Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework

[English]Die EU-Kommission bereitet ja ein neues Abkommen zum Datenaustausch mit den USA, das Trans-Atlantic Data Privacy Framework, vor. Dazu wurde von der EU-Kommission zum 13. Dezember 2022 eine vorläufige Angemessenheitsentscheidung bekannt gegeben. Dies soll die Nachfolgeregelung des vom EuGH verworfenen EU-U.S. Privacy Shields Datenschutzabkommens werden. Nun haben sich der Europäische Datenschutzausschuss (EDSA) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) geäußert.


Anzeige

Worum geht es?

Zwischen den USA und der EU gibt es momentan kein gültiges Datenschutzabkommen, dass den US-Cloud-Anbietern und -Software-Herstellern die Übertragung persönlicher Daten von EU-Bürgern in die USA unter DSGVO-Gesichtspunkten erlaubt. Es gab zwar seit dem Inkrafttreten der DSGVO (2018) bereits zwei solcher Datenschutzabkommen zwischen der EU und den USA. Das erste Abkommen zur Legitimation des Datentransfers in die USA lief unter der Bezeichnung "Safe Harbor". Nach einer Klage von Max Schrems erklärte der Europäische Gerichtshof (EuGH) dieses Abkommen aber für ungültig (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig).

Der zweite Anlauf für ein Nachfolgeabkommen mit dem Namen "Privacy Shield" wurde nach einer Folgeklage von Max Schrems und dessen Datenschutzverein noyb ebenfalls vom EuGH für ungültig erklärt (siehe EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"). In beiden Urteilen wurde von den Richtern hervorgehoben, dass das Datenschutzniveau für EU-Bürger in den USA nicht mit den EU DSGVO-Standards vergleichbar bzw. angemessen seien.

Mit dem Trans-Atlantic Data Privacy Framework unternehmen die USA und Europa einen dritten Anlauf, um ein Datenschutzabkommen zwischen den Parteien zu etablieren. Dazu wurde auf US-Ebene am 7. Oktober 2022 eine Executive Order des Präsidenten für das EU-U.S. Data Privacy Framework – kurz DPF erlassen (siehe US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg). Dieses soll einen Datenschutzrahmen gewährleisten, um ein neue Datenschutzabkommen (Privacy Shield 2.0) zwischen der Europäischen Union und den USA zu ermöglichen.

Die EU-Kommission hat dann zum 13. Dezember 2022 ihre vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework bekannt gegeben. Bevor die Kommission 2023 eine endgültige Entscheidung veröffentlichen kann, müssen zunächst die Datenschutzbehörden der 27 EU-Staaten Rückmeldung zum Abkommen geben. Genau dies ist nun passiert.


Anzeige

Stellungnahmen von EDSA und BfDI

Ende Februar 2023 haben sowohl der Europäische Datenschutzausschuss (EDSA) als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Einschätzungen zum Trans-Atlantic Data Privacy Framework abgegeben haben. In bin zufällig beim Stöbern auf entsprechende Verlautbarungen gestoßen.

Einschätzung des Europäische Datenschutzausschuss (EDSA)

Bereits zum 28. Februar 2023 hat der Europäische Datenschutzausschuss (EDSA) seine Einschätzung zum Datenschutzabkommen veröffentlicht (Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework). In dieser Stellungnahme zum Entwurf des Angemessenheitsbeschlusses der EU-Kommission über den Datenschutzrahmen EU-USA begrüßt EDSB zwar wesentliche Verbesserungen. Dazu zählt der EDSA:

  • die Einführung von Anforderungen, die den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA entsprechen,
  • und den neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU.

Gleichzeitig äußert EDSA Bedenken und bittet um Klarstellungen zu mehreren Punkten. Diese betreffen insbesondere bestimmte Rechte betroffener Personen, die Weiterübermittlung, den Umfang der Ausnahmen, die vorübergehende Massenerfassung von Daten und die praktische Funktionsweise des Rechtsbehelfsverfahrens.

In der veröffentlichten Pressemitteilung heißt es, der EDSB würde es begrüßen, wenn nicht nur das Inkrafttreten, sondern auch die Annahme des Beschlusses von der Annahme aktualisierter Strategien und Verfahren zur Umsetzung der Executive Order 14086 durch alle US-Geheimdienste abhängig gemacht würde. Der EDPB empfiehlt der Kommission, diese aktualisierten Strategien und Verfahren zu bewerten und dem EDPB ihre Bewertung mitzuteilen.

