Data Privacy Framework : Zeit für neues Denken bei der Daten-Geopolitik

Am 7. Oktober hat US-Präsident Joseph Biden ein Dekret zu elektronischen Aufklärungsaktivitäten (Signals Intelligence, Sigint) unterzeichnet und damit den Weg für ein neues EU-US-Datentransferabkommen bereitet. Die Maßnahme soll zur Grundlage für das Data Privacy Framework (DPF) werden und so ein signifikantes Hindernis transatlantischer Datenflüsse beseitigen.

Damit ist die neueste Episode in einem ausgedehnten transatlantischen Datenkonflikt, der bis zu den NSA-Enthüllungen 2013 zurückreicht, angebrochen. Damals hatte der österreichische Datenschutzaktivist Max Schrems das Safe-Habor-Abkommen erfolgreich vor dem Europäischen Gerichtshof (EuGH) angefochten. Infolgedessen verhandelten USA und EU ein stärkeres Abkommen, das Privacy Shield. 2020 ging Schrems jedoch erneut vor den EuGH und auch diese Abkommen wurde gekippt.

Hochrangige Beamte der EU-Kommission fordern seither unnachgiebig eine sogenannte „Dauerlösung“ auf der Grundlage von drei Prinzipien: Abhilfemaßnahmen für EU-Bürger, durchsetzbare individuelle Rechte und Beschränkungen von unverhältnismäßigen Eingriffen in die Privatsphäre. Vor allem will die Kommission ein Schrems III verhindern, doch auch das neue Abkommen wird sich vor dem EuGH bewähren müssen.

Veränderte geopolitische Stimmungslage

Allerdings hat sich im Jahr 2022 die geopolitische Stimmungslage verändert. Zum einen ist die Biden-Administration die EU-freundlichste US-Regierung der Geschichte. Zum anderen, noch wichtiger, ist der Datendeal ein weiteres Nebenprodukt der transatlantischen Einigkeit im Kontext des russischen Angriffskriegs auf die Ukraine. EU und USA haben vor dem Hintergrund ihrer geopolitischen Stärke in einem sich intensivierenden Wettstreit zwischen Demokratien und Autokratien die Frage nach elektronischer Aufklärung neu gestellt. Russlands Aggression hat dies in den Vordergrund gerückt. Die Anforderungen des Gerichtshofs haben sich nicht verändert; die Dringlichkeit, sie zu erreichen, hingegen schon.

Im Kern etabliert das neue DPF einen sogenannten Data Protection Review Court. Dieses „Gericht“ besteht aus unabhängigen Experten, die nicht mit der US-Regierung affiliiert sind. Sie sollen in der Lage sein, Entscheidungen in Fällen zu treffen, die von einem speziellen Anwalt, der europäische Kläger vertritt, vorgebracht werden. Ebenso wie die unabhängigen Experten dieses Gremiums wird dieser Anwalt Zugang zu geheimen Erhebungsverfahren und Informationen benötigen. Daher muss es sich um US-Staatsbürger handeln. Wichtig ist, dass die Entscheidungen bindend sein werden. Gleichzeitig werden Aufsicht, Leitplanken und Grenzen von massenhafter Datensammlung erhöht.

Der Weg zu einer dauerhaften euro-atlantischen Datenbrücke ist jedoch nicht gradlinig. Das US-Justizministerium muss die EU als Einheit mit tiefgreifendem digitalem Rechtsschutz anerkennen. Das ist gegeben. Interessanter ist, dass die Benennungsmacht den USA die Möglichkeit gibt, Bürgern aus anderen Demokratien wie Kanada, Japan, Südkorea und Großbritannien die gleichen Schutzmaßnahmen zuzusprechen. Auf Seiten der EU steht die Kommission in einem Wettlauf gegen die Zeit, den bis das neue Abkommen steht, bleibt das Damoklesschwert über der transatlantischen Tech-Beziehung hängen. Erst wenn ein Angemessenheitsbeschluss gefällt ist, kann es wieder Sicherheit für den grenzüberschreitenden Datenverkehr geben.

Schließlich haben Europas mächtige Datenschutzbehörden nach und nach die Verwendung des letzten Passes für legalen Datentransfer in die USA, die so genannten Standardvertragsklauseln, abgebaut. Regulierungsbehörden in mehreren EU-Ländern haben kürzlich gegen Google Analytics, entschieden. Irische Behörden haben außerdem einen Prozess gestartet, um alle Datentransfers von Meta (Facebook) in die USA zu stoppen.

Das Momentum für breite Daten-Allianz nutzen

USA und EU sollten das Momentum nutzen, um diese Grundlage für eine breitere demokratische Daten-Allianz zu untermauern, bevor das neue Abkommen vor dem EuGH landet. Hier sind vier Wege, dies zu tun:

Erstens, die Vereinigten Staaten müssen Antworten des Kongresses ausarbeiten, die die wachsende Dynamik nutzen, um nationale Privatsphäre- und Datenschutz-Gesetzgebung zu verabschieden. Sektion 702 des Foreign Intelligence Service Acts (FISA) läuft Ende 2023 aus. Die Schutzmaßnahmen des DPF sollten in der Gesetzgebung des Kongresses bei jeder Erneuerung der Befugnis zur Sammlung von Daten kodifiziert und vertieft werden. Dies würde helfen, eine Hauptsorge Brüssels zur „Dauerhaftigkeit“ des Dekrets – in anderen Worten, vor der Rückkehr von Donald Trump – vom Tisch zu nehmen.

