[English]Am 7. Oktober 2022 hat US-Präsident Joe Biden das neue, hier "Privacy Shield 2.0" genannte, Datenschutzabkommen mit der Europäischen Union durch einen Erlass (Executive Order) auf den Weg gebracht. Ziel: Den Datenaustausch zwischen der EU und US-Anbietern der juristische Weg freizumachen. Fachleute hatten Zweifel, ob dieser Präsidentenerlass vor dem EuGH Bestand hat. Jetzt wurde eine Einschätzung von Stefan Brink, Datenschutzbeauftragter des Landes Baden-Württemberg bekannt, der diesen Erlass (Executive Order) als nicht ausreichend ansieht und erhebliche Defizite beklagt.
Anzeige
US-Präsidentenerlass für "Privacy Shield 2.0"
US-Präsident Joe Biden hat Anfang Oktober 2022 eine Executive Order unterzeichnet, die ein neues Datenschutzabkommen mit der Europäischen Union auf den Weg bringen soll. Nachfolgender Tweet verweist auf dieses Fact-Sheet des Weißen Hauses mit Details.
Diese Exekutivanordnung präzisiert die Verpflichtungen der USA, die diese im Rahmen des Datenschutzrahmens zwischen der Europäischen Union und den USA (EU-U.S. Data Privacy Framework – DPF) zum Schutz europäischer Nutzer umsetzen möchte. Ich hatte im Blog-Beitrag US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg über die Details berichtet und eine erste Einschätzung gegeben.
Eco begrüßt den Erlass
Anzeige
Der Verband der Internetwirtschaft (ECO) begrüßt in einer ersten Stellungnahme, dass der US-Präsident die Excecutional Order unterzeichnet hat. ECO sieht in diesem Schritt, dass eine Lösung für die rechtssichere Übertragung personenbezogener Daten aus der EU in die USA präsentiert wurde. Diese versuche den Anforderungen der Vorgaben des Europäischen Gerichtshofs Rechnung zu tragen. Es wurde also gejubelt – möglicherweise verfrüht.
Einschätzung von noyb
Denn die Historie der bisher zwischen EU und USA geschlossenen Datenschutzabkommen ist von Pleiten, Pech und Pannen begleitet. Der ECO-Verband und die US-Cloud-Anbieter können noch so viel über jedes Abkommen jubeln. Datenschutzaktivist Max Schrems hat mit seiner Organisation noyb diese Abkommen vor den Europäischen Gerichtshof (EuGH) gebracht. Alle Vorgängerabkommen wurden vom EuGH als nicht mit europäischem Recht verworfen (siehe Links am Artikelende).
Zum obigen Erlass des US-Präsidenten Joe Biden gab es erste Stellungnahmen, die den Erlass als nicht ausreichend ansahen (ich hatte Blog-Beitrag US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg diverse Aussagen zitiert). Die Position von Max Schrems hat er in obigem Tweet zusammen gefasst: Es reicht wohl nicht. Schrems will mit noyb die Dokumente in den kommenden Tagen analysieren, stellt aber bereits mit der Datenschutzorganisation fest, dass der Ansatz wohl zu kurz gesprungen ist und wird klagen, wenn dies in der EU umgesetzt wird.
Stefan Brink sieht ebenfalls Mängel im Erlass
Interessant ist jetzt die Einschätzung des scheidenden Datenschutzbeauftragten von Baden-Württemberg, Dr. Stefan Brink, die am 26. Oktober 2022 Tagen veröffentlicht wurde. Laut Brink ist die Executive Order des US-Präsidenten ist ein wichtiger Schritt in Sachen internationaler Datentransfer nach dem Schrems II-Urteil des EuGH, der aber viele Fragen offenlässt. LfDI Dr. Stefan Brink sagt dazu:
Dass die US-Regierung im Hinblick auf das Datentransfer-Abkommen aktiv wird, ist ein wichtiger Schritt in die richtige Richtung. Um Europa langfristig nicht als wichtigen Handels- und Unternehmenspartner zu verlieren, muss sich die USA auf die Europäische Kommission und die europäischen Datenschutzgrundsätze zubewegen. Die Regelungen der Executive Order lassen jedoch erhebliche Defizite erkennen.
Als LfDI BW begrüßt Brink grundsätzlich, dass die US-Regierung im Hinblick auf das Datentransfer-Abkommen aktiv wird. Ein tragfähiges Abkommen sei insbesondere für exportorientierte europäische Unternehmen und für alle, die US-amerikanische Dienstleister einsetzen, dringend notwendig, so LfDI Brink.
Das Urteil des Europäischen Gerichtshofs hatbei vielen deutschen und europäischen Unternehmen zu einer Rechtsunsicherheit geführt, und wenn die US-Unternehmen nicht auf den wichtigen und starken europäischen Markt verzichten wollten, müsste die US-Regierung die europäische Rechtsprechung nachvollziehen und sich auf die europäischen Regeln einlassen, so der Datenschutzbeauftragte.