Die EDPB-Vorsitzende Andrea Jelinek sagte: "Ein hohes Datenschutzniveau ist unerlässlich, um die Rechte und Freiheiten der Bürger der EU zu schützen. Wir erkennen zwar an, dass die Verbesserungen des US-Rechtsrahmens erheblich sind, empfehlen aber, auf die geäußerten Bedenken einzugehen und die geforderten Klarstellungen vorzunehmen, um sicherzustellen, dass die Angemessenheitsentscheidung Bestand haben wird. Aus demselben Grund sind wir der Meinung, dass nach der ersten Überprüfung der Angemessenheitsentscheidung weitere Überprüfungen mindestens alle drei Jahre stattfinden sollten, und wir verpflichten uns, zu diesen Überprüfungen beizutragen".

Was die kommerziellen Aspekte betrifft, so begrüßt der EDPB eine Reihe von Aktualisierungen der DPF-Grundsätze. Er stellt auch fest, dass eine Reihe von Grundsätzen im Wesentlichen die gleichen bleiben, wie im Rahmen des Privacy Shields. Daher bleiben einige Bedenken bestehen, z. B. in Bezug auf einige Ausnahmen vom Auskunftsrecht, das Fehlen von Schlüsseldefinitionen, die mangelnde Klarheit über die Anwendung der DPF-Grundsätze auf Auftragsverarbeiter, die weit gefasste Ausnahme vom Auskunftsrecht für öffentlich zugängliche Informationen und das Fehlen spezifischer Regeln für die automatisierte Entscheidungsfindung und das Profiling.

Der EDSB bekräftigt ferner, dass das Schutzniveau nicht durch Weiterübermittlungen untergraben werden darf. Daher fordert er die Kommission auf, klarzustellen, dass die Garantien, die der ursprüngliche Empfänger dem Importeur im Drittland auferlegt, im Lichte der Rechtsvorschriften des Drittlandes wirksam sein müssen, bevor eine Weiterübermittlung erfolgt.

Was den Zugang der Regierung zu den in die USA übermittelten Daten betrifft, so erkennt der EDPB die erheblichen Verbesserungen an, die durch die Executive Order (EO) 14086 erzielt wurden. Die EO führt die Konzepte der Notwendigkeit und Verhältnismäßigkeit in Bezug auf die nachrichtendienstliche Sammlung von Daten durch die USA (Signals Intelligence) ein.

Außerdem schafft der neue Rechtsbehelfsmechanismus Rechte für EU-Bürger und unterliegt der Überprüfung durch das Privacy and Civil Liberties Oversight Board (PCLOB). Der Europäische Datenschutzbeauftragte sieht auch mehr Garantien für die Unabhängigkeit des Datenschutzüberprüfungsgerichts (DPRC) vor als der frühere Ombudsmann-Mechanismus und führt wirksamere Befugnisse zur Behebung von Verstößen ein, einschließlich zusätzlicher Garantien für betroffene Personen.

Der EDSB betont, dass die praktische Anwendung der neu eingeführten Grundsätze der Notwendigkeit und Verhältnismäßigkeit genau überwacht werden muss. Weitere Klarheit ist auch in Bezug auf die vorübergehende Massenerhebung und die weitere Speicherung und Verbreitung der in großen Mengen erhobenen Daten erforderlich.

  • Der EDSB äußert auch Bedenken hinsichtlich des Fehlens einer vorherigen Genehmigung durch eine unabhängige Behörde für die Massenerhebung von Daten gemäß der Executive Order 12333 sowie des Fehlens einer systematischen unabhängigen nachträglichen Überprüfung durch ein Gericht oder eine gleichwertige unabhängige Stelle.
  • In Bezug auf die vorherige unabhängige Genehmigung der Überwachung gemäß Abschnitt 702 FISA bedauert der EDPB, dass das FISA-Gericht bei der Zertifizierung von Programmen, die die gezielte Überwachung von Nicht-US-Personen zulassen, nicht die Einhaltung der Executive Order 14086 überprüft, obwohl die Nachrichtendienste, die das Programm durchführen, an diese Verordnung gebunden sind. Berichte des PCLOB darüber, wie die Schutzmaßnahmen der EO 14086 umgesetzt werden und wie diese Schutzmaßnahmen angewendet werden, wenn Daten gemäß Abschnitt 702 FISA und EO 12333 erhoben werden, wären besonders nützlich.
  • Was den Rechtsbehelfsmechanismus betrifft, so erkennt der EDSB die zusätzlichen Garantien an, die vorgesehen sind, wie die Rolle der Sonderanwälte und die Überprüfung des Rechtsbehelfsmechanismus durch den PCLOB.
  • Gleichzeitig ist der EDSB besorgt über die allgemeine Anwendung der Standardantwort des DPRC, in der dem Beschwerdeführer mitgeteilt wird, dass entweder keine erfassten Verstöße festgestellt wurden oder eine Feststellung getroffen wurde, die angemessene Abhilfemaßnahmen erfordert, zumal diese Entscheidung nicht angefochten werden kann.

