Am 27. Januar entließ die Trump-Administration drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB), einem unabhängigen Gremium, das für die Gewährleistung von Transparenz und Rechenschaftspflicht bei den Überwachungspraktiken der USA zuständig ist. Durch die Entlassung dieser Mitglieder, einschließlich des Vorsitzenden, hat das PCLOB sein Quorum verloren und kann nicht mehr effektiv arbeiten, da nur noch ein Mitglied übrig ist. Es ist unklar, wann Ersatzmitglieder ernannt werden, aber aufgrund früherer Fälle wird der Prozess wahrscheinlich lange dauern, sodass die Behörde in der Zwischenzeit nicht einsatzfähig ist.
Als transatlantische zivilgesellschaftliche Organisation, die sich für die Achtung der Menschenrechte in der Technologiepolitik einsetzt, ist das Centre for Democracy and Technology (CDT) zutiefst besorgt über diese Entwicklungen. Das CDT US hat die Auswirkungen dieser Entlassungen auf die Überwachungspraktiken der USA eingehend analysiert, während das CDT Europe Bedenken hinsichtlich der Auswirkungen eines nicht operativen PCLOB auf die Umsetzung des EU-US-Datenschutzrahmens (DPF) geäußert hat.
Um die politischen Entscheidungsträger der EU zu unterstützen, haben wir diesen Bericht erstellt, um einen klaren Überblick darüber zu geben, wie sich diese Entwicklungen auf die Umsetzung des DPF auswirken, und um die notwendigen Schritte zum Schutz der Grundrechte aufzuzeigen.
-
Welche Rolle spielt der PCLOB im Rahmen des Datenschutzschilds?
Die Angemessenheitsentscheidung der Europäischen Kommission von 2023 misst der Rolle des PCLOB große Bedeutung bei, um sicherzustellen, dass die Praktiken der US-Geheimdienste mit den EU-Datenschutzstandards im Rahmen des DPF übereinstimmen. In ihrer Angemessenheitsentscheidung definiert die Kommission den PCLOB wie folgt: eine unabhängige Behörde innerhalb der Exekutive, die aus einem überparteilichen, fünfköpfigen Gremium besteht, das vom Präsidenten für eine feste Amtszeit von sechs Jahren mit Zustimmung des Senats ernannt wird. Gemäß seiner Gründungsurkunde ist der PCLOB mit Aufgaben im Bereich der Terrorismusbekämpfung und deren Umsetzung betraut, um die Privatsphäre und die bürgerlichen Freiheiten zu schützen. Im Rahmen seiner Überprüfung kann er auf alle relevanten Unterlagen, Berichte, Prüfungen, Überprüfungen, Dokumente, Unterlagen und Empfehlungen der Behörde zugreifen, einschließlich Verschlusssachen, und Befragungen durchführen und Zeugenaussagen anhören.
Die Aufsichtsfunktion des PCLOB bei den Geheimdienstaktivitäten der USA
Im Rahmen des DPF ist der PCLOB dafür verantwortlich, die Einhaltung der in der Executive Order 14086 (EO 14086) eingeführten Verfahrensgarantien durch die US-Nachrichtendienste zu überwachen. Diese Funktionen sollen die Glaubwürdigkeit der US-Überwachungsgarantien stärken und ausreichende Garantien für den Schutz der Grundrechte der EU-Bürger durch die US-Nachrichtendienste bieten.
Zu den Aufgaben des PCLOB gehört die Überwachung, ob die US-Geheimdienstaktivitäten den Grundsätzen der Notwendigkeit, Verhältnismäßigkeit und Achtung der Grundrechte entsprechen, die wesentliche Voraussetzungen für die Angleichung der US-Überwachungspraktiken an die EU-Rechtsstandards sind, wie sie in der Rechtsprechung des EuGH festgelegt sind. Er bewertet die Umsetzung der Schutzmaßnahmen des EO 14086, stellt sicher, dass neue Datenschutzbestimmungen wirksam durchgesetzt werden, und überprüft Geheimdienstverfahren und -richtlinien, um die Einhaltung der Beschränkungen bei der Massendatenerfassung zu überprüfen. Der PCLOB ist für die jährliche Überprüfung der Umsetzung von EO 14086 verantwortlich und bewertet, ob die US-Geheimdienste die darin festgelegten neuen Verfahrens- und Grundrechtsgarantien einhalten.
Zum Zeitpunkt der Entlassungen befand sich der erwartete Jahresbericht in Vorbereitung, und seine Veröffentlichung ist auf unbestimmte Zeit ausgesetzt. Dieser Bericht ist ein wesentlicher Bestandteil der jährlichen Bewertung des DPF durch die EU-Kommission. Daher würde die Unfähigkeit, einen solchen Bericht zu erstellen, die Fähigkeit der Kommission, die Einhaltung der EU-Standards sicherzustellen, erheblich beeinträchtigen und den PCLOB zu einer nutzlosen Schutzmaßnahme für die Zwecke des DPF machen. In Anbetracht der Schwere dieses Problems stellte die Kommission in ihrem letzten Umsetzungsbericht fest, dass „angesichts der wichtigen Rolle des PCLOB bei der Überprüfung der Umsetzung von EO 14086 die Kommission den Status künftiger Vakanzen und Nominierungen/Ernennungen genau überwachen wird“.
Die Rolle des PCLOB im Rechtsbehelfsmechanismus: Der Data Protection Review Court (DPRC)
In seiner 2023er Entschließung äußerte das Europäische Parlament erhebliche Bedenken hinsichtlich der Unterstellung des DPRC unter die Exekutive und stellte fest, dass „der neue Rechtsbehelfsmechanismus zwar nicht zulässt, dass der US-Generalstaatsanwalt die DPRC-Richter entlässt und beaufsichtigt, aber die entsprechenden Befugnisse des US-Präsidenten nicht beeinträchtigt; betont, dass die Unabhängigkeit dieser Richter nicht garantiert ist, solange der US-Präsident DPRC-Richter während ihrer Amtszeit abberufen kann“.
Der PCLOB ist für die Überwachung des neu eingerichteten DPRC zuständig, das gemäß EO 14086 einen Rechtsbehelfsmechanismus für EU-Bürger bereitstellen soll, die gegen eine rechtswidrige Überwachung in den USA vorgehen. Zu den Aufgaben des PCLOB in Bezug auf das DPRC gehören:
- Überwachung und Bewertung der Arbeitsweise des DPRC, um sicherzustellen, dass Beschwerden fair, unabhängig und zeitnah bearbeitet werden, einschließlich der Beurteilung, ob das DPRC uneingeschränkten Zugang zu den erforderlichen nachrichtendienstlichen Daten hat.
- Wird bei der Ernennung von DPRC-Richtern konsultiert, um die Unparteilichkeit des Tribunals zu stärken.
- Führt eine jährliche Überprüfung des Rechtsbehelfsmechanismus gemäß EO 14086 durch und veröffentlicht einen Bericht über die Ergebnisse, einschließlich einer nicht klassifizierten öffentlichen Version, die die Europäische Kommission bei der regelmäßigen Überprüfung des DPF informiert.
- Überprüft, ob die wesentlichen Schutzmaßnahmen von EO 14086 ordnungsgemäß angewendet werden.
- Überprüft, ob die Geheimdienste die von der DVRK getroffenen Entscheidungen vollständig einhalten.
- Stellt eine jährliche öffentliche Bescheinigung aus, in der bestätigt wird, ob der Rechtsbehelfsmechanismus im Einklang mit den Anforderungen von EO 14086 funktioniert.
Der EuGH hatte zuvor das Privacy Shield für ungültig erklärt und unter anderem festgestellt, dass der Ombudsmann-Mechanismus nicht ausreichend unabhängig von der US-Exekutive sei. Da die DVRK weiterhin der Exekutive untersteht, bezeichnete die Europäische Kommission die unabhängige Aufsicht des PCLOB als eine wichtige Schutzmaßnahme, um die Einhaltung des Unabhängigkeitsstandards des EuGH zu gewährleisten. Da der PCLOB nun nicht mehr funktionsfähig ist, ist die Legitimität der Unabhängigkeit der DVRK ernsthaft gefährdet und könnte vor rechtliche Herausforderungen gestellt werden.