Nicht einklagbarer Papiertiger
LfDI Brink sieht trotz der als erfreulich bezeichneten Entwicklung und dem Erlass der Executive Order erhebliche rechtliche Unklarheiten. Brink führt in siner Stellungnahmen folgende Punkt auf:
- Es stellt sich die Frage, inwieweit eine Executive Order überhaupt ein wirksames Instrument zur Umsetzung der Anforderungen der Datenschutz-Grundverordnung DS-GVO sein kann. Sie stellt eine interne Anweisung an Regierung und nachgeordnete Behörden dar und ist kein parlamentarisch beschlossenes und damit bestandskräftiges Gesetz.
- Die Einhaltung einer bloßen Executive Order ist insbesondere für EU-Bürger nicht einklagbar.
- Zudem sei nicht klar, wie sich die Executive Order zu anderen bestehenden US-Regulierungen wie dem Cloud Act verhält, moniert der Datenschützer mit Recht.
Brink meint, dass die jetzt in der Executive Order enthaltenen Beschränkungen von Datenverarbeitungen auf erforderliche und angemessene Fälle zwar wie ein Zugeständnis wirken. Im Sinne des europäischen Verhältnismäßigkeitsprinzips sei die Auslegung des Rechtsbegriffs der Verhältnismäßigkeit in Europa und den USA unterschiedlich, so die Erkenntnis von Brink. Daher bleibt unklar, wann aus Sicht der USA ein Zugriff für die nationale Sicherheit zulässig bleibt. Das ist eigentlich schon ein Killerargument, und Max Schrems von noyb argumentiert ähnlich. Brink dazu:
- An die Einreichung einer Beschwerde von EU-Bürgern werden erhebliche Anforderungen gestellt. Es werden Mindestangaben aufgeführt, die erfüllt sein müssen, sodass ein Aussieben "unerwünschter" Beschwerden möglich bleibt – ein K.O. Prinzip.
- Beschwerdeführer werden zudem ausdrücklich nicht darüber informiert, ob sie Gegenstand von nachrichtendienstlichen Aktivitäten der US-Behörden waren, sondern erhalten lediglich eine standardisierte Mitteilung, die besagt, dass die Überprüfung ihrer Beschwerde abgeschlossen ist. Derselbe Wortlaut ist für eine nachfolgende Entscheidungen des "Gerichts" (eigentlich sind es Verwaltungsstellen von US-Behörden) vorgegeben.
- Dieser Data Protection Review Court wird nach der Verordnung des Justizministers innerhalb seines Ressorts eingerichtet. Er dürfte damit der Exekutive zuzurechnen sein, was seiner (richterlichen) Unabhängigkeit entgegensteht.
Der Europäische Gerichtshof hatte zudem nicht nur Rechtsbehelfe gegen ein staatliches Ausspähen verlangt, sondern die Beendigung dieser anlasslosen Überwachung selbst. Davon kann aber derzeit nicht ausgegangen werden;, so Dr. Stefan Brink. Der vom Gericht (EuGH) geforderte Systemwechsel findet nicht statt. Passt nicht so wirklich zu den Jubelarien des eco-Verbands, die ich weiter oben angerissen hatte. Der Landesbeauftragte Stefan Brink bringt es auf den Punkt:
Die Europäischen Kommission wird nun zu entscheiden haben, ob ein der Sache nach gleichwertiger Schutz der personenbezogenen Daten in den USA gegeben ist. Fraglich ist bereits, ob die Kommission allein auf Grundlage der Executive Order überhaupt in der Lage ist, das Datenschutzniveau in den USA neu zu bewerten und einen Angemessenheitsbeschluss zu erlassen. Die Vielzahl der noch zu klärenden offenen Fragen lässt Zweifel daran aufkommen. In dieser elementaren Datenschutzfrage brauchen die Bürger_innen der EU allerdings ebenso Rechtssicherheit wie die hiervon tangierten europäischen und ausländischen Unternehmen. Sollte die Europäische Kommission die Grundrechte der EU-Bürger_innen nun zum dritten Mal in Folge hinter wirtschaftliche Interessen zurücktreten lassen, dann kann das der Europäische Gerichtshof schwerlich akzeptieren.
Schiffbruch vorprogrammiert?
