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung.
Seit den Gerichtsentscheidungen agieren die Firmen praktisch im rechtsfreien Raum. Viele US-Cloud-Dienste, etwa Amazon oder Microsoft, kollidieren mit der europäischen Datenschutz-Grundverordnung (DSGVO).
Dasselbe gilt für Facebook. Die Konzernmutter warnte schon, dass das Onlinenetzwerk und auch Instagram in Europa wahrscheinlich eingestellt werden müssten, wenn es kein neues Datenschutzabkommen gibt.
Gegen Firmen, darunter viele aus Deutschland, die die US-Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.
Bidens Dekret könnte nun einen großen Schritt in Richtung Rechtssicherheit bedeuten. Das, was jetzt vorliegt, ist das Ergebnis monatelanger Verhandlungen zwischen der EU und der US-Regierung. Im März hatten beide Seiten eine politische Einigung erreicht, die nun von den Amerikanern in einen Rechtstext übertragen wurde.
Experten sehen neuen Datendeal als Erfolg für Brüssel
Als Nächstes sind die Europäer an der Reihe. Die Kommission wird in den nächsten Wochen einen eigenen Rechtsakt erarbeiten, den sogenannten Angemessenheitsbeschluss. Dieser gehört zu den in der DSGVO vorgesehenen Instrumenten für die Übermittlung personenbezogener Daten aus der EU in Drittländer, die ein vergleichbares Schutzniveau garantieren wie die EU.
Mit einem solchen Beschluss könnten personenbezogene Daten ungehindert und sicher aus der EU in das betreffende Drittland fließen, ohne dass weitere Bedingungen oder Genehmigungen erforderlich wären. Damit können Daten in das betreffende Drittland also in gleicher Weise übermittelt werden wie innerhalb der EU.
>> Lesen Sie hier: Dax-Chefs in „großer Sorge“ wegen US-Cloud-Risiken – Ampelparteien wollen sichere Rechtsgrundlage
Dafür gelten jedoch bestimmte Kriterien. So müssen beispielsweise individuelle Rechte, eine unabhängige Aufsicht und „wirksame“ Rechtsbehelfe gegen Maßnahmen der US-Behörden garantiert sein.
Die EU-Kommission sieht diese Bedingungen nun erfüllt. Sie rechnet damit, dass der Angemessenheitsbeschluss im kommenden Frühjahr bindend verabschiedet werden kann. Dafür muss sie noch die Meinungen des Europäischen Datenschutzausschusses und des EU-Parlaments einholen. Zudem müssen die Mitgliedstaaten mit qualifizierter Mehrheit zustimmen. Eine Vetomöglichkeit für ein einzelnes Land gibt es nicht.
Experten sehen die Einigung als Erfolg für Brüssel. „Die Kommission hat sich in entscheidenden Punkten durchgesetzt und weitreichende Konzessionen erreicht“, sagt Tyson Barker von der Deutschen Gesellschaft für Auswärtige Politik. Die US-Regierung habe das Thema abräumen wollen, um den transatlantischen Datenfluss zu erhalten. „Präsident Biden hat enorm viel politisches Kapital in die Pflege des Verhältnisses zwischen den USA und der EU investiert, mehr als all seine Vorgänger.“
