Künstliche Intelligenz

US-Urteil erschüttert das Fundament des transatlantischen Datentransfers


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Einem politischen und rechtlichen Kartenhaus droht der Einsturz. Mit der Entscheidung des Obersten Gerichtshofs der USA in der Rechtssache Trump v Slaughter (Az. 25–332) hat die konservative Mehrheit der Richter die Unabhängigkeit der Federal Trade Commission (FTC) für verfassungswidrig erklärt. Was nach einer rein innenpolitischen Debatte über die Machtfülle des US-Präsidenten aussieht, entpuppt sich bei genauem Hinsehen als Sprengsatz für die europäische Digitalwirtschaft. Denn die vermeintliche Unabhängigkeit der FTC war lange Zeit das rechtliche Fundament, auf dem der Datenverkehr zwischen der EU und den USA ruhte.

Weiterlesen nach der Anzeige

Hintergrund des aktuellen Konflikts ist die sogenannte „Unitary Executive Theory“. Dieser radikalen Verfassungsauslegung folgend muss der US-Präsident die uneingeschränkte Kontrolle über alle Bundesbehörden verfügen. Der Supreme Court erklärte nun alle gesetzlichen Regelungen, die Behörden vor dem direkten Durchgriff des Weißen Hauses schützen, für unzulässig.

Für den transatlantischen Datenschutzrahmen könnte das gravierende Folgen haben. Seit dem Jahr 2000 stützt sich die EU-Kommission bei ihren Abkommen zum Datenexport mit den USA maßgeblich auf die FTC als kontrollierendes Organ. Das Problem dabei ist struktureller Natur: Das EU-Vertragsrecht und die Grundrechtecharta schreiben vor, dass die Überwachung des Datenschutzes durch unabhängige Behörden erfolgen muss. Da Drittstaaten ein „im Wesentlichen gleichwertiges“ Datenschutzniveau zu garantieren haben, galt diese Pflicht zur Unabhängigkeit auch für die US-Aufsicht.

Im aktuellen Angemessenheitsbeschluss der EU, dem heftig umstrittenen EU-US Data Privacy Framework von 2023, beruft sich die EU-Kommission sage und schreibe 259 Mal auf die Kontrollfunktion der FTC. Mit dem neuen Urteil untersteht diese Behörde jetzt jedoch prinzipiell direkt den politischen Weisungen des US-Präsidenten. Die mühsam konstruierte Argumentation, die USA böten unabhängige Aufsicht, dürfte damit über Nacht hinfällig geworden sein.

Max Schrems, Gründer der Datenschutzorganisation Noyb, sieht die Brüsseler Regierungsinstitution damit in der Pflicht. Da es in den USA schlicht keine unabhängigen Behörden mehr gebe, hat Noyb die Kommission formell aufgefordert, die Angemessenheitsentscheidung für die USA in einem geordneten Prozess aufzuheben. Sie habe unter dem Druck der Wirtschaft ein rechtliches Luftschloss gebaut, das nun in sich zusammenfalle. Es sei an der Zeit, Verantwortung zu übernehmen und einen koordinierten Ausstieg der europäischen Wirtschaft aus der US-Cloud-Infrastruktur einzuleiten. Schrems hat bereits zweimal vor dem Europäischen Gerichtshof (EuGH) Übereinkünfte zum EU-US-Datentransfer zu Fall gebracht.

Weiterlesen nach der Anzeige

Die juristische Tragweite des Urteils ist noch nicht ganz absehbar. Seine praktischen Auswirkungen gelten aber nicht als unbegrenzt. Zwar hat sich die faktische Basis des EU-Beschlusses offenbar aufgelöst. Formal bleibt das Abkommen aber so lange in Kraft, bis die EU-Kommission es selbst widerruft oder der schon mit dem Rahmenwerk beschäftigte EuGH es für nichtig erklärt. Firmen, die sich auf die Übereinkunft stützen, drohen also keine sofortigen Strafen.

Ferner betrifft die Datenschutzgrundverordnung (DSGVO) ausschließlich personenbezogene Daten. Rein geschäftliche oder nicht-personenbezogene Informationen dürfen weiter ungehindert fließen. Auch absolut notwendige Datenübermittlungen – etwa für eine Hotelbuchung im Ausland – bleiben über die Ausnahmeregelungen des Artikels 49 der DSGVO legal. Verboten ist indes das systematische und strukturelle Auslagern europäischer Datenbestände an US-Anbieter ohne zwingenden Grund.

Allerdings hängen auch Firmen in der Luft, die das Rahmenabkommen umgehen und auf alternative Instrumente wie Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) setzen. Diese Instrumente verlangen von Unternehmen eine interne Risikoanalyse. In diesen Folgenabschätzungen wird regelmäßig auf US-Prüfinstanzen wie den „Data Protection Review Court“ verwiesen. Doch dieses von der Biden-Regierung ins Leben gerufene Gremium ist kein echtes Gericht, sondern eine Behörde innerhalb des US-Justizministeriums. Ihre Unabhängigkeit beruht nur auf einer präsidialen Exekutivverordnung. Nach der Logik des Supreme Court könnte auch diese von Trump jederzeit kassiert werden.

Firmen, die mit Vertragsklauseln arbeiten, sollten ihre Risikoanalysen deshalb aktualisieren. Rein rechtlich dürften sie dabei kaum noch zu positiven Ergebnissen gelangen.

Anlass für das US-Verfahren war die Entlassung der beiden demokratischen FTC-Kommissare Rebecca Slaughter und Alvaro Bedoya durch Trump zu Beginn seiner zweiten Amtszeit 2025. Der Republikaner feuerte beide ohne Angabe gesetzlich vorgeschriebener Gründen wie Dienstvergehen oder Pflichtverletzung, weil ihre Arbeit nicht den Prioritäten seiner Regierung entsprach. Während die Vorinstanzen diese Entlassungen noch als rechtswidrig einstuften, vollzog der Supreme Court eine Kehrtwende und verwarf seine eigene, fast ein Jahrhundert alte Rechtsprechung zum Schutz unabhängiger Aufsichtsbehörden.

Die Fronten für den nächsten datenschutzrechtlichen Großkonflikt sind damit abgesteckt. Da ein geordneter Rückzug der EU-Kommission aus dem Abkommen unwahrscheinlich erscheint, bereitet Noyb bereits den Klageweg vor. Bis der EuGH in zwei bis drei Jahren endgültig entscheidet, droht der europäischen Digitalwirtschaft eine Phase der Rechtsunsicherheit.


(mki)



Source link

Beliebt

Die mobile Version verlassen