Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutz in den USA und Schrems II: Die Executive Order von Präsident Biden

0

Am 07. Oktober 2022 hat Präsident Joe Biden einen Präsidialerlass vollzogen, der ein neues transatlantisches Datenschutzabkommen zwischen Europa und den USA ermöglichen soll. Diese Maßnahme erscheint mir aus mehreren Gründen ungeeignet zu sein, das Datenschutz-Niveau in den USA an das der DSGVO anzugleichen.

Einleitung

Unter dem Schlagwort „Schrems II“ ist das Urteil des EuGH vom 16.07.2020 (Az.: C-311/18) bekannt geworden. Der EuGH stellt fest, dass die USA ein Datenschutz-Entwicklungsland sind. Leider sind die Rechte, die die DSGVO betroffenen Personen gewährt, in den USA nicht gewährleistet.

Grob gesagt, liegt es an der ausufernden Geheimdienstaktivität der Amerikaner. Betroffene haben nicht einmal die Chance zu erfahren, dass sie ausspioniert wurden. Das liegt in der Natur der Sache, wenn spioniert wird. Ansonsten würde es nicht „Spionage“, sondern „Überwachen, nachdem die Zielperson informiert wurde“ heißen.

Der Privacy Shield, das informelle Abkommen zwischen den USA und Europa zum Schutz personenbezogener Daten von Europäern, wurde aufgrund von Schrems II für ungültig erklärt. Nun suchen die EU und Amerika einen neuen Ansatz.

Im Zuge dessen hat Joe Biden eine Executive Order erlassen, um Europa zu zeigen, dass in den USA ein gutes Datenschutz-Niveau herrsche. Meine Englischkenntnisse sind gut bis sehr gut, aber sicher nicht geeignet, um komplexe juristische Texte und Verwaltungsakte in englischer Sprache perfekt zu verstehen. Ich bin auch kein Jurist. Dennoch glaube ich, ein paar Formulierungen in besagtem Executive Order (Präsidialerlass) gefunden zu haben, die Grund zur Besorgnis geben.

Meine Kritik am Präsidialerlass vom 07.10.2022

Die Kritik zielt darauf ab, dass der Präsidialerlass ungeeignet erscheint, das Datenschutz-Niveau in den USA erheblich anzuheben und somit Betroffenen vergleichbare Grundrechte zu gewähren, wie es die DSGVO in Europa tun soll.

Die Nummerierung im Executive Order Dokument ist wüst. Daher kann ich diese nicht als Referenz angeben, sondern zitiere „nur“. Executive Order kürze ich mit EO ab.

In der EO steht, dass die Übergangsfrist bis zu einem Jahr ist ("shall, within 1 year of the date of this order, in consultation with the Attorney General, the CLPO, and the Privacy and Civil Liberties Oversight Board (PCLOB), update those policies and procedures as necessary to implement the privacy and civil liberties safeguards in this order…"). Somit kann in dieser Zeit kein neues Abkommen zwischen der EU und den USA rechtskonform wirksam werden.

Einen Halbsatz weiter steht, dass man (gerichtet an Geheimdienste) sich die größte Mühe geben soll, alle Vorschriften der USA so menschenfreundlich wie möglich zu gestalten, natürlich unter gleichzeitiger Aufrechterhaltung der Interessen der USA: "… release these policies and procedures publicly to the maximum extent possible, consistent with the protection of intelligence sources and methods, in order to enhance the public’s understanding of, and to promote public trust in, the safeguards pursuant to which the United States conducts signals intelligence activities."

Dies bedeutet in etwa so viel wie gar keine Neuerung. Schließlich sollten Geheimdienste von Anfang an ausschließlich innerhalb des gegebenen Rechtsrahmens der USA arbeiten. Oder gibt es etwa neue Einschränkungen, die sich aufgrund der EO von Biden ergeben?

Meine Textsuche nach folgenden Begriffen in der EO führte jedenfalls zu keinem Treffer:

  • GDPR (= DSGVO)
  • Europe (bis auf ein Vorkommen in der Überschrift des EO-Dokuments)
  • Cloud Act

Immerhin wurde ich bei Suche nach „concerned“ fündig. „Concerned person“ oder „Person concerned“ steht für „betroffene Person“, wie auch mein Datenschutz-Wörterbuch verrät. Im EO steht dazu "… shall retain non-United States persons’ personal information collected through signals intelligence only if the retention of comparable information concerning United States persons would be permitted under applicable law and shall subject such information to the same retention periods that would apply to comparable information concerning United States persons; …".

Daran und an anderen Formulierungen wird erkennbar, dass EU-Bürger ähnlich gleich schlecht wie US-Bürger gestellt werden sollen und somit besser als bisher. Wenn es also erlaubt ist, dass Informationen zu einem US-Bürger durch Geheimdienste verarbeitet werden, dann soll das zukünftig auch erlaubt sein, wenn es um Daten von EU-Bürgern geht. Da bin ich ja froh.

