Digitale Zukunft: Was 2023 wichtig wird; scheitert das geplante EU-Datenschutzabkommen mit den USA?

Im Jahr 2023 sollen innerhalb der EU einige Weichenstellungen in Sachen digitale Zukunft gestellt werden. Es geht um biometrische Massenüberwachung, anlasslose Chat-Kontrolle oder die digitale ID für alle Bürger. Und das Datenschutzabkommen "Privacy Shield 2.0" mit den USA soll endlich in trockene Tücher gebracht werden, droht in meinen Augen aber anschließend juristisch zu scheitern. Hier ein kurzer Überblick über die Themen und ein Abriss, warum der EU-Kommission beim "Privacy Shield 2.0" erneut eine juristische Schlappe droht.


Anzeige

Digitalisierung 2023: Wichtiges auf EU-Ebene

Die Seite netzpolitik.org weist in nachfolgendem Tweet auf den Artikel Netzpolitik in Europa: Das wird 2023 auf EU-Ebene wichtig auf wichtige netzpolitische Weichenstellungen für Europa im Jahr 2023 hin.

Neben der Massenüberwachung von Chats und über biometrische Daten laut auch eine lebenslange Kennziffer für alle EU-Einwohner. Der neue Rechtsakt in Form der eIDAS-Verordnung soll alle EU-Mitgliedstaaten dazu verpflichten, eine Software namens „European Digital Identity Wallet" (ID-Wallet) anzubieten. Das ist eine Art digitale Brieftasche, die auch eine einheitliche Online- und Offline-Identifizierung von Bürgen und Bürgerinnen innerhalb der Union ermöglichen soll. Details zu diesen Vorhaben lassen sich bei netzpolitik.org nachlesen.

Und die EU-Kommission nimmt mit dem Privacy Shield 2.0 einen neuen Anlauf für ein Datenschutz-Abkommen mit USA. Dazu will die EU-Kommission eine neue Angemessenheitsentscheidung treffen, der dem Trans-Atlantic Data Privacy Framework der USA das gleiche Datenschutzniveau wie der europäischen Datenschutzgrundverordnung (DSGVO) bescheinigt. Das würde den Transfer von persönlichen Daten auf eine Rechtsgrundlage stellen.


Anzeige

Scheitert das EU-US-Datenschutzabkommen?

Nachdem US-Präsident Joe Biden das Trans-Atlantic Data Privacy Framework per Executive Order (EO) in Kraft gesetzt hatte, traf auch die EU-Kommission Ende 2022 eine vorläufige Angemessenheitsentscheidung zum Datenaustausch mit den USA (siehe EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework). Eine von der EU-Kommission getroffene EU-Angemessenheitsentscheidung (EU-Angemessenheitsbeschluss) bescheinigt einem Land ein entsprechendes Datenschutzniveau, so dass persönlich Daten zur Verarbeitung transferiert werden können. Für Unternehmen schafft dies einen entsprechenden Rechtsrahmen.

Aktuell liegt dieser Beschluss den Datenschutzbehörden der 27 EU-Staaten vor, die eine Rückmeldung zum Abkommen geben müssen. Wie diese Rückmeldung ausschaut, ist mir aktuell unbekannt. Daher weiß ich auch nicht, ob die EU-Kommission Anfang 2023 eine endgültige Entscheidung zum Angemessenheitsbeschluss treffen und diesen dann in Kraft setzen kann. Aber das Vorhaben steht unter einem ungünstigen Stern.

Datenschutzabkommen EU-USA

Bereits Ende 2022 ist mir obiger Tweet untergekommen, der auf diesen Artikel (leider hinter einer Paywall) des Handelsblatts hinweist. Aber die Kernpunkte des Beitrags sind schnell erzählt – im Handelsblatt kamen zwei relevante Stimmen mit Einschätzungen zum Abkommen zu Worte.

