[English]Gemäß einer Mitteilung der U.S.-Handelsministerin Gina Raimondo haben die USA jetzt ihre Verpflichtungen im Rahmen des EU-U.S. Datentransferabkommens "Transatlantic Data Privacy Framework" (DPF) implementiert und erfüllen nun die betreffenden Bedingungen. Ich rechne damit, dass die EU-Kommission nun zeitnah einen Angemessenheitsbeschluss erlässt. Dann wird die Sache erneut vor den Europäischen Gerichtshof (EuGH) gehen, wo zu beurteilen ist, ob die Datenschutzabkommen gleichwertige Verhältnisse für EU-Bürger bieten.
Anzeige
Mitteilung der U.S.-Handelsministerin
Ich bin die Nacht über nachfolgenden Tweet auf die Mitteilung der U.S.-Handelsministerin Gina Raimondo zum EU-U.S. Data Privacy Framework (DPF) gestoßen.
Today, the United States has fulfilled its commitments for implementing the EU-U.S. Data Privacy Framework (EU-U.S. DPF) announced by President Joe Biden and European Commission President Ursula von der Leyen in March 2022. This represents the culmination of months of significant collaboration between the United States and the EU and reflects our shared commitment to facilitating data flows between our respective jurisdictions while protecting individual rights and personal data.
On June 30, Attorney General Merrick Garland designated the EU and the three additional countries making up the European Economic Area (EEA) as 'qualifying states' for purposes of implementing the redress mechanism established under Executive Order (EO) 14086 on Enhancing Safeguards for United States Signals Intelligence Activities. The designation will become effective upon the adoption of an adequacy decision by the EU for the EU-U.S. DPF. Today, the Office of the Director of National Intelligence (ODNI) confirmed that the U.S. Intelligence Community has adopted its policies and procedures pursuant to EO 14086.
Taken together, the strengthened safeguards for signals intelligence activities established in EO 14086, designation of the EU/EEA as qualifying states by the Attorney General, the adoption of the Intelligence Community's implementing procedures, and the updated EU-U.S. Data Privacy Framework Principles will enable the EU to move forward with adoption of an adequacy decision for the EU-U.S. DPF.
U.S.-Handelsministerin Gina Raimondo erklärt dort, dass die Vereinigten Staaten nun ihre Verpflichtungen zur Umsetzung des von Präsident Joe Biden und der Präsidentin der Europäischen Kommission Ursula von der Leyen im März 2022 angekündigten EU-US-Datenschutzrahmens (EU-U.S. Data Privacy Framework) erfüllt haben. Ich hatte im Beitrag Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework über diese "Einigung" berichtet.
Seit dieser Zeit lag es an der US-Regierung, die Presidential Order mit Leben zu füllen und die Verpflichtungen umzusetzen. Dieser Schritt ist nun wohl vollzogen, wie die US-Handelsministerin verkündet. Von Seiten der EU-Kommission muss nun ein sogenannter Angemessenheitsbeschluss erlassen werden, damit das EU-U.S. Data Privacy Framework (EU-U.S. DPF) formal in Kraft treten kann.
Anzeige
Was ist der Zweck?
Für Leser, die nicht so in der Materie stecken, einige Sätze zum Hintergrund. Damit Europäische Firmen Daten zur Verarbeitung ins Ausland transferieren können, muss der Zielstaat die gleichen Datenschutzvorgaben wie innerhalb der europäischen Union gewährleisten. In Ländern der Europäischen Union (EU) ist dies durch die DSGVO (englisch GDPR) gewährleistet. Die EU-Kommission kann aber im Rahmen eines Angemessenheitsbeschlusses feststellen, dass ein Zielland ebenfalls dieses Datenschutzniveau für Bürger der EU erreicht.