Auch besagt die EO von Biden, dass Daten von EU-Bürgern dann gelöscht werden sollen, wenn die Daten gelöscht werden würden, wenn es sich um US-Bürger handeln würde.

Glücklicherweise erhalten nur autorisierte und speziell ausgebildete Personen Zugang zu Daten von EU-Bürgern, die durch Spionage erlangt wurden: „… shall limit access to such personal information to authorized personnel who have a need to know the information to perform their mission and have received appropriate training on the requirements of applicable United States law …“. Zum Glück schießen nur ausgebildete Drohnenpiloten in eine Menschenmenge in Afghanistan, auch wenn die Menge nicht nur oder gar nicht aus Terroristen besteht. Zuletzt gesehen bei Markus Lanz, als Chelsea Manning zu Gast war.

Wie die EO klarstellt, sollen die US-Rechtsvorschriften EO 12333 und FISA 702 gerade nicht adaptiert werden, jedenfalls nicht, was die Rechte bzw. Nichtrechte von US-Bürgern angeht und somit auch, was die Nichtrechte von EU-Bürgern angeht, die dann gleichgestellt zu US-Bürgern sein sollen: „This order is not intended to alter the rules applicable to United States persons adopted pursuant to FISA, Executive Order 12333, or other applicable law.

Man wird sich schon irgendwie einig, der CLPO, der Director und POTUS.

Dann wird noch ein Konstrukt eines Civil Liberties Protection Officer (CLPO) eingeführt. Ich sehe diese Person als eine Art Berater, quasi ein Datenschutzberater oder Datenschutzbeauftragter der US-Regierung. Der CLPO gibt seine Meinung dem "Director" kund, der wiederum entscheidet auf Basis des National Intelligence Priorities Framework (NIPF). Das NIPF wiederum wird aufgrund der EO derart angepasst, dass EU-Bürger gleich schlecht wie US-Bürger gestellt werden sollen. Wenn der "Director" anderer Ansicht als der CLPO ist, was die Datenverarbeitung von EU-Bürgern angeht, dann soll der "Director" mit dem POTUS sprechen (POTUS = President Of The United States, ggf. kann er dann auch mit der FLOTUS sprechen – FLOTUS = First Lady Of The United States).

Nachdem CLPO, Director und POTUS sich einig geworden sind und auch FLOTUS keine Einwände hat, etwa wegen der Wandfarbe des Raumes, in dem die drei sich unterhalten, dann gilt die Datenverarbeitung gemäß Entscheidung des Director als von POTUS abgesegnet und der CLPO wurde überstimmt. Somit bleibt alles beim Alten. Noch schneller bleibt alles beim alten Zustand (=rechtswidrig gemäß Schrems II-Urteil), wenn CLPO und Director sich sofort einig werden und POTUS gar nicht eingeweiht werden muss.

Ganz lustig wird es, wenn vom Data Protection Review Court gesprochen wird. Court heißt wohl normalerweise in der Übersetzung so viel wie Gericht, aber so ist es hier nicht gemeint. Der Generalstaatsanwalt darf sich innerhalb von 60 Tagen ein Verfahren ausdenken, dass dieses Pseudogericht ausführen soll, wenn es Datenschutzfragen gibt. Angenommen, eine betroffene Person aus der EU erfährt davon, dass sie ausspioniert wurde, dann darf sie sich an den Court wenden. Der Court besteht aus Datenschutzspezialisten, die sich auch mit den nationalen Sicherheitsgesetzen der USA auskennen sollen!

Hollywood at it's best: Der Data Protection Review Court. Er besteht aus Datenschutzspezialisten und einem Anwalt als Berater. Gott, äh, Amerika, sei Dank! Dann ist ja alles gut.

Ein Gericht, das keines ist, aber als Gericht bezeichnet wird.

Weiterhin soll ein Anwalt den Court beraten. Es handelt sich also um einen Zusammenschluss aus Ladies and Gentlemen, die eine Entscheidung treffen. Auch Jury-Entscheidungen, wie sie vor (echten) amerikanischen Gerichten üblich zu sein scheinen, finde ich nicht gut. Aber diesen Zusammenschluss kann man nur als großes Theater bezeichnen.

Hat es eine betroffene Person also geschafft, über die Spionagetätigkeiten gegen sie Kenntnis zu erlangen, dann darf sie eine Antwort vom Court erhalten. Der Court sagt der Person am Ende aber nicht, wie genau sie ausspioniert wurde, sondern nur, ob Gesetze in der USA eingehalten wurden oder nicht: "… shall inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that “the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation.” Alleine bereits die Auskunft, ob Spionage stattgefunden hat, darf laut Präsidialerlass nicht gegeben werden. Das ist nur konsequent, denn Spionage ist eben geheim.

