Die EU-Kommission hat zum 13. Dezember 2022 ihre vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework bekannt gegeben. Dies soll die Nachfolgeregelung des vom EuGH verworfenen EU-U.S. Privacy Shields Datenschutzabkommens werden. Noch ist die EU-Angemessenheitsentscheidung nicht rechtskräftig, da sie zwischen den EU-Staaten und deren Datenschutzbeauftragten abgestimmt werden muss. Hier einige Informationen zum Thema.
Anzeige
Was ist die EU-Angemessenheitsentscheidung?
Um persönliche Daten im Geschäftsumfeld in andere Länder zur Verarbeitung transferieren zu können, muss dort ein im Vergleich zur EU angemessenes Datenschutzniveau herrschen. EU-Bürger müssen im Bedarfsfall die Möglichkeit haben, Auskunft über ihre gespeicherten Daten bekommen und diese auch löschen lassen können. Innerhalb der EU-Länder ist dieses Datenschutzniveau durch die DSGVO (GDPR) gewährleistet. Eine von der EU-Kommission getroffene EU-Angemessenheitsentscheidung (EU-Angemessenheitsbeschluss) bescheinigt einem Land ein entsprechendes Datenschutzniveau, so dass persönlich Daten zur Verarbeitung transferiert werden können. Für Unternehmen schafft dies einen entsprechenden Rechtsrahmen. Die Länder, für die es gültige EU-Angemessenheitsentscheidungen/-beschlüsse gibt, sind z.B. hier aufgelistet.
Warum diese Entscheidung jetzt?
Seit 2018, dem Inkrafttreten der DSGVO gab es bereits zwei Datenschutzabkommen zwischen der EU und den USA, da deren Cloud-Anbieter und Software-Hersteller dies benötigen, um geschäftlich in der EU tätig zu werden. Das erste Abkommen lief unter der Bezeichnung "Safe Harbor" und sollte den Datentransfer in die USA legitimieren. Nach einer Klage von Max Schrems erklärte der Europäische Gerichtshof (EuGH) dieses Abkommen aber für ungültig (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig).
In dessen Folge wurde dann ein Nachfolgeabkommen mit dem Namen "Privacy Shield" zwischen der EU und der USA für diese Zwecke geschlossen. Nach einer zweiten Klage von Max Schrems und dessen Datenschutzverein noyb erklärte der EuGH auch dieses Abkommen für ungültig (siehe EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"). In beiden Urteilen wurde von den Richtern hervorgehoben, dass das Datenschutzniveau für EU-Bürger in den USA nicht mit den EU DSGVO-Standards vergleichbar bzw. angemessen seien.
Um ein Nachfolgeabkommen zu ermöglichen, wurde am 7. Oktober 2022 eine Executive Order für ein sogenanntes EU-U.S. Data Privacy Framework – DPF erlassen (siehe US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg). Dieses soll einen Datenschutzrahmen gewährleisten, um ein neue Datenschutzabkommen (Privacy Shield 2.0) zwischen der Europäischen Union und den USA zu ermöglichen. Die EU-Angemessenheitsentscheidung ist nun der Schritt auf EU-Seite, um dieses Datenschutzabkommen umzusetzen.
Anzeige
Industrie wartet, so geht es weiter
Nachdem die EU-Kommission ihre vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework, der Nachfolgeregelung des EU-U.S. Privacy Shields bekannt gegeben hat, ist ein weiterer Meilenstein von Seiten der EU hin zu einem transatlantischen Datenschutzabkommen geschafft. Doch bevor die Kommission Anfang 2023 eine endgültige Entscheidung veröffentlichen wird, müssen jetzt zunächst die Datenschutzbehörden der 27 EU-Staaten Rückmeldung zum Abkommen geben. Ein Zeithorizont dazu liegt mir nicht vor.
Die Industrie wartet aber händeringend auf ein solches Abkommen, da Cloud-Angebote sonst nicht rechtssicher betrieben werden können. Die Kontroverse zu diesem Thema ist ja die letzten Wochen rund um die Entscheidung der Deutschen Datenschutzkonferenz (DSK) zu fehlenden DSGVO-Konformität von Microsoft 365 hochgekocht (siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform und weitere Links am Artikelende).
Beim Schreiben dieses Artikels kam aber die Frage bei mir auf, ob ein EU-Datenschutzabkommen mit den USA da signifikant etwas an der DSK-Problematik ändert. Ein Problem an der Einstufung der DSK war ja, dass unklar ist, welche Daten das Microsoft-Produkte beim Nutzer an persönlichen Daten erfasst und dann in die USA transferiert. Auch mit einem Datenschutzabkommen mit den USA müssten Datenschutzverantwortliche in einem Unternehmen bei Anfragen eines Nutzer ja benennen können, welche persönlichen Daten in die USA transferiert wurden. Dieses Auskunftsrecht müsste dann bis hin zu Microsoft greifen – und auch einer Löschaufforderung wäre nachzukommen. Schaue ich mir die Details an, kommen mir persönlich Zweifel, dass dieser Ansatz sichergestellt ist. Aber das ist aktuell nur eine Randnotiz, die sicherlich künftig einer gerichtlichen Klärung zugeführt wird.
Der ECO-Verband (Verband der Internetwirtschaft in Europa) begrüßt diesen Schritt und der eco Vorstandsvorsitzende Oliver Süme teilte mit:
Ich begrüße, dass mit der Entscheidung der EU- Kommission jetzt ein weiterer Schritt hin zu einer verlässlichen Lösung beim transatlantischen Datenaustausch gegangen wurde und hoffe darauf, dass es Anfang 2023 zu einer zeitnahen Entscheidung beim EU-U.S. Data Privacy Framework kommt.
Insbesondere für viele kleine und mittelständische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle und eine gelingende digitale Transformation. Die positiven Signale auf beiden Seiten des Atlantiks müssen nun zu einer schnellen Ratifizierung des Abkommens führen, das den kritischen Anforderungen aller angemessen Rechnung trägt und die bisherige Zitterpartie für die Digitalbranche endlich beendet.
Diese Position kann ich sehr gut nachvollziehen – ob die Hoffnung des Verbands auf eine "Anfang 2023 erfolgte zeitnahe EU-Angemessenheitsentscheidung", die mit 27 Datenschutzbeauftragten der EU-Staaten abgestimmt wurde, trägt, das hege ich aber persönlich Zweifel. Lassen wir uns überraschen.
An dieser Stelle wird mir aber klar, warum aktuell eine Diskussion um die DSK-Entscheidung entbrannt ist, die ich in den Blog-Beiträgen Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform" und MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise thematisiert habe. Meine Interpretation: Microsoft mauert und lässt seine Lobbyisten los, in der Hoffnung, das Ganze bis zur offiziellen Verkündung der EU-Angemessenheitsentscheidung klein halten zu können.
Spannende Frage: Kommt Schrems III?
Was bei der ECO-Stellungnahme nicht zur Sprache kommt, ist die Frage, ob das neue Datenschutzabkommen zwischen EU und den USA auf Basis der Executive Order des US-Präsidenten zum Trans-Atlantic Data Privacy Framework auch vor dem Europäischen Gerichtshof Bestand hat. Der EuGH hat ja bereits die beiden vorherigen Abkommen gekippt. Das "Schrems II-Urteil" des EuGH wird von Datenschützern ja herangezogen, um bestimmte Datentransfers in die USA zu untersagen.
Wie der EuGH in einer neuen Klage gegen das Trans-Atlantic Data Privacy Framework bzw. die EU-Angemessenheitsentscheidung urteilt, weiß ich naturgemäß nicht. Es lässt sich aber zumindest eine grobe Einschätzung geben. Ich hatte im Blog-Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform zwei Stimmen von Datenschutzaktivisten, die sich mit der Materie intensiv befassen, aufgegriffen.
Ashley Gorski, leitende Anwältin beim ACLU National Security Project (USA) erklärte damals, dass die Anordnung "nicht weit genug geht. Sie schützt die Privatsphäre von Amerikanern und Europäern nicht angemessen und stellt nicht sicher, dass Menschen, deren Privatsphäre verletzt wird, ihre Ansprüche von einem völlig unabhängigen Entscheidungsträger klären lassen können".
Die Position von Max Schrems hat er in einer ersten Einschätzung in diversen Details analysiert und so zusammen gefasst:
Der EuGH verlangte, dass (1) die Überwachung durch die USA im Sinne von Artikel 52 der Charta der Grundrechte (GRC) verhältnismäßig ist und (2) dass gemäß Artikel 47 GRC ein gerichtlicher Rechtsbehelf eingelegt werden kann. Bidens neue Durchführungsverordnung scheint an beiden Anforderungen zu scheitern.
Laut Schrems gibt es weiterhin US-Massenüberwachung, weil alle europäischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht "verhältnismäßig" (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt habe. In der Analyse schreibt Schrems, dass die USA die Massenüberwachung nicht einschränken werde – und die Möglichkeit, einen gerichtlichen Rechtsbehelf durch EU-Bürger einzulegen, faktisch nicht gegeben sei. Denn das "Gericht" in den USA ist letztendlich eine Behörde, die vorformulierte Bescheide auf Eingaben von EU-Bürgern verschickt.
Max Schrems, Vorsitzender des Vereins noyb.eu, meint dazu, dass sich am Ende die Definition des EuGH durchsetzen werde – und damit das neue EU-Abkommen mit den USA wahrscheinlich wieder verworfen werde.
Ergänzung: Die Mitteilung der EU-Kommission an die Presse findet sich hier. Die Begründung der EU-Kommission findet sich hier als PDF-Dokument – die Bewertug der EU-Kommission als Kurzfassung ist hier abrufbar. heise hat hier einige Aussagen zur Begründung auf deutsch sowie Einschätzungen des verantwortlichen EU-Kommissars sowie von Max Schrems veröffentlicht.
Für mich ganz spannend wird dabei auch zu beobachten, wie die Datenschutzbehörden der 27 EU-Mitgliedsländer mit dem vorläufigen EU-Angemessenheitsbeschluss und dessen Begründung umgehen. Ich hatte es in diesem Kommentar thematisiert – in der FAZ ist ein Meinungsbeitrag Microsoft 365 – so sollte Datenschutzaufsicht nicht sein von drei Juristen aus dem Datenschutzbereich erschienen. Dort beklagen die Autoren (zurecht), dass keine gemeinsame europäische Abstimmung und Entscheidung erfolge. Jetzt gibt es erstmals die Chance einer Stellungnahme bzw. Abstimmung auf EU-Ebene. Und das Ganze kann dann im Fall der Fälle vor dem EuGH geklärt werden.
Persönlich würde ich so ganz ad-hoc zur vorläufigen Entscheidung der EU-Kommission sagen "Nach dem Spiel, ist vor dem Spiel". Das Thema wird uns vermutlich noch erhalten bleiben.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Anzeige
Und wieder werden naive Zeitgenossen glauben, dass es hier um Datenschutz der EU-Bürger gehen würde, wenn es doch wie bei allen vorherigen Feigenblättern nur um das Erfinden irgendwelcher Rahmenregeln zur Aufgabe desselben gegenüber dem Transatlantik dient.
Schrems 3 kommt so sicher wie das Amen in der Kirche. Die USA haben kein vergleichbares Datenschutzniveau und daher können Feigenblätter und Absichtserklärungen ohne Wert auch keine Angemessenheit bescheinigen. Es wäre bsser die EU würde das begraben und den Datenaustausch mit den USA einfach grundsätzlich untersagen. Ich denke nicht daß sich die Giganten Google, Aplle, Meta, Microsoft das Geschäft mit Europa entgehen lassen wollen und daher entsprechend Druck auf die Gesetzgebung in den USA machen werden. So, und nur so, könnten wir in 3-5 Jahren ein angemessenes Niveau in den USA herstellen.
Ich denke auch das Schrems 3 kommen wird. Genau so wenig glaube ich dass die Giganten etwas in Richtung der US Gesetzgebung machen. Selbst wenn das Urteil kommt die machen einfach weiter und die EU und die Mitgliedsstaaten gucken zu.
"Es wäre bsser die EU würde das begraben und den Datenaustausch mit den USA einfach grundsätzlich untersagen. "
Dann dürftest du nicht mal mehr eine Email in die USA schicken, nichtmal verschlüsselt, denn da stecken schon genug Metadaten drin, mit der dir die NSA irgendeine böse Geschichte andichten kann.