Ein Problem stellt seit Inkrafttreten der DSGVO im Mai 2018 die USA dar. Alle US-Cloud-Anbieter und Software-Anbieter, deren Produkte persönliche Daten von Bürgern der Europäischen Union auf Server außerhalb der EU übertragen, dürften ohne Abkommen mit den USA nicht in der EU eingesetzt werden. Die EU-Kommission hatte dies durch das sogenannte "Safe Harbor"-Abkommen mit den USA heilen und einen Rahmen zum Datentransfer schaffen wollen. Nach Klagen von Datenschützern landete der Fall vor dem Europäischen Gerichtshof (EuGH) in Luxemburg, der das Abkommen als nicht gleichwertig mit der DSGVO einstufte und das Ganze kippte (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig).
Die wackeren Strategen der EU-Kommission blieben nicht untätig und zauberten ein zweites Abkommen mit dem klingenden Namen "Privacy Shield" mit den USA aus dem Hut. Da trotz neuen Namens der Inhalt aber weitgehend gleich blieb, landete das Abkommen erneut vor dem Europäischen Gerichtshof (EuGH) in Luxemburg, der das Abkommen als nicht gleichwertig mit der DSGVO einstufte und das Ganze kippte (siehe EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield").
Das EU-U.S. Data Privacy Framework (DPF) ist nun der dritte Versuch der EU-Kommission und der USA, das Problem des fehlenden Datenschutzabkommens zu heilen. In den am Beitragsende verlinkten Artikeln hatte ich die bisherige Geschichte nachgezeichnet, die EU-Kommission hatte zum Jahreswechsel 2022/2023 bereits eine vorläufige Angemessenheitsentscheidung getroffen (siehe EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework).
Bewertung des Ganzen
Das neue EU-U.S. Data Privacy Framework (DPF) soll aus Sicht der EU-Kommission nun den rechtlichen Rahmen für den Transfer persönlicher Daten von EU-Bürgern in die USA schaffen. Formal erwarte ich nun, dass die EU-Kommission zeitnah einen Angemessenheitsbeschluss erlässt und diesen verkündet. Denn die "Wirtschaft" wartet dringend auf ein gültiges Datenschutzabkommen mit den USA, denn formal kann selbst Software wie Microsoft Office oder Windows wegen des unklaren Datenabflusses nicht eingesetzt werden (sieh z.B. Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform). Sogenannte "Berater" argumentieren daher seit Herbst 2022 damit, dass das nur ein kleines formales Problem sei, weil das EU-U.S. Data Privacy Framework (DPF) "ja bald komme und den Rechtsrahmen schaffe".
Das Ganze steht und fällt aber mit der Frage, ob das neue DPF-Abkommen EU-Bürgern in den USA den den gleichen Rechtsschutz bezüglich persönlicher Daten wie in der EU gewährt. Final wird man die zu erwartende Klage von Datenschützern gegen das EU-U.S. Data Privacy Framework (DPF) vor dem Europäischen Gerichtshof (EuGH) und die dann zu treffenden Entscheidung der Richter abwarten müssen.
Aber das Ganze hängt ja nicht im lufleeren Raum, sondern Datenschützer und Datenschutzaktivisten haben sich das Konstrukt des EU-U.S. Data Privacy Framework (DPF)bereits näher angesehen. Max Schrems von der österreichischen Organisation noyb, der die beiden Klagen gegen Safe Harbor und Privacy Shield vor dem EuGH gewonnen hatte, geht in seinen Einschätzungen davon aus, dass seine dritte Klage vor dem EuGH gegen das DTF ebenfalls erfolgreich sein wird.
