Im Gastblog erklären Lukas Feiler, Maximilian Raschhofer und Ariane Müller, wieso das neue Data Protection Framework der Europäischen Kommission notwendig ist und der Kampf gegen Datenübermittlungen in die USA von innereuropäischen Versäumnissen ablenkt.

Am 10. Juli verabschiedete die Europäische Kommission den lang erwarteten Beschluss, mit welchem den USA ein angemessenes Datenschutzniveau hinsichtlich jener Unternehmen bescheinigt wurde, die sich zur Einhaltung der Grundsätze des europäischen Datenschutzrechts verpflichten und in eine Liste des US-Handelsministeriums aufgenommen wurden.

Dieser Beschluss erfolgte, nachdem die USA durch bundesweite Verordnungen Änderungen im US-Recht vorgenommen hatten. Durch diese Änderungen wurden EU-Bürgern und EU-Bürgerinnen Rechtschutzmöglichkeiten gegen Überwachungsmaßnahmen der US-Geheimdienste in die Hand gegeben, und es wurde das Erfordernis festgeschrieben, dass alle Überwachungsmaßnahmen der US-Geheimdienste dem Grundsatz der Verhältnismäßigkeit entsprechen müssen. Manchen Aktivisten wie Max Schrems gehen diese Änderungen nicht weit genug. Letzterer hat bereits angekündigt, den Beschluss der Kommission anzufechten. Zu Unrecht.

Falscher Vergleich lenkt von europäischer Überwachung ab

In der Diskussion über die Aktivitäten der US-Geheimdienste wird häufig übersehen, dass auch Geheimdienste von EU-Mitgliedsstaaten vergleichbare flächendeckende Überwachungsprogramme mit geringen Rechtschutzmöglichkeiten im Namen der nationalen Sicherheit implementiert haben. Selbst der EuGH ging in seiner Entscheidung zur Vorgängerregelung des nunmehr verabschiedeten Angemessenheitsbeschlusses nicht auf die Überwachungsgesetzgebung in der EU ein, die im Namen der nationalen Sicherheit erfolgt. Vielmehr beschränkte er sich darauf, die Überwachungsgesetzgebung in den USA, die ausschließlich der nationalen Sicherheit dient, mit der DSGVO zu vergleichen, die im Bereich der nationalen Sicherheit gar nicht anwendbar ist. Ein solcher Vergleich zwischen Äpfeln und Birnen erspart den kritischen Blick auf die Machtfülle der eigenen Geheimdienste, wird der Sache selbst aber nicht gerecht.

EU Flagge USA-Flagge Daten
Ein EU-Beschluss zum Datenschutzniveau von US-Unternehmen sorgt für Diskussionen. Diesen fehlt oft der weitere Kontext.
Getty Images/iStockphoto/Michael Borgers

Weiters verschleiert der ausschließlich auf die USA geworfene Blick, dass die bei weitem überwiegende Mehrzahl der Staaten auf dieser Welt noch wesentlich weniger Schutz vor geheimdienstlicher Überwachung bieten, als dies in den USA der Fall ist. Wer daher Datenübermittlungen in die USA unterbinden will, fordert in Wahrheit eine ökonomische ebenso wie kulturelle Abschottung Europas von einem großen Teil der restlichen Welt. Denn ohne die Übermittlung personenbezogener Daten – sei es durch den Aufruf einer Website oder das Versenden einer E-Mail – ist weder die globale Wirtschaft mit Absatzketten nach Indien oder China noch Entwicklungshilfe in Afrika denkbar.

Daten in EU nicht sicher vor Geheimdiensten

Auch der Gedanke, dass Daten vor (ausländischer) Spionage sicher wären, solange sie sich in der EU befinden, entpuppt sich bei genauerer Betrachtung als Trugschluss. Beispielsweise wurde im Mai 2021 öffentlich, dass Dänemark der NSA ein ganzes Rechenzentrum zur Verfügung gestellt hatte, damit diese einen Großteil des europäischen Internetverkehrs, der über Unterseekabel verläuft, abhören konnte.

Auch die Geheimdienste Spaniens und Frankreichs haben umfangreiche und flächendeckende Überwachungsprogramme im Namen der Terrorabwehr und nationalen Sicherheit implementiert. Mit der DSGVO stehen all diese Vorgänge nicht in Konflikt, weil diese auf Fragen der nationalen Sicherheit schlicht nicht anwendbar ist. Derartige Maßnahmen unserer eigenen (europäischen) Geheimdienste würden jedoch viel mehr Aufmerksamkeit und rechtliche Auseinandersetzung verdienen.

Verhältnismäßigkeitsprüfung notwendig

Schließlich wird bei der Debatte rund um Datenübermittlungen in die USA häufig der grundrechtlich gebotene Grundsatz der Verhältnismäßigkeit außer Acht gelassen. Für den konkreten Diskurs erfordert dieser Grundsatz, sich nicht nur zu fragen, ob eine Kenntnisnahme durch die Geheimdienste eines Drittstaats theoretisch möglich wäre, sondern wie wahrscheinlich eine solche ist und mit welchen praktischen Folgen sie verbunden wäre. Denn nur so kann ein angemessener Ausgleich zwischen dem Grundrecht auf Datenschutz einerseits und anderen involvierten Grundrechten, wie jenen der unternehmerischen Freiheit und der Meinungsäußerungsfreiheit, hergestellt werden.

Mit der bevorstehenden Anfechtung des Beschlusses der Europäischen Kommission über die Angemessenheit des Datenschutzniveaus in den USA wird erneut die Aufmerksamkeit von Datenschutzbehörden, Gerichten und unternehmensinternen Datenschutzabteilungen auf das Thema der Datenübermittlungen in die USA gelenkt. Es ist zu hoffen, dass der EuGH den Angemessenheitsbeschluss der Kommission im Falle seiner Anfechtung in seinem gesamthaften Kontext betrachtet und ihn als für die gesamte europäische Wirtschaft dringend benötigte Rechtsgrundlage für Datenübermittlungen in die USA bestätigt. (Lukas Feiler, Maximilian Raschhofer, Ariane Müller, 7.8.2023)