Der EDSB fordert die Kommission daher auf, das praktische Funktionieren dieses Mechanismus genau zu überwachen. In diversen Artikeln, die mir bei der Recherche im Netz untergekommen sind (hier und hier), wird schon "EDSA gibt grünes Licht für EU-U.S. Data Privacy Framework" gejubelt, und es wird der Eindruck erweckt, es sei jetzt alles in Butter. Die EDSA habe nur kleiner Einwände.

Lese ich aber die obigen Ausführungen, gibt es ein großes "Ja, aber". Natürlich begrüßt die EDSA die "Bemühungen", dass EU-US-Datenschutzabkommen fortzuschreiben. Aber die Knackpunkte, die Max Schrems in seiner ersten Analyse aufzeigt (siehe auch US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg und EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework), werden nach meiner Lesart von den europäischen Datenschützern geteilt. Wenn hier kein angemessenes Datenschutzniveau für EU-Bürger erreicht wird, dürfte der EuGH das dritte Abkommen erneut kippen.

Stellungnahme des Bundesdatenschutzbeauftragten

Auch Prof. Dr. Ulrich Kelber, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich in dieser Stellungnahme zur obigen Feststellung geäußert.

Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.

Die im Vergleich zur Vorgängerübereinkunft, dem sog. Privacy Shield, erzielten Fortschritte adressieren erkennbar die Kritikpunkte des EuGH aus dem Schrems II-Urteil. Hierzu zählt die Einrichtung eines neuen Rechtsbehelfsmechanismus, mit dem für betroffene Personen in der EU wirksame Rechtsschutzmöglichkeiten geschaffen werden sollen.

Anlass für Bedenken sieht der EDSA vor allem bei der Massenerhebung von Daten, die „Bulk Collection", für die weder eine unabhängige Vorab-Kontrolle noch eine systematische unabhängige nachträgliche Überprüfung durch ein Gericht oder eine unabhängige Stelle vorgesehen ist.

Die Europäische Kommission hatte den Entwurf zum Angemessenheitsbeschluss zum EU-U.S. DPF am 13. Dezember 2022 veröffentlicht und den EDSA zur Stellungnahme aufgefordert, welche einen erforderlichen Bestandteil im Annahmeprozess des Beschlusses darstellt. Der BfDI beteiligte sich intensiv als Haupt- und Nebenberichterstatter an der Erstellung der EDSA-Stellungnahme.

Aus Sicht des BfDI wird mit dem EU-U.S. DPF auch ein wichtiger Beitrag für sichere und vertrauenswürdige Datenübermittlungen im internationalen Kontext geschaffen: Die erzielten Fortschritte im transatlantischen Kontext sind wichtige Voraussetzungen, an die wir beim diesjährigen Treffen der G7-Datenschutzaufsichtsbehörden im Juni in Japan anknüpfen können.

Auch hier sehe ich ein "Ja, aber" – die Massenerhebung von Daten durch US-Stellen ohne Vorab-Kontrolle könnte dazu führen, dass das ganze Abkommen erneut scheitert. Auch vom BfDI wird die Frage gestellt, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist. Lese ich bei Max Schrems nach, der keine Kreide fressen muss, bevor er etwas kommentiert, ist die Interpretation dessen, was die USA und die EU unter "gleichwertig" verstehen, fundamental gegensätzlich.

Nach dem Spiel ist vor dem Spiel

Ich gehe davon aus, dass die EU-Kommission jetzt die Angemessenheitsentscheidung offiziell verkündet, die Industrie stürzt sich jubelnd auf die Cloud (alle Dämme brechen). Dann geht Max Schrems mit dem Abkommen vor den EuGH und klagt dort. Die Richter werden sich sicherlich an den beiden ersten Entscheidungen orientieren. Kann die EU-Kommission nicht nachweisen, dass ein "gleichwertiges" Schutzniveau für EU-Bürger in den USA gegeben ist (ich zweifele), wird auch das dritte Datentransfer-Abkommen, der EU-U.S. Data Privacy Framework, gekippt. Und dann wird der Katzenjammer bei der Industrie und in Behörden wieder groß sein – "der böse Datenschutz, konnte ja keiner ahnen". Es bleibt spannend und dieses Thema wird uns so schnell nicht aus gehen – schätze ich.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework

  1. Bernd sagt:

    Der gute Herr Schrems ist eine Evolutionsbremse. Meine persönliche Ansicht.

