
Viel #Digitalsouveränität auf dem Papier, nur wenig in der Praxis: Seit dem letzten #Angemessenheitsbeschluss zur Übermittlung personenbezogener Daten zwischen der EU und den USA, dem EU-US Data Privacy Framework aus Sommer 2023, war es verhältnismäßig ruhig geworden um die Frage, ob die USA tatsächlich ein angemessenes Datenschutzniveau im Sinne der #DSGVO aufweisen. Damals noch als wirtschaftspolitisches Eingeständnis unter dem damaligen US-Präsidenten Joe Biden initiiert, hat sich die Lage mit dem amtierenden 47. Präsidenten jedoch deutlich geändert, so schon im vergangenen Jahr mit Blick auf das Privacy and Civil Liberties Oversight Board (#PCLOB), das eine der wesentlichen Datenschutzgarantien in den USA darstellt.
Eine wesentliche Grundlage des aktuellen Angemessenheitsbeschlusses ist nämlich, dass es auch in den Staaten eine unabhängige Datenschutzaufsicht gibt – bislang war hierfür die Handelsaufsicht #FTC zuständig. Genau diese Grundlage hat der US Supreme Court nun ins Wanken gebracht. Das Gericht entschied nämlich letzte Woche, dass die Unabhängigkeit der Handelsaufsicht gegen die amerikanische Verfassung verstößt, weil laut der Unitary-Executive-Doktrin der Präsident die Kontrolle über sämtliche Exekutivbehörden behalten muss. Was zunächst nach einer amerikanischen Verfassungsfrage klingt, trifft Europa empfindlich, denn die EU-Kommission hat ihre Angemessenheitsentscheidung mehrfach auf diese Unabhängigkeit gestützt. Die europäische Grundrechtecharta verlangt eine von politischer Einflussnahme freie Datenschutzaufsicht im Zielland, damit eine Übermittlung als angemessen gelten kann.
Überraschend ist das Urteil im Ergebnis aber kaum, der Europäische Gerichtshof kippte 2015 Safe Harbor und 2020 Privacy Shield aus ähnlichen Gründen. Kurzfristig bleibt die Angemessenheitsentscheidung formal bestehen, solange sie nicht aufgehoben wird. Anders als 2020 ist die Cloud aber inzwischen so tief in die IT-Infrastruktur der europäischen Wirtschaft und Verwaltung verankert, dass damit absehbar erhebliche Compliance-Probleme auf uns zurollen könnten. Damit gerät die Europäische Kommission nun erneut unter Zugzwang in einem Entscheidungsdilemma, das sich schon seit Längerem angekündigt hat, denn europäische Grundrechte verlangen hohen Datenschutz, während sich dieser Anspruch aktuell in der Praxis mangels Technologiesouveränität kaum realistisch durchsetzen lässt: