Kategorien: Datenschutz und Recht
Am 07. Oktober 2022 hat Präsident Joe Biden einen Präsidialerlass vollzogen, der ein neues transatlantisches Datenschutzabkommen zwischen Europa und den USA ermöglichen soll. Diese Maßnahme erscheint mir aus mehreren Gründen ungeeignet zu sein, das Datenschutz-Niveau in den USA an das der DSGVO anzugleichen.
Einleitung
Update: Das neue Datenschutzabkommen zwischen Europa und den USA namens Data Privacy Framework (DPF) basiert auf dem hier kritisierten Präsidialerlass aus den USA. Die Kritikpunkte wurden nicht ausgeräumt, sondern bestehen weiterhin. Somit ist damit zu rechnen, dass das DPF rechtlich angegriffen werden wird und womöglich zu Fall kommt.
Unter dem Schlagwort „Schrems II“ ist das Urteil des EuGH vom 16.07.2020 (Az.: C-311/18) bekannt geworden. Der EuGH stellt fest, dass die USA ein Datenschutz-Entwicklungsland sind. Leider sind die Rechte, die die DSGVO betroffenen Personen gewährt, in den USA nicht gewährleistet.
Grob gesagt, liegt es an der ausufernden Geheimdienstaktivität der Amerikaner. Betroffene haben nicht einmal die Chance zu erfahren, dass sie ausspioniert wurden. Das liegt in der Natur der Sache, wenn spioniert wird. Ansonsten würde es nicht „Spionage“, sondern „Überwachen, nachdem die Zielperson informiert wurde“ heißen.
Der Privacy Shield, das informelle Abkommen zwischen den USA und Europa zum Schutz personenbezogener Daten von Europäern, wurde aufgrund von Schrems II für ungültig erklärt. Nun suchen die EU und Amerika einen neuen Ansatz.
Im Zuge dessen hat Joe Biden eine Executive Order erlassen, um Europa zu zeigen, dass in den USA ein gutes Datenschutz-Niveau herrsche. Meine Englischkenntnisse sind gut bis sehr gut, aber sicher nicht geeignet, um komplexe juristische Texte und Verwaltungsakte in englischer Sprache perfekt zu verstehen. Ich bin auch kein Jurist. Dennoch glaube ich, ein paar Formulierungen in besagtem Executive Order (Präsidialerlass) gefunden zu haben, die Grund zur Besorgnis geben.
Meine Kritik am Präsidialerlass vom 07.10.2022
Die Kritik zielt darauf ab, dass der Präsidialerlass ungeeignet erscheint, das Datenschutz-Niveau in den USA erheblich anzuheben und somit Betroffenen vergleichbare Grundrechte zu gewähren, wie es die DSGVO in Europa tun soll.
Die Nummerierung im Executive Order Dokument ist wüst. Daher kann ich diese nicht als Referenz angeben, sondern zitiere „nur“. Executive Order kürze ich mit EO ab.
In der EO steht, dass die Übergangsfrist bis zu einem Jahr ist ("shall, within 1 year of the date of this order, in consultation with the Attorney General, the CLPO, and the Privacy and Civil Liberties Oversight Board (PCLOB), update those policies and procedures as necessary to implement the privacy and civil liberties safeguards in this order…"). Somit kann in dieser Zeit kein neues Abkommen zwischen der EU und den USA rechtskonform wirksam werden.
Einen Halbsatz weiter steht, dass man (gerichtet an Geheimdienste) sich die größte Mühe geben soll, alle Vorschriften der USA so menschenfreundlich wie möglich zu gestalten, natürlich unter gleichzeitiger Aufrechterhaltung der Interessen der USA: "… release these policies and procedures publicly to the maximum extent possible, consistent with the protection of intelligence sources and methods, in order to enhance the public’s understanding of, and to promote public trust in, the safeguards pursuant to which the United States conducts signals intelligence activities."
Dies bedeutet in etwa so viel wie gar keine Neuerung. Schließlich sollten Geheimdienste von Anfang an ausschließlich innerhalb des gegebenen Rechtsrahmens der USA arbeiten. Oder gibt es etwa neue Einschränkungen, die sich aufgrund der EO von Biden ergeben?
Meine Textsuche nach folgenden Begriffen in der EO führte jedenfalls zu keinem Treffer:
- GDPR (= DSGVO)
- Europe (bis auf ein Vorkommen in der Überschrift des EO-Dokuments)
- Cloud Act
Immerhin wurde ich bei Suche nach „concerned“ fündig. „Concerned person“ oder „Person concerned“ steht für „betroffene Person“, wie auch mein Datenschutz-Wörterbuch verrät. Im EO steht dazu "… shall retain non-United States persons’ personal information collected through signals intelligence only if the retention of comparable information concerning United States persons would be permitted under applicable law and shall subject such information to the same retention periods that would apply to comparable information concerning United States persons; …".
Daran und an anderen Formulierungen wird erkennbar, dass EU-Bürger ähnlich gleich schlecht wie US-Bürger gestellt werden sollen und somit besser als bisher. Wenn es also erlaubt ist, dass Informationen zu einem US-Bürger durch Geheimdienste verarbeitet werden, dann soll das zukünftig auch erlaubt sein, wenn es um Daten von EU-Bürgern geht. Da bin ich ja froh.
Auch besagt die EO von Biden, dass Daten von EU-Bürgern dann gelöscht werden sollen, wenn die Daten gelöscht werden würden, wenn es sich um US-Bürger handeln würde.
Glücklicherweise erhalten nur autorisierte und speziell ausgebildete Personen Zugang zu Daten von EU-Bürgern, die durch Spionage erlangt wurden: „… shall limit access to such personal information to authorized personnel who have a need to know the information to perform their mission and have received appropriate training on the requirements of applicable United States law …“. Zum Glück schießen nur ausgebildete Drohnenpiloten in eine Menschenmenge in Afghanistan, auch wenn die Menge nicht nur oder gar nicht aus Terroristen besteht. Zuletzt gesehen bei Markus Lanz, als Chelsea Manning zu Gast war.
Wie die EO klarstellt, sollen die US-Rechtsvorschriften EO 12333 und FISA 702 gerade nicht adaptiert werden, jedenfalls nicht, was die Rechte bzw. Nichtrechte von US-Bürgern angeht und somit auch, was die Nichtrechte von EU-Bürgern angeht, die dann gleichgestellt zu US-Bürgern sein sollen: „This order is not intended to alter the rules applicable to United States persons adopted pursuant to FISA, Executive Order 12333, or other applicable law.“
Dann wird noch ein Konstrukt eines Civil Liberties Protection Officer (CLPO) eingeführt. Ich sehe diese Person als eine Art Berater, quasi ein Datenschutzberater oder Datenschutzbeauftragter der US-Regierung. Der CLPO gibt seine Meinung dem "Director" kund, der wiederum entscheidet auf Basis des National Intelligence Priorities Framework (NIPF). Das NIPF wiederum wird aufgrund der EO derart angepasst, dass EU-Bürger gleich schlecht wie US-Bürger gestellt werden sollen. Wenn der "Director" anderer Ansicht als der CLPO ist, was die Datenverarbeitung von EU-Bürgern angeht, dann soll der "Director" mit dem POTUS sprechen (POTUS = President Of The United States, ggf. kann er dann auch mit der FLOTUS sprechen – FLOTUS = First Lady Of The United States).
Nachdem CLPO, Director und POTUS sich einig geworden sind und auch FLOTUS keine Einwände hat, etwa wegen der Wandfarbe des Raumes, in dem die drei sich unterhalten, dann gilt die Datenverarbeitung gemäß Entscheidung des Director als von POTUS abgesegnet und der CLPO wurde überstimmt. Somit bleibt alles beim Alten. Noch schneller bleibt alles beim alten Zustand (=rechtswidrig gemäß Schrems II-Urteil), wenn CLPO und Director sich sofort einig werden und POTUS gar nicht eingeweiht werden muss.
Ganz lustig wird es, wenn vom Data Protection Review Court gesprochen wird. Court heißt wohl normalerweise in der Übersetzung so viel wie Gericht, aber so ist es hier nicht gemeint. Der Generalstaatsanwalt darf sich innerhalb von 60 Tagen ein Verfahren ausdenken, dass dieses Pseudogericht ausführen soll, wenn es Datenschutzfragen gibt. Angenommen, eine betroffene Person aus der EU erfährt davon, dass sie ausspioniert wurde, dann darf sie sich an den Court wenden. Der Court besteht aus Datenschutzspezialisten, die sich auch mit den nationalen Sicherheitsgesetzen der USA auskennen sollen!
Hollywood at it's best: Der Data Protection Review Court. Er besteht aus Datenschutzspezialisten und einem Anwalt als Berater. Gott, äh, Amerika, sei Dank! Dann ist ja alles gut.
Ein Gericht, das keines ist, aber als Gericht bezeichnet wird.
Weiterhin soll ein Anwalt den Court beraten. Es handelt sich also um einen Zusammenschluss aus Ladies and Gentlemen, die eine Entscheidung treffen. Auch Jury-Entscheidungen, wie sie vor (echten) amerikanischen Gerichten üblich zu sein scheinen, finde ich nicht gut. Aber diesen Zusammenschluss kann man nur als großes Theater bezeichnen.
Hat es eine betroffene Person also geschafft, über die Spionagetätigkeiten gegen sie Kenntnis zu erlangen, dann darf sie eine Antwort vom Court erhalten. Der Court sagt der Person am Ende aber nicht, wie genau sie ausspioniert wurde, sondern nur, ob Gesetze in der USA eingehalten wurden oder nicht: "… shall inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that “the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation.” Alleine bereits die Auskunft, ob Spionage stattgefunden hat, darf laut Präsidialerlass nicht gegeben werden. Das ist nur konsequent, denn Spionage ist eben geheim.
Sehr fiktive Unterhaltung:
Betroffene Person: Liebe USA, ich bin eine armselige Kreatur aus Deutschland. Kann es sein, dass ich von Ihnen ausspioniert wurde und dass das nicht rechtmäßig (nach EU- oder US-Recht, das weiß ich nicht so genau) war?
Data Protection Review Court der USA: Lieber Blödi aus Deutschland, danke für die Frage. Kompetente Datenschutzexperten und ein Anwalt haben sich über Ihren Fall unterhalten. Wir können weder bestätigen noch dementieren, dass Sie ausspioniert wurden. Aber was wir Ihnen zu Ihrer Beruhigung sagen können: Alles war rechtmäßig! Gute Nacht.
Das Gespräch findet entgegen dieser Darstellung wahrscheinlich in englischer Sprache statt. „Blödi“ heißt wohl „goon“, falls Sie mal eine Antwort vom Court bekommen.
Die Executive Order erweitert an manchen Stellen sogar die Datenverarbeitung in den USA. Denn zusätzlich zu bisherigen Verfahren erhält nun auch der Data Protection Review Court („… are obtaining full access to necessary information ….“). Immerhin wird jährlich geprüft, ob dieser Informationszugriff weiter gegeben sein soll. Wenn aber nicht, wie soll dann der Court vernünftige Entscheidungen treffen können? Das erinnert so ein bisschen an parlamentarische Anfragen, auf die die Bundesregierung oft mit massiv geschwärzten Dokumenten antwortet. Im Zuge der jährlichen Audits wird dann wahrscheinlich auch entschieden, ob weitere Organe eingeführt werden sollen, denen man eine neue Abkürzung verpassen kann. Das Privacy and Civil Liberties Oversight Board kam bereits zu dieser Ehre und wird PCLOB abgekürzt. Ich hoffe, keine wichtige Abkürzung aus dem EO-Dokument vergessen zu haben.
Den Begriff „access“ (Auskunft) habe ich diverse Male im Dokument gefunden, aber nie im Kontext, dass betroffene Personen Auskunft erhalten, sondern nur in der Art, welche Stellen und Organe nun mehr oder gleich viel Zugriff wie vorher erhalten oder genauso viel Zugriff wie als wenn ein EU-Bürger ein US-Bürger wäre.
Fast der wichtigste Punkt zum Schluss: Eine Executive Order eines amerikanischen Präsidenten hat keine Halbwertzeit oder Dauer. Sie kann jederzeit wieder rückgängig oder abgeändert werden, etwa vom nächsten Präsidenten oder auch vom aktuellen Präsidenten, wenn er keine Lust mehr auf seine Order hat.
Fazit
Selbst das, was ich vom Executive Order von Biden verstanden habe, scheint mir auszureichen, um diesen Präsidialerlass als ungeeignet zu sehen, um die Rechte europäischer Bürger zu gewährleisten. Die DSGVO gilt weiterhin NICHT in den USA.
EU-Bürger werden anscheinend ähnlich gleich schlecht wie US-Bürger gestellt. Auskünfte erhalten Betroffene ebenso wenig wie jetzt, so scheint es mir. Wenn in den USA die DSGVO nicht eingehalten wird, wieso soll sie dann eingehalten werden, wenn EU-Bürger gleich schlecht wie US-Bürger gestellt werden. Besser als vorher womöglich, aber immer noch zu schlecht.
Von TIAs übrigens halte ich gar nichts. TIAs sind keine Rechtsgrundlage. TIA steht für Transfer Impact Assessment und soll etwas über das Risiko aussagen, dass ein Datenschutzproblem entsteht, wenn Daten in die USA oder an Firmen mit Sitz oder Muttergesellschaft in den USA wandern. Wie soll eine Aussage über ein schwarzes Loch getroffen werden, wenn das Innere nicht beobachtet werden kann?
Der Begriff „right“ (etwa „Recht auf Auskunft“) kommt im gesamten Dokument nur an zwei Stellen vor, die den Rechtsbegriff für betroffene Personen nicht verbessern.
Der Präsidialerlass kann jederzeit rückgängig oder abgeändert werden. Er hat keinerlei zeitliche Verbindlichkeit. Somit ist es aus Vertrauenssicht so, als würde er gar nicht existieren.
Das einzig gute am Präsidialerlass ist, dass er ein weiteres Jahr Zeit lässt, gegen Datentransfers in die USA vorzugehen. Aber selbst nach dieser Übergangszeit darf die EU der USA kein gleichwertiges Datenschutzniveau zubilligen. Tut sie es doch, ist das ein Armutszeugnis, welches durch ein bereits angekündigtes Klageverfahren demnächst wieder offenbart und zunichtegemacht werden wird.
Wie wäre es damit: Am besten keine Lösungen von Google, Microsoft und so weiter nutzen, wenn es einfache Alternativen gibt. Statt Shopify (verboten von der Datenschutzbehörde RLP wegen der Nutzung der CDNs Fastly und Cloudflare) könnte man auch ein anderes Web Shop-System nutzen. Was bei Windows nicht immer funktioniert (ablösen), geht bei Google Analytics aber sehr wohl.
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
