EU-Daten in den Händen der USA

Der Anfang vom Ende des digitalen Friedens

Die Dokumente zeigten erschreckende Details: Unter dem harmlos klingenden Namen „PRISM“ erhielt die NSA seit 2007 systematisch Zugang zu den Daten von Microsoft, Yahoo, Google, Facebook, PalTalk, YouTube, Skype, AOL und Apple und somit einen nahezu unbegrenzten Zugriff auf die private Kommunikation, Fotos, Videos und Dateien von Millionen von Menschen weltweit.

Auch europäische Bürger, Unternehmen und sogar Regierungen waren betroffen. Das „Upstream“-Programm zapfte direkt die Unterseekabel an, durch die der Großteil des internationalen Datenverkehrs fließt.

Ein österreichischer Student bringt das System ins Wanken

Trotz der Enthüllungen war der Prozess, der die digitale Wirtschaft grundlegend verändern sollte, kein politischer. Die Europäische Kommission forderte lediglich Zusicherungen, dass die Rechte europäischer Bürger nicht verletzt würden. Erst als später im Jahr weitere Geheimdiensttätigkeiten um das Abhören eines Smartphones der Kanzlerin bekannt wurden, die jedoch nichts mit PRISM zu tun hatten, war die Aufregung groß.

So musste ein junger österreichscher Jurastudent in die Bresche springen. Max Schrems war gerade dabei seine Masterarbeit vorzubereiten. Zu diesem Zweck hatte er bei Facebook eine Anfrage nach seinen persönlichen Daten gestellt und erhielt einen 1.222 Seiten langen Bericht - einschließlich längst „gelöschter“ Informationen.

Nach den Snowden-Enthüllungen war klar, dass es dabei nicht länger nur um einen schludrigen Umgang mit europäischen Datenschutznormen von Seiten Facebook gehen konnte. Vielmehr stellte Schrems sich nun die Frage, wenn US-Unternehmen wie Facebook verpflichtet waren, ihre Daten mit der NSA zu teilen, wie konnte dann das Safe-Harbor-Abkommen zwischen der EU und den USA den Schutz europäischer Daten garantieren?

Der Fall der digitalen Mauer

Was als Einzelklage eines Studenten begann, entwickelte sich zu einem juristischen Erdbeben. Am 6. Oktober 2015 fällte der Europäische Gerichtshof (EuGH) ein Urteil, das die digitale Wirtschaft erschütterte: Safe Harbor, das Abkommen, das seit 15 Jahren den Datentransfer zwischen der EU und den USA regelte, wurde für ungültig erklärt.

„Die Überwachungsprogramme der USA gehen über das hinaus, was strikt notwendig und verhältnismäßig ist", stellte der EuGH fest. Mehr als 4.000 Unternehmen, die sich auf Safe Harbor verlassen hatten, standen plötzlich ohne rechtliche Grundlage für ihre transatlantischen Datentransfers da.

Das sollte nicht lange so bleiben und so herrschte in den Monaten nach der Urteilsverkündung Hochbetrieb in den Konferenzräumen der Europäischen Kommission und des US-Handelsministeriums. Bereits am 12. Juli 2016 wurde das Nachfolgeabkommen offiziell verabschiedet.

Die Obama-Administration hatte Zusicherungen gemacht: Eine neue Ombudsperson sollte EU-Bürgern Rechtsmittel gegen US-Überwachung gewähren. Die NSA versprach, ihre Befugnisse einzuschränken. Doch Max Schrems blieb skeptisch: „Sie haben dem alten System im Wesentlichen nur einen neuen Namen gegeben.“

Trump I (2017–2021), Schrems II (2020)

Bereits seit 1974 existiert der Privacy Act, ein US-Bundesgesetz, welches den Umgang mit personenbezogenen Daten durch US-Bundesbehörden regelt. Er war zwar schon immer auf US-Bürger und permanente Aufenthaltsberechtigte beschränkt, doch einige Behörden hatten den Schutz administrativ auch auf Nicht-US-Bürger ausgeweitet.

Mit der Executive Order 13768 sorgte Trump für klare Verhältnisse und schloss den Datenschutz für Nicht-US-Bürger explizit aus. Obwohl der Privacy Act kein Bestandteil des Private Shields war, zeigte Trumps Handlung doch, welchen Stellenwert der Datenschutz von Nicht-US-Bürgern für ihn hat.

