Die EU-Kommission hat am 10. Juli 2023 ein „EU-US Data Privacy Framework“ zwischen der EU und den USA implementiert. Dieses Abkommen soll gewährleisten, dass die Verarbeitung von EU-Bürger:innen betreffenden Daten bestimmten Regeln unterliegt, welche die Privatsphäre achten sollen. Kommissionspräsidentin Ursula von der Leyen sagte: „Today we take an important step to provide trust to citizens that their data is safe, to deepen our economic ties between the EU and the US, and at the same time to reaffirm our shared values“. Die Kommission glaubt, dass die Regulierungen in den USA nun mit dem EU-Recht, also der Datenschutz-Grundverordnung, harmonieren. Erst im vergangenen Oktober hatte US-Präsident Joe Biden dazu das Dekret „Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnet. Mit dieser Regulierung von geheimdienstlicher Datenüberwachung reagierten die USA auf Vorgaben des Europäische Gerichtshofs.
Denn die beiden vorangegangenen Abkommen hatte der EuGH gekippt. Zur Erinnerung: Im Jahr 1995 trat eine EU-Direktive zum Datenschutz in Kraft. Das Abkommen „Safe Harbor“ aus dem Jahr 2000 regulierte den transatlantischen Datenverkehr, bis der Jurist Maximilian Schrems mit einer Klage vor den EuGH ging und im Oktober 2015 Recht bekam. Hintergrund waren die Enthüllungen von US-Geheimdienstprogrammen durch Edward Snowden in 2013. Als Nachfolger beschlossen EU und USA im gleichen Jahr ein „Privacy Shield“, das die Kommission 2016 anerkannte. In der Zwischenzeit trat 2018 die DSGVO der EU von 2016 in Kraft. Im Juli 2020 erklärte der EuGH dann auf eine weitere Klage von Schrems hin auch das Datenschutzschild für nichtig, da es eben keinen hinreichenden Schutz der EU-Bürger:innen vor Überwachung biete.
Es bleibt abzuwarten, ob das „Data Privacy Framework“ ein ähnliches Schicksal wie seine Vorgänger ereilt. Schon unken Kritiker, ob es sich bei dem neuen Abkommen nicht wieder um einen zahnlosen Papiertiger handele. Um das Abkommen in trockene Tücher zu bringen, wurden diesmal eigene Stellen geschaffen: Ein spezieller US-Beamter, ein „Civil Liberties Protection Officer“, und ein spezielles US-Gericht, ein „Data Protection Review Court“, sollen nun Rechtshilfe gegenüber den US-Geheimdiensten leisten. Verwaltet wird das Abkommen vom US-Handelsministerium, während die amerikanische Federal Trade Commission die Einhaltung seitens der Firmen gewährleisten soll. Zahlreiche US-Regierungsmitglieder und Beamt:innen haben Bekenntnisse an die EU-Kommission adressiert, darunter US-Verkehrsminister Pete Buttigieg, der der einen oder dem anderen noch aus den letzten Vorwahlen bekannt sein dürfte. Doch all dies kann nicht darüber hinwegtäuschen, dass in den USA keine zuständige Datenschutz-Behörde existiert – eine Bundesdatenschutzbeauftragte gibt es nicht. Der Datenschutz für EU-Bürger:innen bleibt also prekär, solange die USA keine effektiven Mechanismen für ihre eigenen Bürger schaffen.
Anfänge des Datenschutzes in den USA
Mangelnde Regulierung und Aufsicht haben historische Gründe. Die gesetzlichen Weichen wurden in den 1960er und 1970er Jahren gestellt. In dieser Zeit entwickelten die USA ein starkes Bewusstsein dafür, dass ein Erheben, Speichern, Verarbeiten und Weitergeben von Daten zu rechtlichen Problemen führen und einen Eingriff in die Privatsphäre bedeuten könnten. Bereits 1967 gab der Rechtsexperte Alan Westin in seinem Buch Privacy and Freedom folgende Definition: „Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others“. Westin war damit einer der Vordenker eines Rechts auf informationelle Selbstbestimmung.
Information bezeichnete auch maschinenlesbare Daten, die damals auf Lochkarten oder auf Magnetband gespeichert wurden. Solche Daten konnten auch der Überwachung dienen. Das prominenteste Beispiel für solche Befürchtungen war ein Vorhaben, Daten aus Ministerien und Behörden zu zentralisieren. In den Jahren 1966 und 1967 debattierten Ausschüsse im Kongress Vorschläge für ein „National Data Center“. Die Presse schlug Alarm: „A Government Watch On 200 Million Americans?“, titelte etwa U.S. News & World Report im Mai 1966. Befürworter der Vorschläge hofften, mit Hilfe von statistischen Daten die Programme der Johnson-Regierung effizient gestalten zu können. Das Projekt kam nie zustande, die Sorge um Privatsphäre blieb.
Bald richtete sich die Aufmerksamkeit auf konkrete Fälle, in denen die Regierung Computer einsetzte, um Menschen zu überwachen. So kam 1970 an die Öffentlichkeit, dass die US-Armee landesweit politische Demonstrationen und Protest beobachtete und geheimdienstliche Berichte zum Teil in elektronischen Datenbanken speicherte. Ziel waren vor allem Gegner des Vietnamkriegs und Mitglieder der Bürgerrechtsbewegung. Die US-Armeebehörde (Department of the Army) berief sich darauf, dass sie sich auf Einsätze bei schweren Unruhen vorbereiten müsse, wie sie etwa im Juli 1967 die Stadt Detroit betrafen. Unter anderem versuchten Geheimdienste, mit Hilfe von statistischen Daten Unruhen zu prognostizieren. Während der Senat das Programm als gesetzeswidrig einstufte, wies der Oberste Gerichtshof der USA eine Klage dagegen ab.
Lückenhafte US-Gesetzgebung
Der Gesetzgeber war gefragt, um die Verarbeitung von personenbezogenen Daten zu regulieren. Den Anfang machte die Nixon-Regierung mit dem „Fair Credit Reporting Act“, einem Gesetz, das Regeln zum Handel mit Reporten über die Kreditwürdigkeit von Person einführte. Solche Reporte enthielten oft pikante Details, waren aber manchmal fehlerbehaftet. Auf der Höhe der Watergate-Affäre debattierte der Kongress ein Bundesdatenschutzgesetz, den „Privacy Act“. Die Gesetzesvorlage aus dem Senat war weitreichend, während das Repräsentantenhaus eine abgeschwächte Version vorschlug, die auch der neue Präsident Gerald Ford unterstützte. Schließlich einigten sich die beiden Kammern auf einen verwässerten Kompromiss.
Der „Privacy Act“ von 1974 betraf lediglich Bundesbehörden, enthielt aber zahlreiche Ausnahmen für Geheimdienste. Der gesamte Privatsektor blieb ausgespart. Ein Aufsichtsgremium, ein „Federal Privacy Board“, wie es der Senat gefordert hatte, kam nicht zustande. Dafür sollte eine Studienkommission, eine „Privacy Protection Study Commission“, untersuchen, wie das Gesetz weiterentwickelt werden könne. In ihrem Bericht empfahl die Kommission unter anderem, ein „Federal Privacy Board“ einzusetzen. Die Empfehlungen blieben aber weitgehend folgenlos. Es folgten eine Reihe von Einzelnormen, wie etwa ein „Video Privacy Protection Act“. Das Gesetz war entstanden, da ein Journalist recherchiert hatte, welche Filme sich ein Kandidat für den Obersten Gerichtshof ausgeliehen hatte.
Schwache internationale Abkommen
Dieser lückenhafte Datenschutz, der weitgehend unregulierte Privatsektor und eine schwache Aufsicht sind mithin Ursachen für die heutigen Probleme im Austausch mit der EU. Aber auf internationaler Ebene sind verbindliche Abkommen zum Datenschutz Mangelware. Die wichtigsten Abkommen sind Richtlinien der Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung von 1980 bzw. 2013 und eine Konvention des Europarats. Darüber hinaus gibt es Richtlinien der Vereinten Nationen von 1990, und 2015 wurde ein UN-Sonderberichterstatter für das Recht auf Privatsphäre ernannt. Seit dem Menschenrechtsjahr 1968 befassten sich die UN mit den Folgen von technischem und wissenschaftlichem Fortschritt für Menschenrechte, unter anderem in Hinblick auf Privatsphäre.