2. Die Auswirkungen der Dysfunktion des PCLOB auf den EU-US-Datenschutzrahmen
Die jüngste Entlassung von PCLOB-Mitgliedern, die auf parteiübergreifender Basis ernannt wurden, hat den PCLOB als Aufsichtsorgan effektiv lahmgelegt und gibt Anlass zu ernsthafter Sorge über politische Einmischung in den unabhängigen Aufsichtsmechanismus. Dies markiert einen potenziellen Rückschritt in die Zeiten, in denen die PCLOB-Mitglieder nach dem Ermessen des Präsidenten ernannt wurden und ihre Arbeit dem Einfluss des Weißen Hauses unterlag. Dieser Schritt der neuen US-Regierung deutet auf eine möglicherweise längere Zeit ohne Quorum hin, da ungewiss bleibt, wann Ersatzmitglieder ernannt werden. Frühere Fälle deuten darauf hin, dass der Ernennungsprozess Monate oder Jahre dauern könnte, sodass die Behörde auf absehbare Zeit praktisch nicht einsatzfähig sein wird. Das einzige verbleibende PCLOB-Mitglied kann zwar in seiner individuellen Eigenschaft Berichte erstellen oder die Erstellung von „Stabsberichten“ überwachen, doch haben diese Dokumente nicht das gleiche institutionelle Gewicht wie formelle PCLOB-Berichte. PCLOB-Berichte werden in einem Beratungsprozess auf Vorstandsebene angenommen, wodurch eine parteiübergreifende Aufsicht und institutionelle Legitimität gewährleistet werden. Im Gegensatz dazu handelt es sich bei „Stabsberichten“ um technische Dokumente, die auf Arbeitsebene erstellt werden und nicht die formelle Position des gesamten Gremiums widerspiegeln. Daher haben sie nicht die gleiche rechtliche oder verfahrenstechnische Gültigkeit in offiziellen Bewertungen oder Aufsichtsprozessen. Darüber hinaus würden sie sicherlich nicht mit der Vision der Kommission von einem zuverlässigen, parteiübergreifenden Aufsichtsmechanismus übereinstimmen, bei dem die Mitglieder eine volle Amtszeit von sechs Jahren absolvieren, die ihre Unabhängigkeit von politischer Einflussnahme schützt.
Das Fehlen eines funktionsfähigen Aufsichtsorgans und die Entlassung der meisten seiner Mitglieder ohne triftigen Grund werfen aus mehreren Gründen grundlegende Bedenken hinsichtlich der Wirksamkeit und Einhaltung der US-Überwachungsschutzmaßnahmen gemäß EO 14086 auf:
- Keine unabhängige Überprüfung der Einhaltung der US-Geheimdienstvorschriften: Da der PCLOB nicht beschlussfähig ist, gibt es kein unabhängiges Gremium, das sicherstellt, dass die US-Geheimdienste die Schutzmaßnahmen von EO 14086 einhalten, sodass grundlegende Fragen offen bleiben, ob die Überwachungstätigkeiten innerhalb der vereinbarten rechtlichen Grenzen bleiben.
- Die Legitimität der DVRK steht nun in Frage: Der PCLOB sollte die Unabhängigkeit und Fairness der DVRK stärken und eine Aufsicht gewährleisten, um sicherzustellen, dass sie als unabhängiger Rechtsbehelfsmechanismus für EU-Bürger fungiert. Ohne den PCLOB ist die Fähigkeit der DVRK, als unparteiisches Gremium zu agieren, stark geschwächt. Selbst wenn der PCLOB irgendwann wieder eingesetzt wird, ist seine Unabhängigkeit durch die Entlassung der meisten seiner Mitglieder ohne triftigen Grund für immer getrübt.
- Die gesamte unabhängige Aufsichtsstruktur des DPF ist gefährdet: Das Fehlen eines effektiven PCLOB schwächt die Grundlage der Aufsichtsstruktur des DPF weiter und erhöht die Wahrscheinlichkeit von rechtlichen Anfechtungen vor dem EuGH, ähnlich wie bei denjenigen, die zur Ungültigkeitserklärung des Datenschutzschildes führten.
3. Eine Vereinbarung auf unsicherem Boden
Die Gültigkeit des DPF hängt stark von den durch die Durchführungsverordnung 14086 eingeführten Schutzmaßnahmen ab, die eingeführt wurden, um die Bedenken des EuGH in Bezug auf Aufsicht, Rechenschaftspflicht und Rechtsmittel auszuräumen. Die Aufsichts- und Rechtsmittelmechanismen wurden so konzipiert, dass sie die Rechenschaftspflicht und Verhältnismäßigkeit gewährleisten, die erforderlich sind, um die Standards des EuGH in Bezug auf Unabhängigkeit und Wirksamkeit zu erfüllen. Die Glaubwürdigkeit dieser Schutzmaßnahmen hängt jedoch von der Unabhängigkeit und operativen Kapazität des PCLOB ab. Da der PCLOB geschwächt wurde und für einen möglicherweise langen Zeitraum praktisch funktionsunfähig ist, ist die wesentliche Gleichwertigkeit höchst fraglich.
