Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.
Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes gewonnen habe.
Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.
Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.
Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.
Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften – etwa des Foreign Intelligence Surveillance Act (FISA) – erfolgen.
Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen. Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.
Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht. Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.
Mit freundlichen Grüßen
Peter Schaar