Baden-Württembergs Datenschutzbeauftragter Stefan Brink zeigt sich im Handelsblatt "verwundert über das Vorpreschen der EU-Kommission" angesichts vieler offener Fragen. Er habe daher "Zweifel, ob ein gleichwertiger Schutz der personenbezogenen Daten erreicht werden kann", sagte Brink dem Handelsblatt.

Und Max Schrems, Jurist aus Österreich, der mit seiner Organisation noyb bereits die beiden vorherigen Datenschutzabkommen der EU-Kommission mit den USA vor dem Europäischen Gerichtshof (EuGH) zu Fall brachte, wird noch deutlicher. Das Handelsblatt zitiert Schrems mit den Worten "Das [neue Abkommen] ist eine bewusste Verletzung rechtsstaatlicher Prinzipien und eine Missachtung des Europäischen Gerichtshofs."

Umstritten sind die amerikanischen Zusagen zum Schutz persönlicher Daten vor dem Zugriff durch die US-Geheimdienste. Die EU-Kommission bestätigt mit der Angemessenheitsentscheidung dass das Schutzniveau dem der EU entspreche. Die Organisation noyb von Max Schrems zeichnet ein deutlich anderes Bild und schreibt in einer ersten Einschätzung: Problem bei dem gesamten Konstrukt ist, dass das Wort "Verhältnismäßig" im Sinne der Überwachung zwischen den USA und Europa unter dem Blickwinkel bisheriger EuGH-Entscheidungen unterschiedlich interpretiert wird. Laut noyb haben die USA in der Executive Order klargestellt, dass sie ihre Massenüberwachungssysteme ("bulk surveillance") nicht einschränken werden. Vielmehr wird eine Massenüberwachung sogar explizit erlaubt (siehe Section 2 (c)(ii)) der Executive Order).

Alle europäischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht "verhältnismäßig" (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt hat. Max Schrems sagt dazu: Die EU und die USA sind sich über den Begriff 'verhältnismäßig' einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichte machen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will.

Der weitere Verlauf des Verfahrens ist daher klar: Sofern die Datenschützer nicht blockieren, wird die EU-Kommission 2023 formal den Angemessenheitsbeschluss treffen. Die Industrie wird jubilieren "endlich ist der Datentransfer in die US-Cloud samt Verwendung von Produkten wie Microsoft 365 rechtmäßig".

Max Schrems wird im Namen von noyb vor dem Europäischen Gerichtshof (EuGH) klagen – und wenn sich die Rechtspraxis nicht geändert hat bzw. die obigen Prämissen von Schrems zutreffen, wird der EuGH auch das "Data Privacy 2.0"-Abkommen erneut kassieren.

Dann gibt es erneut Katzenjammer bei den politisch Verantwortlichen und man wurstelt weiter. Die Verantwortlichen für den Einsatz von US-Cloud-Produkten hat es bisher noch nie gejuckt, was die DSGVO und die Datenschützer dazu sagen. Ist ja alles alternativlos und es wird einfach mal gemacht.

Erst wenn eine Untersagung durch die Datenschutzbeauftragten der Bundesländer kommt, hebt das laute Wehklagen und das Geschrei an (hatten wir ja kürzlich wegen der Entscheidung der Datenschutzkonferenz, DSK, dass Microsoft 365 nicht DSGVO-konform sei). Und so wird uns auch 2023 dieser Themenkomplex wohl erhalten bleiben.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise


Anzeige

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Digitale Zukunft: Was 2023 wichtig wird; scheitert das geplante EU-Datenschutzabkommen mit den USA?

  1. Dolly sagt:

    Stasi war harmlos dagegen.

  2. Luzifer sagt:

    *************************************
    Umstritten sind die amerikanischen Zusagen zum Schutz persönlicher Daten vor dem Zugriff durch die US-Geheimdienste. Die EU-Kommission bestätigt mit der Angemessenheitsentscheidung dass das Schutzniveau dem der EU entspreche.
    *************************************
    Das kommt darauf an wie man das Ganze sieht, kann auch genau das bedeuten was sie behaupten, nämlich das unser Schutz kein Deut besser ist, weil die Geheimdienste darauf genauso ungeniert zugreifen!

    Das unsere Dienste da auch kein ungeschriebenes Blatt sind hat die Vergangenheit ja bereits mehrfach bewiesen…

  3. C.Waldt sagt:

    Na da geht mein besonderer Dank an Max Schrems schon mal heraus ;-)

    Bin froh das es noch immer Menschen gibt, die es sich zur Aufgabe gemacht haben unsere Rechte und Werte zu verteidigen.
    Das allgemeine Interesse an einer rechtskonformen Umsetzung hält sich ja leider sehr in Grenzen.
    Wenn unsere Damen und Herren Politiker mit unseren größten und dollsten Verbündeten und Partner der wertebasierten Ordnung nicht vernünftig verhandeln wollen oder können, so muss es Ihnen ein Gericht halt immer wieder gebetsmühlenartig in die Ohren prügeln.
    Vielleicht haben wir dann irgendwann mal ein Abkommen, was seinen Namen auch wert ist.

    —Grüße—

    • Frank W. sagt:

      Wahre Worte! Ich hoffe du hast Recht.

    • Günter Born sagt:

      In der "Inneneinsicht" würde dein Kommentar natürlich auch bedeuten, dass Privatleute, Firmen, Behörden und andere Institutionen auf alles an Produkten verzichten, was seine Daten in Cloud-Lösungen außerhalb der EU bläst. Schon mal darüber nachgedacht?

      • R.S. sagt:

        Genau das würde es bedeuten und wäre auch wünschenswert.
        Denn nur dann wären die Hersteller dieser Software gezwungen, diese für die EU so anpassen, das die keine Daten in Cloud-Lösungen außerhalb der EU blasen.
        Oder sie verzichten auf den EU-Markt, was aber wohl kaum jemand machen würde.

        • Bernd sagt:

          Sorry, aber das ist so etwas von weltfremd…
          Sinnvoller wäre es mal etwas mehr Energie aufzubringen um den "Hacker-Gruppen" das Wasser abzudrehen. Den Rest schenke ich mir mal. Den Schrems braucht keiner.

  4. Anonym sagt:

    "Digitale Zukunft, Was 2023 wichtig wird; scheitert das geplante EU-Datenschutzabkommen mit den USA?"

    tl;dr

    Nö, wird nicht scheitern. Das wird letztlich auf Krampf mit vielen, vielen Nebelkerzen, Wirrungen und Verirrungen durchgeboxt werden.

    Auch jetzt kann, zum Beispiel, ein Heise-Verlag nach gut dünken Massen personenbezogener Daten – entgegen der Rechtslage – in die VSA liefern, ohne Konsequenzen und Folgen fürchten zu müssen.
    Viele andere in Deutschland ansässige Unternehmen handhaben es genau so. Da werden unangemessene Kommunikationsmittel eingesetzt – und selbst nach Anzeigen – hat dies keinerlei nennenswerte Folgen.

    Im besten Falle gibt es ein paar öffentlichkeitswirksame Show-Prozesse, damit der Bürger sieht: "Ei gugge mal, die tun ja doch was."
    Nur unter dem Strich ist es nichts. Nichts weiter als Schmierenkomödiantentum.

    Dabei habe ich grundlegend erst mal nichts dagegen, ob meine Daten in den Vereinigten Staaten verarbeitet werden, die tauchen auch in weniger demokratischen Ländern auf.
    Als erwachsene Person erwarte ich allerdings, daß ich – und zwar ich alleine – die Kontrolle über die Nutzung und Verwendung meiner Daten habe und das ein gewünschter Widerspruch eben auch entsprechend umgesetzt wird.
    Genau hier liegt aber das Problem: Es gibt fast ausschließlich unwirksame Mechanismen… nicht mal hierzulande kann ich wirksam der Nutzung meiner Daten widersprechen. Wie oft habe ich schon deutsche Unternehmen, mit denen ich rein gar nichts zu tun habe, aufgefordert meine Daten zu LÖSCHEN und nicht zu SPERREN.
    Da gab es, wenn überhaupt, nur freche Antworten, ohne Rechtsverständnis.

    Datenschutzabteilungen? Ein Witz. Datenschutzbeauftragte? Desinteressiert, nur wenige trauen sich den Mund aufzumachen.

    Glaubt ihr nicht? Macht die Probe auf Exempel und schreibt mal ein paar Firmen an. Nur wenige können überhaupt die Herkunft eurer Daten nachweisen, wie es gefordert wird.
    Und nein, das ist keine Neuerung der ach so bösen DSGVO, das galt schon unter dem BDSG… hat aber nie, wirklich nie jemanden gejuckt und interessiert.

    Das ganze System zum Schutz von Personen und Daten ist ein einziger (Lach-)krampf, ein zahnloser Tiger, ohne nennenswerte rechtliche Möglichkeiten.
    Und wenn man Möglichkeiten hat, dann wird es bis zum Erbrechen in die Länge gezogen, um Kosten und Nerven auf ein unerträgliches Maß zu heben, um die "Querulanten" mundtot zu machen.

  5. Herr IngoW sagt:

    Datenschutz für den EU-Bürger und dann gleich ab in Ammiland?
    Dann kann man den Datenschutz ganz vergessen.
    Das klappt hier in Deutschland schon nicht, geschweige denn in der EU und schon gar nicht mit Ammiland zusammen.
    Wird nur alles komplizierter um Sicherheit vorzutäuschen, letztendlich landen die Daten doch in Übersee oder sonstwo auf der Welt (meist da wo es am meisten Kohle gibt).

    • Cornelia sagt:

      "Wird nur alles komplizierter um Sicherheit vorzutäuschen, letztendlich landen die Daten doch in Übersee oder sonstwo auf der Welt …"
      Genauso sehe ich das auch, oder wie oben geschrieben wurde: "…, die tauchen auch in weniger demokratischen Ländern auf."

      Mich würde wirklich interessieren, auf wie vielen Servern ausserhalb der Schweiz, EU und USA meine Daten vorhanden sind. Aufgrund der zahlreichen Spam-/Phishing-Mails ist zumindest meine E-Mail-Adresse zuhauf gespeichert, ohne dass ich etwas dagegen tun kann. Zwar gehe ich davon aus, dass das auf meine Telefonnummern, die Postadresse und weitere persönliche/sensible Daten nicht im gleichen Mass zutrifft. Aber wer weiss, vielleicht täusche ich mich. Insofern pflichte ich auch der Aussage von Bernd zu:
      "Sinnvoller wäre es mal etwas mehr Energie aufzubringen um den "Hacker-Gruppen" das Wasser abzudrehen."

      • Bernd sagt:

        Danke :)
        Ich sehe das wie Sie, unsere Daten landen immer irgendwo. Die Datenschutzverordnungen sind nur Berge von Verordnungen, nicht mehr. Was ist mit Big Data, was ist mit SIEM und EDR-Systemen? Solche Anwendungen/Systeme leben und benötigen sehr viele Daten von sehr vielen Endpunkten. Solche Data-lakes gibt es in der EU vermutlich kaum. Wenn wir als D uns nur auf Gesetzestexte und Verordnungen stützen, sind wir irgendwann weg vom Fenster. D geht deutlich über den geforderten Datenschutz der EU hinaus, warum? Sicherer sind unsere Daten deswegen noch lange nicht. Hacker und weniger befreundete Staaten holen sich, was sie benötigen und wir können dagegen kaum etwas unternehmen.