Ich hatte dazu im Blog-Beitrag EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework erste Stellungnahmen von Datenschutzaktivisten aus Europa (noyb) und aus den USA zusammen getragen. Kann man als "interessensgeleitet" kategorisieren und mit "klingeln gehört zum Handwerk" abtun – genau wie das Credo der "Berater", dass mit dem DPF "bald alles in Ordnung sei". Sehr aufschlussreich fand ich in diesem Kontext aber die Stellungnahme des Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, und dessen europäischen Kollegen vom Europäische Datenschutzausschuss (EDSA). Beide Stellen hegen schwere Bedenken bezüglich der Frage, ob das DPF ein mit zur DSGVO gleichwertiges Datenschutzniveau für EU-Bürger in den USA samt Rechtsschutz gewährt. Die Auslegungen in den USA sind nun mal fundamental anders als die Interpretation in Europa durch die EU-Kommission.
Ich hatte diesen Konflikt sowie die Bedenken der Datenschützer bereits im Blog-Beitrag Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework aufgegriffen. Meine persönliche Einschätzung: Die EU-Kommission wird den Angemessenheitsbeschluss formal verkünden, "Industrie, Behörden und US-Cloud-Anbieter" werden jubeln, aber die Organisation noyb wird Klage gegen das Abkommen vor dem EuGH einreichen. Und dann sehe ich die Wahrscheinlichkeit als recht hoch an, dass auch dieses dritte Datenschutzabkommen zwischen EU und USA scheitert, und alles "zurück auf los" gestellt wird.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
Anzeige
Die Aktivisten nerven, egal in welchem Bereich.
Max Schrems noyb – so kann man sich auch finanzieren und ein Gewerbe etablieren. Es wäre interessant wer denn die großen Sponsoren sind ;).
https://support.noyb.eu/funding
Unser Ziel: ⅔ durch Fördermitglieder
Wir wollen eine finanziell gesunde, unabhängige und stabile Organisation sein, da viele unserer Fälle Jahre dauern und wir deshalb auf lange Sicht ein professionelles Team finanzieren müssen. Unser Ziel ist es daher, zwei Drittel unserer laufenden Kosten durch wiederkehrende individuelle Fördermitglieder zu decken. Dies schließt institutionelle Mitglieder und Einzelspenden aus, sichert aber langfristig finanzielle Stabilität und Unabhängigkeit. Für das Jahr 2023 haben wir rund 1.160.000 € zur Deckung unserer Personal-, Miet-, Rechts- und Projektkosten sowie der laufenden Ausgaben veranschlagt. 200.000 € davon werden wir von unserer Rücklage aufwenden, von den verbleibenden 960.000 € sollen 2/3 durch Fördermitgliedschaften und der Rest durch Einzelspenden und institutionelle Finanzierung gedeckt werden.
Da unser Budget nach einem flexiblen Ansatz berechnet wird, kann der Prozentsatz auf unserer Webseite schwanken.
Zum ersten Satz: Kann man so sehen, muss man aber nicht. Ich bin froh, dass es diese Aktivisten gibt und lasse durchaus auch Spenden an diverse Organisationen rüber wachsen. Denn ohne diese Kontrolle hätten wir längst einen Ausverkauf unseres Datenschutzrechts und wären als Beute den gierigen US-Big-Tech-Konstrukten ausgeliefert.
Die aktuellen Diskussionen um Chat-Kontrolle, EU-Wallet mit oder ohne lebenslange ID, European Health Data Space (EHDS), elektronische Patientenakte (ePA 2.0) etc. in der EU und in Deutschland zeigen doch, wo die Begehrlichkeiten hin gehen. Nur mal zur Erinnerung: Informelle Selbstbestimmung über die eigenen Daten ist ein Grundrecht. Ohne Grenzen und Aktivisten, wie noyb oder netzpolitik.org, geht es ja scheinbar nicht.
Dass die Spenden benötigen, sollte jedem klar sein, der schon mal eine Interessengemeinschaft für Klagen oder eine NGO aufgezogen und betrieben hat. Da von "ein Gewerbe" zu sprechen, zeugt imho von einem etwas schrägen Weltbild – wenn die Firmen sich schlicht DSGVO-konform verhielten und die Politik die Datenschutzbeauftragten entsprechend ausgestattet hätten, wären noyb & Co. überflüssig und würden sich auflösen.
Ansonsten: A bisserl Nachdenken wird schon dazu führen, dass Microsoft, Google und viele andere Firmen keinesfalls zu den Großspendern – und nicht unbedingt einmal überhaupt zu den Spendern – gehören. Die schieben ihre Gelder in andere Lobby-Gruppen.
Wie machen eigentlich die anderen europäischen Länder das, die längst alle behördlichen Zusammenhänge digitalisiert haben? Voralle Skandinavien und Baltikum sind uns da ja meilenweit vorraus. Nehmen die dort den Datenschutz nicht so genau, haben die eine bessere technische Expertise (die man anheuern könnte), um das alles gleich von vorneherein richtig umzusetzen oder ist das mal wieder die typische German-Angst?
Mich würde da auch Konkreteres interessieren.
Was ich zumindest weiß ist, dass man dort alle Prozesse vereinfacht hat und überflüssiges gestrichen. Also digital neu gedacht.
Da kommt dann halt keine Adresse auf den Ausweis und alles ist möglichst einfach und zentralisiert. Mit einfachen Prozessen braucht man halt auch nicht auf jedem Dorf dutzende Programme und Office, um den Rest zu stricken.
Da reichen dann Websysteme.
In Deutschland hingegen hat man die Digitalisierung als Chance begriffen, alles noch komplizierter zu gestalten und möglichst viele Stellen pro Prozess unterzubringen.
Komplexität bis zum Abwinken, alles dezentral verarbeitet, in jeder möglichen Verarbeitunhsphase überall andere Software, überall muss gespeichert werden. Ein gigantischer Zoo von Lösungen, nicht mehr zu beherrschen.
Und als mögliches Outcome eines Antrags nicht etwa ein paar klare Optionen, nein alle möglichen Ergebnisse, aufgrund der Gesetzlichkeiten gerne mit inhaltlicher Zusammenfassung des Antrags, Herleitung des Tenors und Erläuterung der Abwägungsgründe. Und anderen Anlässen, das mit einem Office oder mit sonstwas zu schreiben, das auch für einen Roman geeignet wäre.
Naja. Wie auch immer. Für transparente und datenschutzfreundliche Lösungen müssten wir ähnlich Estland Lösungen digital neu denken.
Wir machen in Deutschland das Gegenteil, überfrachten alle Beteiligten mit Anforderungen,
überfordern Leistungsträger mit sachfremden Zusatzanforderungen und geben einer transparent und verantwortungsvoll betriebenen und datenschutzkonformen Datenverarbeitung eigentlich gar keine Chance.
Frag mal irgendwen, der das wissen sollte, was in seiner Kommune so an Daten verarbeitet werden und welche Prozesse laufen. Im besten Fall bekommst du gefühlt die Bibliothek von Alexandria in die Hand gedrückt, alles irgendwie aufgeschrieben. Bist Du quasi erschlagen und nichts weiter.
Wenn Du Visualisierungen suchst, dann gibt es irgendwo einen Katalog mit ungefähr 6000 Prozessen, wie sie allgemein ablaufen. Plus dann die eigenen Ideen einer Kommune, wie eine kostenlose Infoveranstaltung für Neubürger zu machen. Da fließen auch Daten.
Ich treffe immer wieder so ganz sichere Zeitgenossen aus dem Sektor, die ganz überzeugt mitteilen, sie hätten das alles dokumentiert und so.
Ja genau. Pumuckelsdorf hat tausende Prozesse, mit hunderten "von oben" reingedrückten Änderungen aller Größenordnungen pro Jahr, so transparent durchdokumentiert, dass sie genau wissen, was sie wie verarbeitet.
Schöne Geschichte fürs Lagerfeuer der Helden.
Fakt ist, die meisten wissen so ungefähr ganz gut und so weiter. Quasi "passt schon".
Die Ziele des Datnschutzes wirklich erfüllen und das auch wirklich bestätigen können? Können die kleineren Akteure im öffentlichen Sektor in Deutschland schlichtweg knicken.
sorry für den rant :)
nochmal kurz: wir sollten sachdienliche Politik und Gesetzgebung fürs Digitale betreiben, so dass jeder wieder weiß, was überhaupt los ist und was er gerade machen muss. könnten wir uns durchaus woanders abschauen.
Es ist German Angst. Was sonst?
Ich würde eher sagen: Typisch Deutsches Versagen bei der Digitalisierung und viel zu weit gehender Überwachungswahn bei den Behörden. Man hat vergessen, daß Behörden für den Bürger da sind und nicht umgekehrt. Da heißt es DIENEN.
Nur mal so: Mit dem Ansatz "Datenschutz ist Schei*e" hier im Forum immer wieder hausieren zu gehen ist auch Aktivismus.
Selber machen was man anderen vorwirft?!?
Danke für die Erinnerung mal wieder eine Spende an Max Schrems / noyb zu machen.
Leider wird auch durch die nächste, vermutlich erfolgreiche Klage nichts auf "Los zurück" gestellt. Unternehmen, Behörden, öffentliche Einrichtungen, etc. werden weiterhin unsere Daten in amerikanische Clouds verschieben. Viele Unternehmen haben bereits eigenen Ressourcen abgebaut, da sie dafür verschiedene Dienste in US-Clouds einsetzen. Eine Rückführung würde Jahre dauern und wird ganz sicher nicht ohne externen Druck geschehen.
Der Berufschullehrerverband in Baden-Württemberg hat erst neulich den Einsatz von Office 365 gefordert und eine "Analyse" vorgelegt, die einen datenschutzkonformen Einsatz mit Office 365 möglich sehen. Dabei wurde ausdrücklich auf das kommende "Transatlantic Data Privacy Framework" verwiesen.
Zum Berufsschullehrerverband hatte ich im Blog-Beitrag Berufsschullehrer-Verband "meint" MS Office ist DSGVO-konform einsetzbar was im Blog. Und zum "Unternehmen, Behörden, öffentliche Einrichtungen, etc. werden weiterhin unsere Daten in amerikanische Clouds verschieben." … freuen wir uns doch einfach auf die "Schmerzen", die an diesen Stellen demnächst entstehen. Spätestens mit dem Angemessenheitsbeschluss der EU-Kommission und der dann startenden Klage gibt es ganz schnell Präzedenzfälle, wo man Unternehmen und Behörden an den Kanthaken nehmen kann.
Ich denke aktuell darüber nach, wie man das aufziehen könnte. So diverse Stellen wären als Ziel für Anfragen nach DSGVO mit nachhaken, welche Daten in der Cloud oder mit Microsoft Office 365 bearbeitet/gespeichert werden, denkbar. Wenn dann der Transfer in die USA untersagt wird, könnte es schnell eng werden. Mir gehen beispielsweise die Schufa, Creditreform und einige andere größere Organisationen durch den Kopf. Und wenn man eine größere Versicherung, Automobilhersteller etc. diesbezüglich angegangen werden, wird es spannend. Früher oder später wird es an dieser Stelle knallen, wenn die EU kein Datenschutzabkommen mit den USA hin bekommt, was vor dem EuGH hält.
Es wird knallen, da die USA keinen echten Datenschutz für Nicht-US-Bürger gewährleisten können und wollen.
Unsere Politik hat selbst genauso wenig Interesse daran, betrifft doch in deren Augen nur "den kleinen Bürger".
Ich persönlich befürworte die DSGVO, doch ich frage mich auch, wieso die DSGVO überhaupt kam, da sie von den großen Konzernen gefühlt fast durchweg ignoriert wird.