Sehr fiktive Unterhaltung:

Betroffene Person: Liebe USA, ich bin eine armselige Kreatur aus Deutschland. Kann es sein, dass ich von Ihnen ausspioniert wurde und dass das nicht rechtmäßig (nach EU- oder US-Recht, das weiß ich nicht so genau) war?

Data Protection Review Court der USA: Lieber Blödi aus Deutschland, danke für die Frage. Kompetente Datenschutzexperten und ein Anwalt haben sich über Ihren Fall unterhalten. Wir können weder bestätigen noch dementieren, dass Sie ausspioniert wurden. Aber was wir Ihnen zu Ihrer Beruhigung sagen können: Alles war rechtmäßig! Gute Nacht.

Das Gespräch findet entgegen dieser Darstellung wahrscheinlich in englischer Sprache statt. „Blödi“ heißt wohl „goon“, falls Sie mal eine Antwort vom Court bekommen.

Die Executive Order erweitert an manchen Stellen sogar die Datenverarbeitung in den USA. Denn zusätzlich zu bisherigen Verfahren erhält nun auch der Data Protection Review Court („… are obtaining full access to necessary information ….“). Immerhin wird jährlich geprüft, ob dieser Informationszugriff weiter gegeben sein soll. Wenn aber nicht, wie soll dann der Court vernünftige Entscheidungen treffen können? Das erinnert so ein bisschen an parlamentarische Anfragen, auf die die Bundesregierung oft mit massiv geschwärzten Dokumenten antwortet. Im Zuge der jährlichen Audits wird dann wahrscheinlich auch entschieden, ob weitere Organe eingeführt werden sollen, denen man eine neue Abkürzung verpassen kann. Das Privacy and Civil Liberties Oversight Board kam bereits zu dieser Ehre und wird PCLOB abgekürzt. Ich hoffe, keine wichtige Abkürzung aus dem EO-Dokument vergessen zu haben.

Den Begriff „access“ (Auskunft) habe ich diverse Male im Dokument gefunden, aber nie im Kontext, dass betroffene Personen Auskunft erhalten, sondern nur in der Art, welche Stellen und Organe nun mehr oder gleich viel Zugriff wie vorher erhalten oder genauso viel Zugriff wie als wenn ein EU-Bürger ein US-Bürger wäre.

Fazit

Selbst das, was ich vom Executive Order von Biden verstanden habe, scheint mir auszureichen, um diesen Präsidialerlass als ungeeignet zu sehen, um die Rechte europäischer Bürger zu gewährleisten. Die DSGVO gilt weiterhin NICHT in den USA.

EU-Bürger werden anscheinend ähnlich gleich schlecht wie US-Bürger gestellt. Auskünfte erhalten Betroffene ebenso wenig wie jetzt, so scheint es mir. Wenn in den USA die DSGVO nicht eingehalten wird, wieso soll sie dann eingehalten werden, wenn EU-Bürger gleich schlecht wie US-Bürger gestellt werden. Besser als vorher womöglich, aber immer noch zu schlecht.

Von TIAs übrigens halte ich gar nichts. TIAs sind keine Rechtsgrundlage. TIA steht für Transfer Impact Assessment und soll etwas über das Risiko aussagen, dass ein Datenschutzproblem entsteht, wenn Daten in die USA oder an Firmen mit Sitz oder Muttergesellschaft in den USA wandern. Wie soll eine Aussage über ein schwarzes Loch getroffen werden, wenn das Innere nicht beobachtet werden kann?

Der Begriff „right“ (etwa „Recht auf Auskunft“) kommt im gesamten Dokument nur an zwei Stellen vor, die den Rechtsbegriff für betroffene Personen nicht verbessern.

Das einzig gute am Präsidialerlass ist, dass er ein weiteres Jahr Zeit lässt, gegen Datentransfers in die USA vorzugehen. Aber selbst nach dieser Übergangszeit darf die EU der USA kein gleichwertiges Datenschutzniveau zubilligen. Tut sie es doch, ist das ein Armutszeugnis, welches durch ein bereits angekündigtes Klageverfahren demnächst wieder offenbart und zunichtegemacht werden wird.

Wie wäre es damit: Am besten keine Lösungen von Google, Microsoft und so weiter nutzen, wenn es einfache Alternativen gibt. Statt Shopify (verboten von der Datenschutzbehörde RLP wegen der Nutzung der CDNs Fastly und Cloudflare) könnte man auch ein anderes Web Shop-System nutzen. Was bei Windows nicht immer funktioniert (ablösen), geht bei Google Analytics aber sehr wohl.

Alle Bilder in diesem Beitrag wurden von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, sofern eine üblich sichtbare dofollow-Verlinkung auf diesen Blog gegeben ist.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Auskunftsgenerator für Webseiten, die Datenschutz nicht ernst nehmen