Die UdSSR brachte 1974 eine entsprechende Deklaration ein, die aber stark auf soziale und wirtschaftliche Rechte ausgerichtet war und Ideale wie Frieden und Fortschritt anstrebte. Westliche Staaten ergänzten die Deklaration um den Schutz individueller und politischer Rechte. So brachten die USA unter anderem den Vorschlag ein, den Text um den Schutz von „the rights of the individual or of the group, particularly with regard to respect for privacy“ zu ergänzen. Nachdem der Vorschlag zuerst abgelehnt wurde, setzte die US-Delegation die Passage in einer Sitzung per Kampfabstimmung doch noch durch. Im zeitlichen Kontext von Watergate und dem Privacy Act war hiermit außer dem Schutz vor elektronischer Überwachung wohl auch Datenschutz gemeint.
Wenn Ursula von der Leyen von „gemeinsamen Werten“ von EU und USA in Hinblick auf Datenschutz spricht, ist das nicht aus der Luft gegriffen. In den USA besteht eine lange Tradition eines Schutzes der Privatsphäre, und das Land hat sich auf UN-Ebene explizit dafür eingesetzt. Trotzdem handelt es sich beim „Data Privacy Framework“ bloß um einen „wichtigen Schritt“, um das Vertrauen der Bürgerinnen zu gewinnen, wie die Kommissionspräsidentin ausführte. Denn die USA selbst haben eine bruchstückhafte Datenschutzgesetzgebung, und sie hatten in den 1970er Jahren auf eine eigenständige Aufsicht verzichtet. Es bleibt abzuwarten, ob unter diesen Voraussetzungen ein effektiver Schutz von EU-Daten gelingen kann.
Die Schweiz hat übrigens ihr Datenschutzniveau auf das der europäischen DSGVO angehoben. Ab September entscheidet hier der Bundesrat darüber, ob andere Staaten dieses Schutzniveau einhalten. Diesbezüglich verhandelt die Schweiz derzeit mit den USA über ein gesondertes Rahmenwerk.
Verbindliche Normen und Kontrollen gefragt. Das Beispiel TikTok
Dass Mechanismen für einen internationalen Datenschutz wichtig sind, zeigt indes der Konflikt der USA um die Applikation TikTok, da befürchtet wird, dass Nutzerdaten über die Eigentümerfirma ByteDance nach China abfließen könnten. Außerdem wird befürchtet, dass die chinesische Regierung das Programm für Propaganda nutzen könnte. Dass mächtige Committee on Foreign Investment in the United States (CFIUS) fordert einen Verkauf der chinesischen Anteile. Auch wenn Experten keine Hinweise für spezielle Spionageprogramme sehen und die Funktionen mit anderen Social-Media-Plattformen vergleichbar seien, ist die Fülle an Informationen, die solche Programme verarbeiten, beachtlich und reichen vom geografischen Standort über individuelle Vorlieben bis hin zu Finanzdaten. TikTok bestreitet indes, dass Informationen an die chinesische Regierung weitergereicht würden, und sagt, dass Daten in einer Cloud auf amerikanischem Territorium verwaltet würden. Allgemein erscheint die Sorge vor Spionage allerdings berechtigt. Erst im Februar hat das US-Militär einen chinesischen, mutmaßlichen Spionageballon über US-Gebiet abgeschossen – einfacher ist jedoch der grenzüberschreitende Weg über das Internet, den chinesische Hacker häufig beschreiten.
Zwar sind die USA kein autoritäres Regime, doch scheiterten wie gezeigt bisherige transatlantische Datenschutzabkommen an der Befürchtung, dass sich US-Sicherheitsbehörden einen weitreichenden Zugriff auf europäische Nutzerdaten von Internetkonzernen sichern könnten. Die Frage steht in Zusammenhang mit einer Reihe von Fällen, die der Jurist Andrew Keane Woods unter dem Begriff „Data Sovereignty“ subsummiert. Wenn Mechanismen fehlen, um grenzüberschreitende Rechtsansprüche zu moderieren, so argumentiert Woods, könnten Staaten geneigt sein, die Infrastruktur des Internets unter ihre Kontrolle zu bringen. Die Freiheit des Internets stünde so auf dem Spiel.