        • Luzifer sagt:

          können schon, nur wollen nicht!

          Es geht beim Datenschutz nicht daraum unsere Daten zu schützen. Es geht darum das man etwas vom Kuchen abhaben möchte! Den die Datensilos liegen halt alle nicht in D oder EU Hand , weil man das verpennt hat!

          Daten sind das Öl des 21. Jahrhunderts und das möchjte man Ausbeuten, scheiße halt nur das dieser Rohstoff eben nicht in den Händen der Mächtigen liegt wie bei allen anderen Rohstoffen, sondern in der Hand des kleinen Mannes. Damit dieser die rausrückt muss man ihm aber "Sicherheit" vorgauckeln.

          • Bernd sagt:

            Damit dieser die rausrückt muss man ihm aber "Sicherheit" vorgauckeln.
            Die es aber nicht gibt und nie geben wird. Wenn selbst unser Staat und unsere Behörden nicht der DSGVO unterliegen fragt man sich schon…

  6. Luzifer sagt:

    @Bernd was ist an dem Wort vorgauckeln missverständlich?

    Sicherheit könnte es schon geben, aber die DSVGO scheitert schon daran das ich als Privatperson diese gar nicht einklagen kann!
    Bei eindeutigen DSGVO Verstößen muss ich das als Einzelner unkompliziert und schnell Einklagen können , ohne das die Firmen das verschleppen können inkl. die empfindlichen Strafen!
    Wenn plötzlich millionenfach Hinz und Kunz das einklagen können inkl. den Strafzahlungen… halten sich die Firmen sehr schnell daran, weil das sonst ein unkalkulierbares Risiko wird das sämtliche Gewinn auffrißt!

    Da das aber nicht vorgesehen ist und selbst wenn Datenschutzbehörden mal empfindliche Strafen verhängen , die Firmen sich wieder "freiklagen" können, bzw. die Strafen zu einer "Portokassenstrafe" runterklagen können, zeigt doch schon das das Ganze nur ein Farce ist um den "dummen Michel" zu beruhigen.

    • Luzifer sagt:

      /edit/ ja selbst die verpflichtende Auskunft die ich laut DSGVO habe kann ich nicht selbst einklagen. Klar ich kann die Firmen mit entsprechenden Verweis auf die DSGVO anschreiben, wenn diese der Aufforderung aber nicht nachkommen muss ich den zuständigen Datenschutzbeauftragten des Landes hinzuziehen.

      Ein einfacher Klageweg für Privatpersonen ist nicht vorgesehen, ohne ne zahlungskräftige Organisation /Verein im Rücken kommst du nicht weiter.

      • MTE sagt:

        Hallo Luzifer,
        eigentlich ist das kein Problem. Die DSGVO definiert es und in der Folge haben verschiedene Gerichte bei Datenschutzverstößen einen Schadensersatz erkannt. Nimm dir einen Anwalt, mahne ab und Klage auf Schadensersatz.

    • Bernd sagt:

      @ Luzifer
      Unternehmen mit Strafen zu überziehen ist der falsche Weg und sollte nur in wirklich extremen Fällen genutzt werden. Sinnvoller wäre eine unterstützende Wirkung und auch Vorgaben die nicht im Behördendeutsch verfasst sind. Grundsätzlich würde ich den Datenschutz nur auf Unternehmen beschränken die tatsächlich hochsensible Daten führen und nicht bei einem z.B Handwerksbetrieben oder Produktionsbetrieben anfangen.

      • Luzifer sagt:

        das sich Unternehmen ohne Strafen an die Gesetze halten, sieht man ja wohin das führt!
        Solange etwas "günstiger" ist zu ignorieren, wird das auch ignoriert!

        Man kann ja aber der Peitsche noch ein Zuckerbrot hinzufügen: wer die letzen 5 Jahre kein Verstöße aufzuweisen hat bekommt fürs kommende Jahr ne Steuererleichterung ;-P

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.