Ich denke, die EU-Kommission wird versuchen, da was "hinzubiegen", um einen Angemessenheitsbeschluss zu erlassen, der dann formal den Datentransfer persönliche Daten von EU-Bürgern in die US-Cloud ermöglicht. Die Firmen werden mit "wolkigem Blick" in den Augen in die Cloud der US-Anbieter hetzen – ist ja alternativlos. Und dann kommt es absehbar: Max Schrems wird Klage vor dem Europäischen Gerichtshof (EuGH) einreichen und dieser erneute Angemessenheitsbeschluss wird als nicht rechtskonform kassiert werden. Die Firmen werden in ein Wehklagen einstimmen – wir sind nicht mehr arbeitsfähig – und über die DSGVO schimpfen. Aber es muss echt weh tun, bevor die Leute in den Chefetagen wach werden – zumindest mein Gefühl.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Anzeige
Das Problem ist doch, dass die Klagen erstmal mühsam angestrengt und über Jahre durch alle Instanzen durchgeklagt werden müssen. In diesem Zeitraum wird die später gekippte Regelung aber fleißig als Grundlage für die Datenübertragung verwendet. Wenn die Regel ausgesetzt wurde, dann sind die Daten längst geflossen und auch nicht wieder einzufangen. Das Kind liegt schon im Brunnen.
Wir haben uns mangels eigener europäischer Lösungen so sehr abhängig gemacht, dass eine wirklich konsequente Durchsetzung des Datenschutzes in vielen Bereichen zu einem Stillstand führen würde, da essentielle Geschäftsprozesse auf Produkten basieren, welche nicht dem dem Datenschutz in der EU vereinbart werden können.
Man nehme als Beispiel Windows 10/11 als Betriebssystem oder die ganzen Microsoft 365 Cloud Dienste. Eigentlich müssten in der aktuellen Lage alle die Verwendung einstellen, was nicht passieren wird.
Gruß Singlethreaded
Den Client kann man noch einbremsen, aber die Daten direkt in die Cloud zu legen und dafür zu bezahlen, ist noch mal etwas anderes.
Also man gibt die Hoheit über seine durchaus sensiblen Daten im geschäftlichen und auch privaten Bereich ab und zahlt dafür recht ordentlich.
Ich weiß nicht so recht, ob sich die Akteure darüber im Klaren sind, was das wirklich bedeutet.
US Behörden können uneingeschränkt und ohne Rückfrage auf Daten der Kunden zugreifen, auf wenn die Server von M365 in Deutschland stehen. Das ist die eine Sache, die andere ist die, dass der Betreiber selbst die Daten für sich analysiert, natürlich nur um das "Benutzererlebnis" zu verbessern.
Außerdem geht es doch nicht nur um personenbezogene Daten, es geht doch auch um geistiges Eigentum, Geschäftsgeheimnisse und Wettberwerbsvorteile zu wahren.
Das ist noch mal eine völlig andere Liga als mehr oder wenige belanglose personenbezogene Daten, hier geht es ums Eingemachte. Wer diese Daten auslagert, der muss es tun, darf nur später nicht jammern.
*************************************
Wer diese Daten auslagert, der muss es tun, darf nur später nicht jammern.
*************************************
Muss er das? Nein! Er macht das aus Profitgier! Den die Daten auf eigenen Servern in der Firma zu lagen kostet richtig Asche, erst recht, wenn man die dann auch noch ordentlich (ab)sichern muss … Hardware; Technik Personal etc. das ist doch der Grund, warum man blindlinks in die Cloud geht!
Müssen tut man da rein gar nix! Recht hast du aber schon Jammern braucht da keiner …
Das Problem ist doch, dass Daten von Kunden und Lieferanten dort auch landen, welche keinen Einfluss auf diese Entscheidung hatten. Die Zusammenarbeit mit jedem der Daten in die USA verschiebt oder Software von US Konzernen nutzt aus Gründen des Datenschutzes zu verweigern wäre mit hoher Wahrscheinlichkeit das Ende des eigenen Business. Auch gibt es in den USA keinerlei Bewusstsein für dieses Thema. Es ist völlig normal eben alle Leute in ein Teams Meeting zu packen, welches dann auf einem US Server angelegt wird.
Bei uns wiederum ist es ein Datenschutzverstoß, wenn mein PC beim Aufruf einer Webseite eine Schrift von Google lädt und Google daher meine IP-Adresse kennt.
Also entweder wir akzeptieren, dass es in den USA anders läuft oder wir (Europa) muss selber aktiv werden. Warum sollten große US Firmen oder die US Politik sich bei dem Thema ernsthaft bewegen, wenn wir eh abhängig sind und am Ende nicht abspringen werden?
Solange das so bleibt sind all die schönen Datenschutzabkommen nur zeitlich befristete Nebelkerzen.
Ganz langsam sehen sowieso nur noch die bei der ganzen Materie durch, die regelmäßig die Nachrichten dazu lesen und sich auch ein wenig mit der Materie beschäftigen, sprich weitergehende Informationen beziehen. Das sind wie viele? 10 von 100, 10 von 1000 oder gar… Das Interesse dafür ist nicht vorhanden. Erst wenn das eigene Konto im Netz samt Passwort oder Pin googlebar ist, dann vielleicht aber auch nur vielleicht…