Zweitens, der DPF-Durchbruch eröffnet die Möglichkeit, den politischen Diskurs darüber, wie ein umfassender Ansatz zu demokratischer Daten-Governance mit den USA und anderen Demokratien aussehen könnte, in Europa – und insbesondere in Deutschland – zu erweitern. Zurzeit wird dieser Diskurs, oft zusammengefasst im Sinne von „digitaler Souveränität“, von frustrierenden Unstimmigkeiten und Widersprüchen belastet. Auf der einen Seite hat Europa Schrems II und den Cloud Act genutzt, um Programme zur Zertifizierung von Cloud-Cybersicherheit zu rechtfertigen, die das Ziel haben, französische Cloud-Anbieter vor us-amerikanischen zu bevorzugen. Auch Deutschland wählte in seiner Datenstrategie einen antagonistischen Ansatz gegenüber den USA – mit der Feststellung, dass Berlin sich aufgrund von Risiken für die nationale Sicherheit vor Abhängigkeit von amerikanischen Anbietern schützen soll.

Auf der anderen Seite haben Deutschland und Europa die Erweiterung des US-amerikanischen euro-atlantischen Sicherheitsschirms auf Cyberoperationen, elektronische Aufklärung und digitale Technologieüberlegenheit angenommen. Dies gilt insbesondere im Lichte der Art und Weise, wie Washingtons digitalpolitische Sanktionen als Multiplikator der ukrainischen Standhaftigkeit gewirkt haben. Der Rest Europas nimmt dies zur Kenntnis und viele möchten den gleichen Schutz. In diesem Sinne hat US-Verteidigungsminister Lloyd Austin 2021 verkündet, dass das Pentagon 500 zusätzliche Kräfte nach Wiesbaden entsenden wird, speziell um Cyber- und Fernmeldeaufklärung sowie elektronische Kriegsführungs- und Weltraumkapazitäten zu stärken.

Asymmetrie am Verhandlungstisch

Ein Grund hierfür war bisher der Mangel an Symmetrie am Verhandlungstisch zur Geopolitik von Daten. Die EU-US-Diskussionen zur Datensammlung und der digitalen Brücke wurden definiert von der US-Regierung, den Geheimdiensten und dem Tech-Sektor auf der US-Seite, und der Kommission, Datenschutzbehörden und Privatsphäre-NGOs auf der EU-Seite – mit dem EuGH immer im Hintergrund lauernd. Der europäische Tech-Sektor, Regierungen der Mitgliedstaaten, deren Geheimdienste und die europäische Forschungsgemeinschaft haben alle ein Interesse an einem demokratischen Datengovernance-System. Dennoch bleiben sie bislang passiv – ein erkennbarer Schwachpunkt. Man berücksichtige zum Beispiel, dass 48 Prozent aller deutschen Unternehmen Daten ins Ausland übertragen, mit den USA als Ziel an oberster Stelle. Erst 2021 haben europäische Unternehmen begonnen, die Bundesregierung öffentlich unter Druck zu setzen, sich proaktiver für ein transatlantisches Datentransferabkommen einzusetzen.

Drittens muss die EU Datenschutz-Andockmechanismen für Beziehungen mit der Außenwelt entwickeln, die einen hohen Standard haben, aber realistisch, offen und demokratisch sind. Dies ist besonders notwendig, da der Erfolg von Universaltechnologien wie KI, Hochleistungsrechnern und Quantentechnologie – die Sphären zukünftigen geopolitischen Wettbewerbs – von der Tiefe und Geschwindigkeit der Datenverarbeitung abhängt. Die DSGVO hat eine monumentale globale Verschiebung, wie Datenrechte im digitalen Zeitalter reguliert werden, eingeläutet. Doch sie macht EU-Datenbeziehungen mit dem Rest der Welt brüchiger und unpraktikabler. Ohne die USA haben nur 14 Staaten DSGVO-konforme Abkommen mit der EU. Und dabei handelt es sich nicht hauptsächlich um führende Technologie-Kräfte, sondern oft um Kleinststaaten wie Andorra und die Faröer Inseln. Mit dem digitalen Aufstieg von Indien, Brasilien und Afrika, ganz zu schweigen von China, wird die EU ihre Datenaußenpolitik nachträglich anpassen müssen, damit sie technologisch und geopolitisch gebrauchstauglich ist.

Schließlich sollten EU und USA gemeinsam eine Führungsrolle für eine globale Governance-Struktur übernehmen, um Datenschutz- und Menschenrechte global abzusichern. Getragen von der Dynamik des DPF-Durchbruchs sollten die beiden Blöcke (1) eruieren, wie Privatsphäre und Daten bei KI in der OECD, der Global Partnership on AI und dem Europarat adressiert werden können; (2) das DPF im Trusted Government Access Framework der OECD untermauern; (3) das Thema des vertrauensvollen, freien Datenflusses während der japanischen G7-Präsidentschaft 2023 priorisieren; und (4) die bisher beschränkten Ambitionen hinsichtlich industrieller Daten und Cloud-Governance im Trade and Technology Council auf die Agenda bringen.

Letztlich stellt Daten-Governance die Zukunft der Diplomatie dar – ein Feld, in dem nationale Sicherheit, tech-industrieller Wettbewerb und Menschenrechte zusammenlaufen. In diesem Sinne sind USA und EU in einer einmaligen Position, die Regeln zu setzen. Transatlantische Kabel transportieren 55 Prozent mehr Datenflüsse als transpazifische, und 40 Prozent mehr Daten als zwischen den USA und Lateinamerika. Der Schritt der Biden-Regierung hat den Raum für neues Denken zur Geopolitik von Daten geöffnet. Es liegt an beiden Seiten, ihn zu füllen.

Tyson Barker leitet bei der Deutschen Gesellschaft für Auswärtige Politik (DGAP) das Programm „Technologie und Außenpolitik“.