Na die kam weil die Politiker gewählt werden wollten, allerdings halt ohne starke Hand ausgestattet weil die Politiker die Wirtschaft und ihre "schwarzen köfferchen" nicht verlieren wollten!
Frei nach dem Motto: Dummes Wahlvolk seht her wir nehmen euere Bedenken ernst und tun was und zur Wirtschaft: macht euch keine Sorgen ist nur nen zahnloser Papiertiger!
Das da Aktivisten das Ganze immer wieder kippen war da nicht eingeplant!
Politik as usual eben.
Warum arbeiten eigentlich die Datenschützer nicht von vorneherein an so einem Abkommen mit der USA mit? Dann bräuchte man nicht hinterher zu klagen, sondern alles wäre schon geregelt. Das würde enorm viel Zeit und Geld sparen und wir wären alle schon viel weiter.
Tscha, müsstest Du die EU-Kommission fragen … ausweislich meines Artikels haben die europäischen Datenschützer deutlich auf die Knackpunkte hingewiesen. Die Begründung des EuGH in den beiden vorliegenden Urteilen ist wohl auch glasklar, was akzeptabel im Sinne der DSGVO ist. Aber wenn Ursula mit Joe im Hinterzimmer was ausbaldovert, ist man auf diesem Auge, pardon Ohr, blind und taub …
Dder anders formuliert: Die Rechtssysteme und Auffassungen zwischen EU- und US-Gesetzgebung sind fundamental verschieden. Und solange die US-Administration da nicht springt – was nicht zu erwarten ist – und US-Big-Tech keinen fundamental anderen Ansatz für den Geschäftsraum der EU etabliert, wird es weiter haken. Oder die Politik kommt auf die Idee, die DSGVO wieder zu schleifen – was aber problematisch werden könnte.
Ein Abkommen, das der DSGVO gerecht wird, kann es aufgrund der derzeitigen US-Gesetzgebung nicht geben.
Egal, was in so einem Abkommen drin steht, die US-Behörden werden sich auf die US-Gesetzgebung, insbesondere den Cloud Act berufen und US-Gerichte werden den auch höher einstufen als ein Datenschutzabkommen mit der EU oder wem auch sonst.
Denn die US-Regierung kann sich nicht über geltendes US-Recht hinweg setzten, auch nicht mit Abkommen mit fremden Regierungen/Organisationen.
Damit so ein Abkommen tatsächlich der DSGVO gerecht würde, müsste die USA ihren Cloud Act abschaffen. Das wird aber nicht passieren.
Und daher wird jedes irgendwie geartetes Abkommen mit den USA vom EuGH kassiert. Und wenn es das 20. Abkommen ist.
Die USA wird auf jeden Fall das Spiel mit immer neuen Abkommen mitspielen, denn die wollen nicht, das die US-Firmen die EU-Kunden verlieren.
Zudem sind die US-Behörden auch neugierig, was EU-Bürger und nicht nur die angeht.
Die hätten am liebsten die Daten von allen 8 Mrd. Menschen auf der Erde.
Nur die EU selbst hat die Möglichkeit, das rechtskonform hinzubekommen.
Dazu müsste aber die DSGVO diesbezüglich überarbeitet, d.h. aufgeweicht werden. Ob das passieren wird, ist zumindest stark zweifelhaft.
Mit der DSGVO hat sich die EU selbst ein Ei ins Nest gelegt und noch immer ist ihnen die Tragweite der DSGVO nicht bewusst, denn sonst würden die es nicht immer wieder mit neuen Abkommen etc. versuchen.
Mir ist nicht klar, wieso es überhaupt einen Datenaustausch mit den USA geben muß. Einfach keine Daten dorthin schicken und gut ist. Einen europäischen Zahlungsdienstleister vermisse ich schon lange. Sind die Europäer zu doof für so was? Oder zocken die Banken lieber mit den Einlagen iherer Kunden. Auch die Zahlungsabwicklung kann substantielle Gewinne abwerfen.