Der oberste US-Gerichtshof hat der unabhängigen Aufsicht durch die US-Handelsaufsicht FTC ein Ende gesetzt. Für den Datenschutzverein Noyb ist damit die rechtliche Grundlage des Data Privacy Framework zwischen EU und USA hinfällig.
Am Montag hat der US Supreme Court im Fall Trump v. Slaughter geurteilt, dass die Federal Trade Commission künftig der Weisung des Präsidenten unterliegt und nicht mehr als unabhängige Behörde gilt. Für den transatlantischen Datenverkehr ist das brisant: Die EU-Kommission beruft sich in ihrem Angemessenheitsbeschluss zum Data Privacy Framework an 259 Stellen auf genau diese Unabhängigkeit der FTC.
Noyb zieht daraus einen klaren Schluss: Ohne unabhängige US-Aufsichtsbehörde entfällt die rechtliche Basis des gesamten Abkommens. In einem offenen Brief an die Kommission fordert Schrems einen geordneten Ausstieg aus der Vereinbarung.
Woher das Abkommen kommt
EU-Recht verbietet seit 1995 im Grundsatz, personenbezogene Daten in Länder außerhalb der Union zu übertragen. Damit Firmen trotzdem auf US-Cloud-Dienste zurückgreifen dürfen, muss Brüssel den USA ein angemessenes Datenschutzniveau attestieren. Zwei frühere Versuche dazu, Safe Harbor und Privacy Shield, hat der Europäische Gerichtshof bereits in den Verfahren Schrems I und Schrems II gekippt, weil EU-Bürgern in den USA keine wirksamen Rechtsmittel gegen staatliche Überwachung zur Verfügung standen. Der 2023 verabschiedete Nachfolger, das Data Privacy Framework, unterscheidet sich inhaltlich kaum von seinen gescheiterten Vorgängern.
Voraussetzung für einen solchen Angemessenheitsbeschluss ist laut Artikel 16 AEUV und Artikel 8 der Grundrechtecharta eine unabhängige Aufsichtsstelle im jeweiligen Drittstaat. Diese Funktion hat für die USA bislang die FTC ausgefüllt. Schrems betont, dass der EU-Vertragsrahmen an dieser Unabhängigkeit keinen Spielraum lasse; sie ließe sich nur durch eine einstimmige Änderung der EU-Verträge durch alle Mitgliedstaaten aufweichen.
Neben der Aufsichtsbehörde verlangt der EuGH auch einen funktionierenden gerichtlichen Rechtsschutz gegen Überwachungsmaßnahmen. Weil der US-Kongress hierzu kein Gesetz erließ, schuf die Regierung Biden per Erlass den sogenannten Data Protection Review Court. Der Name suggeriert ein Gericht, tatsächlich handelt es sich um eine Abteilung des US-Justizministeriums. Seine Unabhängigkeit stützt sich allein auf eine präsidiale Anordnung, die sich jederzeit widerrufen lässt und den Präsidenten selbst nicht bindet.
Was der Supreme Court geändert hat
Die konservative Mehrheit am Supreme Court bricht mit ihrer Slaughter-Entscheidung mit langjähriger Rechtsprechung. Grundlage ist die Idee der „Unitary Executive“: Der Präsident müsse Weisungsbefugnis über sämtliche Behörden der Exekutive besitzen, wodurch gesetzlich verankerte Unabhängigkeit einzelner Ämter verfassungswidrig werde. Weil fast die gesamte Argumentation der EU-Kommission zur Angemessenheit des US-Schutzniveaus auf der FTC-Unabhängigkeit aufbaut, sieht Noyb dadurch das komplette Fundament des Data Privacy Framework einstürzen. Schrems spricht von einem unter Industriedruck errichteten „rechtlichen Kartenhaus“, das nun in sich zusammenfalle, wofür die Kommission nun geradestehen müsse.
Übergangsfrist statt Sofortwirkung
Rechtlich ändert sich zunächst nichts: Der Angemessenheitsbeschluss gilt weiter, bis ihn die Kommission selbst zurücknimmt oder der EuGH ihn für nichtig erklärt. Zudem erfasst die DSGVO ausschließlich personenbezogene Daten, für alle anderen Daten gilt keine Beschränkung. Betroffen sind daneben auch Firmen, die statt auf den Kommissionsbeschluss auf Standardvertragsklauseln oder verbindliche interne Datenschutzregeln setzen, denn deren Risikobewertungen stützen sich ebenso auf die nun erschütterten US-Institutionen wie das PCLOB oder den Data Protection Review Court.
Stimme aus der Branche
Benjamin Schilz, Chef des europäischen Collaboration-Anbieters Wire, wertet das Urteil als Warnsignal für Organisationen, die ihre Cloud- und Kommunikationsinfrastruktur weiterhin von US-Anbietern abhängig machen. Aus seiner Sicht versucht Europa seit Jahren, ein eigentlich strukturelles Souveränitätsproblem mit juristischen Notlösungen zu kaschieren, zumal schon Safe Harbor und Privacy Shield gescheitert seien. Der Data Protection Review Court bleibe im Kern eine Abteilung des US-Justizministeriums, deren Bestand von einer jederzeit revidierbaren Anordnung des Präsidenten abhänge. Solange keine europäischen Gerichte für Rechtssicherheit sorgen, sieht Schilz Unternehmen einem dauerhaften Unsicherheitszustand ausgesetzt statt einer verlässlichen Basis für ihre IT-Infrastruktur. Digitale Souveränität bemesse sich nicht am Speicherort der Daten, sondern daran, wer die Infrastruktur kontrolliere und welches Recht dafür gelte. „Europa muss aufhören, Vertrauen auszulagern“, bringt Schilz seine Forderung auf den Punkt.
Wie es weitergeht
Noyb will zusätzlich zum offenen Brief vor dem EuGH klagen, um eine förmliche Nichtigerklärung des Abkommens zu erwirken. Bis zu einer endgültigen Entscheidung dürften nach bisheriger Erfahrung zwei bis drei Jahre vergehen.
(red)