Die europäische Zivilgesellschaft und das Europäische Parlament standen dem neuen Angemessenheitsbeschluss der EU-Kommission aus dem Jahr 2023 sehr kritisch gegenüber. In seiner Entschließung forderte das Parlament die Europäische Kommission auf, den Rahmen neu zu verhandeln, da er „keine wesentliche Gleichwertigkeit des Schutzniveaus schafft“, wie es das EU-Recht vorschreibt. Die jüngsten Entwicklungen im Zusammenhang mit der Absetzung rechtmäßig ernannter PCLOB-Mitglieder verstärken diese Bedenken nur noch. In ihrem Jahresbericht 2024 über die Funktionsweise des DPF kam die Kommission zu dem Schluss, dass sie „die relevanten Entwicklungen in den nächsten Monaten und Jahren genau beobachten und dabei besonderes Augenmerk auf (1) die anstehenden Berichte des PCLOB über die Umsetzung von EO 14086 und … (3) die Nominierung und Ernennung von Mitgliedern des PCLOB zur Besetzung anstehender Vakanzen legen wird“. Da nun die für ein Quorum erforderlichen Vorstandsmitglieder entlassen wurden, kann der Bericht, auf den sich die Kommission bei der Überwachung der Umsetzung und Einhaltung stützt, nicht vom PCLOB herausgegeben werden, und das Problem der voraussichtlichen Vakanzen im PCLOB, das die Kommission vor einigen Monaten beschäftigte, hat sich verschärft.
Empfehlungen
- Die Europäische Kommission muss dieses Problem ernst nehmen, indem sie die Situation genau beobachtet, um neu zu bewerten, ob die Schutzmaßnahmen im Rahmen des DPF noch den Anforderungen des EuGH entsprechen, und aktiv mit der US-Regierung zusammenarbeitet, um die Ernennung neuer, parteiübergreifend gebilligter PCLOB-Mitglieder zu fordern.
- Sollten die US-Regierung und der US-Senat es versäumen, die Funktionsfähigkeit des PCLOB innerhalb eines angemessenen Zeitraums wiederherzustellen, wären die personenbezogenen Daten der EU-Bürger einer rechtswidrigen Überwachung ohne die erforderlichen Schutzmaßnahmen ausgesetzt, was einen Verstoß gegen ihre Rechte darstellt. Noch bevor die Fähigkeit des PCLOB, seine Rolle im DPF zu erfüllen, in Zweifel gezogen wurde, hatte das CDT mehr Schutz für die Rechte der EU-Bürger vor den Überwachungspraktiken der USA gefordert. Jetzt steht das DPF auf noch wackeligerem Boden. Wie in der Entschließung des Europäischen Parlaments von 2023 dargelegt, ist die Kommission verpflichtet, die Angemessenheitsentscheidung auszusetzen, wenn das Schutzniveau in den USA nicht mehr dem erforderlichen Standard der „wesentlichen Gleichwertigkeit“ mit den EU-Datenschutzgesetzen entspricht. Gemäß der Datenschutz-Grundverordnung (DSGVO) muss diese Bewertung ein kontinuierlicher Prozess sein, bei dem Änderungen in Gesetz und Praxis kontinuierlich bewertet werden, um die Einhaltung der Vorschriften sicherzustellen.
- Angesichts früherer EuGH-Entscheidungen sollte die EU nicht auf eine weitere rechtliche Anfechtung wegen der Unwirksamkeit des PCLOB warten, sondern proaktiv die Risiken antizipieren und die notwendigen Maßnahmen ergreifen, um die Integrität des Abkommens zu wahren, bevor es erneut zu einer unvermeidlichen Ungültigerklärung durch den EuGH kommt.
- Das Europäische Parlament sollte einen transparenten Dialog mit der Kommission führen und sicherstellen, dass die oben genannten Empfehlungen befolgt werden.
Quelle: The Center for Democracy & Technology (CDT)
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Warum ist Data Security Posture Management (DSPM) entscheidend?
CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle
Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten
Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet
2,3 Millionen Organisationen setzen auf DMARC-Compliance
Studien
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird
Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung
