Als Kommissionspräsidentin Ursula von der Leyen und Amerikas Präsident Joe Biden im März eine Lösung für den transatlantischen Datentransfer ankündigten, war die Skepsis groß. Schließlich hatte der österreichische Datenschutzaktivist Max Schrems schon die Vorgängerabkommen zum Datentransfer, „Safe Harbor“ und „Privacy Shield“, vor dem Europäischen Gerichtshof (EuGH) gekippt, weil diese Daten von Europäern nicht ausreichend schützten – und Details zur Einigung nicht bekannt wurden.

Das ist nun anders: Biden hat am vergangenen Freitag ein Dekret unterzeichnet, das die Grundlage für ein neues Abkommen sein soll. Das Dekret schränkt den Zugriff der amerikanischen Geheimdienste ein und stärkt die Rechte der europäischen Bürger, sich vor „Gericht“ gegen Überwachung zu wehren.

Die Europäische Kommission verkauft dies als großen Fortschritt. Tatsächlich haben sich die Amerikaner spürbar auf die Europäer zubewegt. So wird in dem Dekret erstmals der europäische Begriff der „Verhältnismäßigkeit“ eingeführt. Die Geheimdienste müssen nun darlegen, dass der Zugriff auf die persönlichen Daten der Europäer „verhältnismäßig“ und „notwendig“ ist, um eine Gefahr abzuwehren. Bisher musste sie nur „zielgerichtet“ sein.

Ein Datenschutzgericht

Damit kommen die Amerikaner einem Kritikpunkt des EuGH zumindest formal nach. Das gilt auch für die Forderung, dass Europäer sich vor Gericht gegen die Überwachung wehren können. Das Dekret führt ein zweistufiges Verfahren ein. Europäische Bürger können sich zunächst an einen Spezialbeauftragten wenden und dann vor einem neuen, mit unabhängigen Mitarbeitern besetzten „Datenschutzgericht“ gegen eine Überwachung vorgehen. Das kann etwa die Löschung ungerechtfertigt von Geheimdiensten abgegriffener Daten anordnen.

Das geht eindeutig über die Stelle des Ombudsmanns hinaus, die nach dem EuGH-Urteil zu „Safe Harbor“ geschaffen wurde. Indes erlaubt Bidens Dekret den Geheimdiensten nach wie vor eine Massenüberwachung von Daten. „Es ist enttäuschend, dass die Europäische Kommission die Europäer weiterhin ausspionieren lassen will“, kritisiert Schrems.

Das Datenschutzgericht muss zwar mit von der Regierung unabhängigen Mitgliedern besetzt werden und darf auch keinerlei Anweisungen von dieser bekommen. Es ist aber kein „Gericht“ im eigentlichen Sinne, sondern letztlich ein Exekutivorgan. Schließlich schreibt das Dekret vor, dass europäische Bürger auf Beschwerden eine Standardantwort erhalten, aus der weder hervorgeht, ob sie gerechtfertigt oder ungerechtfertigt überwacht, noch, ob im Zweifel ihre Daten gelöscht wurden.

Es geht um mehr als soziale Medien

In der Europäischen Kommission heißt es dazu abwiegelnd, in der Praxis werde die Bedeutung der Beschwerdestellen überschätzt. So habe der Ombudsmann in den Jahren, seit die Stelle geschaffen wurde, nicht eine einzige Beschwerde aus Europa erhalten. Die Einigung mit den USA habe aber durchaus Schwachstellen, gestehen hochrangige Kommissionsmitarbeiter ein. Ob der Nachfolger für das Abkommen „Privacy Shield“ vor dem stets auf einen möglichst weitgehenden Datenschutz pochendenden EuGH Bestand haben werde, sei offen. Schrems hatte schon am Wochenende eine abermalige Klage angekündigt. Die Chancen ständen 50:50, heißt es dazu in der Kommission. Auf der anderen Seite habe man politisch mehr gegenüber den USA nicht durchsetzen können und momentan auch kein Interesse an einer unnötigen Belastung des Verhältnisses.

Für die europäische Industrie ist die Einigung auf ein Nachfolgeabkommen für „Privacy Shield“ enorm wichtig. Derzeit bewegt diese sich beim Transfer von Daten in die Vereinigten Staaten oft im rechtsfreien Raum, seitdem der EuGH „Privacy Shield“ im Jahr 2020 für unvereinbar mit EU-Recht erklärt hat. Meta, Mutterkonzern von Facebook und Instagram, hat schon „gedroht“, seine sozialen Medien in Europa abzuschalten.

Es geht aber um mehr als soziale Medien. Der Datentransfer ist auch für Industrieunternehmen wichtig. Biden bezifferte den Wert des betroffenen Geschäfts im Frühjahr auf 7,1 Billionen Dollar. Seit dem sogenannten Schrems-II-Urteil ist es für Unternehmen deshalb zwar nicht unmöglich, aber sehr aufwendig geworden, persönliche Daten in die USA zu transferieren – ein unhaltbarer Zustand für Tausende Unternehmen.

Bevor das neue Abkommen in Kraft treten kann, muss nun die Europäische Kommission zunächst einmal einen sogenannten Äquivalenzbeschluss erarbeiten. Dieser würde klarstellen, dass die Regeln in den USA den europäischen weitgehend entsprechen. Anschließend müssen sich die EU-Staaten, das Europäische Parlament und der Europäische Datenschutzausschuss dazu äußern. Endgültig verabschiedet werden könnte der Beschluss somit erst im Frühjahr 2023.