Noch gravierender als der präsidiale Erlass war, dass die im Privacy Act versprochene Ombudsperson gar nicht erst ernannt wurde und so ein entscheidender Baustein des Abkommens jahrelang fehlte.

Aus dem Jura Student Max Schrems war mittlerweile ein gefragter Experte zum Thema Datenschutz geworden, der bereits im ersten Trump-Jahr die durch Crowdfunding finanzierte Organisation „NYOB – Europäisches Zentrum für digitale Rechte“ gründete. Die Organisation, dessen Kürzel ausgesprochen „None of Your Business“ bedeutet, setzt sich für den Schutz der Privatsphäre und digitalen Rechte in Europa ein.

Vor dem Hintergrund der Trump’schen Handlungen geriet erneut Facebook ins Fadenkreuz von Schrems, der eine neue Klage, diesmal gegen die Standardvertragsklauseln von Facebook, einreichte. Der Fall wurde als "Schrems II" bekannt und führte am 16. Juli 2020 zum nächsten Paukenschlag: Der EuGH erklärte auch das Privacy Shield für ungültig, „da Standarddatenschutzklauseln aufgrund ihrer vertraglichen Natur die Behörden von Drittländern nicht binden können.“ Welche Konsequenz das haben würde, fasste der EuGH in seiner Urteilsverkündung ebenfalls zusammen: „Der Verantwortliche ist verpflichtet, die Übermittlung auszusetzen oder zu beenden, wenn der Empfänger nicht in der Lage ist, die Standarddatenschutzklauseln einzuhalten.“

Die Auswirkungen waren immens. Unternehmen wie Facebook drohten mit dem Rückzug aus Europa. Amazon und Microsoft begannen, europäische Datenzentren aufzubauen. Doch das grundlegende Problem blieb: Solange US-Gesetze wie der FISA 702 und der CLOUD Act den US-Behörden weitreichenden Zugriff auf Daten ermöglichen, musste jede Vereinbarung auf tönernen Füßen stehen. Schließlich können US-Behörden durch den CLOUD Act sogar auf Daten zugreifen, die in europäischen Rechenzentren amerikanischer Anbieter gespeichert sind - ein Umstand, der die Bemühungen von US-Tech-Giganten um europäische Datenzentren weitgehend ad absurdum führt.

Das Data Privacy Framework - Eine neue Hoffnung?

Als Joe Biden im März 2022 zusammen mit Ursula von der Leyen das neue Data Privacy Framework (DPF) ankündigte, atmete die Wirtschaft auf. Nach zwei Jahren rechtlicher Unsicherheit schien endlich eine Lösung in Sicht. Doch die umstrittenen Section 702 des Foreign Intelligence Surveillance Act (FISA 702), die US-Behörden weitreichende Überwachungsbefugnisse einräumt, blieb unangetastet. Stattdessen setzte man auf neue Kontrollmechanismen. Insbesondere das neue Privacy and Civil Liberties Oversight Board (PCLOB) hat jetzt die Aufgabe sicherzustellen, dass der Schutz der Privatsphäre angemessen berücksichtigt wird. Zudem unterzeichnete Biden die Executive Order 14086, die Bedenken des EuGH ausräumen und den Zugriff US-amerikanischer Geheimdienste auf europäische Daten einschränken sollte.

Die Verordnung führte tatsächlich neue Beschränkungen ein:

• Geheimdienstliche Überwachung darf nicht zur Unterdrückung von Kritik oder zur Diskriminierung genutzt werden
• Wirtschaftsspionage ist ausdrücklich verboten
• Die Massenüberwachung wird auf sechs spezifische Ziele beschränkt

Doch die Order enthält Schlupflöcher. So kann der Präsident jederzeit neue Überwachungsziele hinzufügen, wenn „neue nationale Sicherheitsimperative“ dies erfordern. Schlimmer noch: Was als Einschränkung der Geheimdienste verkauft werden sollte, weitet die Möglichkeiten sogar durch zusätzliche Zweckbestimmungen zur Überwachung aus. Die Geheimdienste werden beispielsweise jetzt zu den Bewahrern des Pariser Klimaabkommens und können zur Abwehr von Bedrohungen durch „Klimawandel und ökologische Veränderungen“, Daten sammeln. Das Abhören des Kanzlerinnen-Smartphones mag 2013 noch ein Skandal gewesen sein, wäre jetzt aber durch den Zweck des „Verstehen und Bewerten“ ausländischer politischer Organisationen gerechtfertigt.

Umso erstaunlicher war, dass die Europäische Kommission am 10. Juli 2023 das Datenschutzniveau in den USA unter dem neuen Data Privacy Framework für „angemessen“ erklärte.

„Der angeblich ‚neue‘ transatlantische Datenschutzrahmen ist größtenteils eine Kopie des gescheiterten Privacy Shield“, begründete Schrems, unmittelbar nachdem das DPF durch die EU-Kommission abgesegnet wurde, sein Vorhaben erneut klagen zu wollen. Doch vielleicht schafft es das Abkommen nicht einmal bis nach Luxemburg vor das Gericht.

Trump II

Seit dem 20. Januar 2025 weht ein anderer Wind aus Washington, ein eisiger. Diesen bekam Travis LeBlanc bereits in der ersten Woche unter Trump II zu spüren. Bachelor in Princeton, Master in Harvard, Doctor in Yale – als Experten für Cybersicherheit, Datenschutz und neue Technologien scheint er wie geschaffen für einen Posten im PCLOB, doch in den Augen Trumps haftet ihm ein Makel an. Er ist Demokrat. Und so erhielt er nur kurz nach der Inauguration zusammen mit den beiden anderen Demokraten im Gremium ein Kündigungsschreiben.

Übriggeblieben ist nur noch Beth Williams, eine Trumpgetreuin, die während seiner ersten Amtszeit maßgeblich an der Auswahl und Bestätigung von 230 Bundesrichtern beteiligt war. Nach eigenen Aussagen konzentriert sie sich darauf, in Zukunft arbeiten zu können. Was das genau bedeutet und wann diese Zukunft kommt ist ungewiss. Sicher ist jedoch, dass mit den Entlassungen das PCLOB vorerst handlungsunfähig geworden ist, da für ein Quorum mindestens drei Mitglieder vorhanden sein müssen. Die europäische Kommission hatte in ihrer Angemessenheitsentscheidung das PCLOB 31-mal als Garantie für den Datenschutz zitiert. Nach den Entlassungen ist also mehr als fraglich, wie „angemessen“ das Datenschutzniveau im transatlantischen Verhältnis noch ist.

Dabei könnte die durch Trump ausgelöste Entlassungswelle in den US-Behörden, die vor allem Demokraten und Trump-Gegner betrifft, nur der Anfang sein. Schon im Oktober 2023 kündigte er während einer Rede auf der Jahreskonferenz der Republican Jewish Coalition an, alle Executive Orders von Joe Biden aufzuheben. Dies beträfe auch die Executive Order 14086, den zweiten zentralen Baustein des DPF.

Fazit

Als Edward Snowden 2013 die ersten Dokumente über PRISM veröffentlichte, ahnte niemand, welche Lawine er damit lostreten würde. Heute, zwölf Jahre später, stehen wir erneut an einem Wendepunkt.

Das DPF scheint nicht nur auf Sand gebaut, sein Fundament zeigt auch erhebliche Risse. Eine grundlegende Sanierung ist unter der jetzigen US-Regierung kaum vorstellbar. Vielmehr scheinen Europa und die USA immer weiter auseinanderzudriften, wie auch die Reden im Umfeld der Münchner Sicherheitskonferenz belegen. „We have to fear that our common value base is not that common anymore", brachte MSC-Chairman Christoph Heusgen die Situation auf den Punkt. Und auch eine Umfrage des European Council on Foreign Relations zeigt: In Deutschland, Frankreich, Italien und Spanien sehen weniger als 20 Prozent der Befragten die USA noch als Verbündeten mit gemeinsamen Werten.

Europa steht vor der Herausforderung, seine digitale Souveränität neu zu definieren. Deutsche und europäische Unternehmen müssen sich auf ein Worst-Case-Szenario vorbereiten. Die Situation ist dabei noch kritischer als bei den Vorgängerabkommen Safe Harbor und Privacy Shield.