    • Günter Born sagt:

      Deine Ansicht bleibt dir unbenommen – in meinen Augen ist Schrems ein Glücksfall für den Datenschutz.

      Nur zum Mitschreiben: Schrems hat sein Recht wahrgenommen, die Datenschutzabkommen zwischen EU und USA von Gerichten im Hinblick auf den Einklang mit EU-Recht überprüfen zu lassen. In zwei Fällen hat der Europäische Gerichtshof die bestehenden Datenschutzabkommen mit den USA wegen erheblicher Mängel im Datenschutzniveau gekippt. Ich kann da keine Evolutionsbremse (ich denke, Du meisnt Fortschrittsbremse, Evolution ist auf Veränderungen in der Biologie auf Grund von Mutationen bezogen) erkennen – es sei denn, wir bewegen uns auf einen Gesinnungsstaat hin, wo einer die Richtung vorgibt und der Rest nickt ergeben.

      • Das K sagt:

        Danke Günter, für Ihre Antwort auf den Kommentar von 'Bernd'.

        Genauso ist es auch meiner Meinung nach: Schrems ist ein absoluter Glücksfall für alle Bürger in Europa, die Wert auf Datenschutz legen. Vor allem in Bezug auf Austausch von Daten sowie Kommunikation zwischen Staaten/Wirtschaftsräumen, deren Organen, Stellen, Unternehmen etc. Da wird leider zu oft immer nur die wirtschaftliche Position eingenommen, vertreten und durchgesetzt ("Daten sind das neue Gold"). Die menschliche Perspektive mit entsprechenden individuellen Persönlichkeitsrechten wird häufig gar nicht oder untergeordnet und je nachdem auch mit Nachteilen verknüpft berücksichtigt.
        Auf staatlicher Ebene wird man zunehmend erstmal generell als möglicher Verbrecher gesehen und entsprechend auch behandelt und getracked/gemonitored (Erfassung und Vernetzung von allerlei persönlichen Daten, biometrischen Details, Daten zu Verhalten, Daten zu Reisen/Bewegungen etc.). Anlasslos, aber das ist vielen mittlerweile offensichtlich völlig egal ("ich habe nix zu verbergen").

        • McAlex777 sagt:

          Seh ich genauso.

          >> Anlasslos, aber das ist vielen mittlerweile offensichtlich völlig egal ("ich habe nix zu verbergen"). <<

          Das wäre so als würde man keine Meinungsfreiheit brauchen, wenn man nichts zu sagen hat.

        • Mira Bellenbaum sagt:

          Wir sind doch alle nur noch "Human Resources"!
          Alles nur noch für das Wohl multinationaler Konzerne.

          ePA, usw.

      • HPF sagt:

        Da kann ich dir nur zustimmen.

    • rpr sagt:

      Hallo,
      bitte ordnen sie doch einmal Assange, Snowden und Zimmermann (für die ältern unter uns) ihrer Aussage zu die ja offenbar besagt das alle Daten in die USA können.
      Gruß

  2. Dolly sagt:

    Wenn irgendwo "transatlantisch" steht, bedeutet das, dass Daten in eine Richtung von hier ungefiltert über den Atlantik wandern, zum Nutzen der Dienste und Wirtschaft dort und für hin und wieder "unter Freunden" Einblick der Dienste von hier in die dort lagernden Daten von hier, an den Bestimmungen, die hier gelten, vorbei.

    • rpr sagt:

      Da fällt einem auch immer wieder der alte Spruch ein „gut das wir kein Öl haben, sonst wären wir schon längst von unseren amerikanischen Freunden befreit worden" ein.
      Gruß

  3. Thierry sagt:

    Wer glaubt, dass seine Daten unsichtbar und sicher sind, sollte sich zunächst mit diesen zwei Dingen hier befassen:

    – Ein Rechner, der am Netz angeschlossen ist,
    – Ein Stand-alone-Rechner ohne Netzverbindung.

    Das ist das beste Datenschutzabkommen, das ich kenne.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.