{"id":263718,"date":"2022-03-26T11:19:53","date_gmt":"2022-03-26T10:19:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263718"},"modified":"2022-12-16T01:08:06","modified_gmt":"2022-12-16T00:08:06","slug":"vorlufige-einigung-zwischen-eu-und-usa-im-trans-atlantic-data-privacy-framework","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/26\/vorlufige-einigung-zwischen-eu-und-usa-im-trans-atlantic-data-privacy-framework\/","title":{"rendered":"Vorl&auml;ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/03\/26\/preliminary-agreement-between-eu-and-us-on-the-trans-atlantic-data-privacy-framework\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die europ\u00e4ische Union (EU) und die USA haben sich wohl vorl\u00e4ufig auf ein Abkommen zum Datenaustausch von Benutzerdaten (Trans-Atlantic Data Privacy Framework) zwischen diesen Regionen geeinigt. Das Nachfolgeabkommen ist erforderlich, weil der europ\u00e4ische Gerichtshof zwei Vorl\u00e4uferabkommen gekippt hat. W\u00e4hrend die US IT-Riesen jubeln, sehen Datensch\u00fctzer das Ganze kritisch.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/14f3a4c08f494408aff95ef7f368362e\" alt=\"\" width=\"1\" height=\"1\" \/>Dass eine vorl\u00e4ufige Vereinbarung erreicht wurde, haben US-Pr\u00e4sident Biden und die Pr\u00e4sidentin der Europ\u00e4ischen Kommission, Ursula von der Leyen, am Freitag, den 25. M\u00e4rz 2022 in Br\u00fcssel verk\u00fcndet. Dieses Trans-Atlantic Data Privacy Framework genannte Abkommen muss nun von den Gremien beiderseits des Atlantik (z.B. EU-Parlament) ratifiziert werden.<\/p>\n<p>Kommt das Trans-Atlantic Data Privacy Framework-Abkommen zustande, w\u00fcrde sie eines der heikelsten offenen Probleme zwischen den beiden Wirtschaftsr\u00e4umen l\u00f6sen: N\u00e4mlich den Umstand, dass aktuell keine personenbezogenen Daten europ\u00e4ischer B\u00fcrger in die USA transferiert werden d\u00fcrfen, da der US Cloud-Act den Zugriff der US-Beh\u00f6rden auf diese Daten erm\u00f6glicht.<\/p>\n<h2>Trans-Atlantic Data Privacy Framework<\/h2>\n<p>Die beste Quelle ist immer noch das Wei\u00dfe Haus, die am 25. M\u00e4rz 2022 <a href=\"https:\/\/www.whitehouse.gov\/briefing-room\/statements-releases\/2022\/03\/25\/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> ihr Fact Sheet zum <em>Trans-Atlantic Data Privacy Framework<\/em> ver\u00f6ffentlicht haben. Dort erf\u00e4hrt man, dass die Vereinigten Staaten und die Europ\u00e4ische Kommission sich bez\u00fcglich eines neuen transatlantischen Datenschutzrahmens geeinigt haben. Nach der Lesart der Ver\u00f6ffentlichung soll das <em>Trans-Atlantic Data Privacy Framework<\/em> den transatlantischen Datenverkehr f\u00f6rdern und die Bedenken bez\u00fcglich bisheriger Regelungen ausr\u00e4umen.<\/p>\n<blockquote><p>Im Jahr 2020 hatte der europ\u00e4ische Gerichtshof (EuGH) das zwischen den USA und der EU geschlossene Datenschutzabkommen \"Privacy Shield\" gekippt. Das betraf alle Cloud-Dienste, die in den USA gehostet werden (siehe auch die Ausf\u00fchrungen im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/16\/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield\/\">EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>). Auch das Vorg\u00e4ngerabkommen, Safe Harbor genannt, war vom EuGH gekippt worden (siehe <a href=\"https:\/\/borncity.com\/blog\/2015\/10\/06\/safe-harbor-eugh-erklrt-abkommen-fr-ungltig\/\">Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>). Nach diesen beiden Urteilen war kein legaler Transfer von pers\u00f6nlichen Daten der EU-B\u00fcrger zwischen der EU und den USA mehr m\u00f6glich. Das traf vor allem die US-Cloud-Anbieter wie Amazon, Google, Microsoft, aber auch Apple oder Facebook\u00a0 &#8211; und es war klar, dass es ein Nachfolgeabkommen geben muss.<\/p><\/blockquote>\n<p>Jetzt haben die USA und die Europ\u00e4ische Union haben eine vorl\u00e4ufige Einigung erzielt, die es erlaubt, Daten \u00fcber Europ\u00e4er auf amerikanischem Boden zu speichern, und damit eine wachsende Bedrohung f\u00fcr die transatlantischen Aktivit\u00e4ten tausender Unternehmen abwendet, jubelt das Wall Street Journal in <a href=\"https:\/\/www.wsj.com\/articles\/u-s-eu-reach-preliminary-deal-on-data-privacy-11648200085?mod=djemalertNEWS\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a>.<\/p>\n<h2>Wir reden \u00fcber Milliarden<\/h2>\n<p>US-Pr\u00e4sident Joe Biden sagte bei der Verk\u00fcndung des vorl\u00e4ufigen Rahmens f\u00fcr das Abkommen, dass dieser das gemeinsames Engagement zum Schutz der Privatsph\u00e4re, den Datenschutz und die Rechtsstaatlichkeit unterstreiche. Das Abkommen w\u00fcrde es den EU-Beh\u00f6rden erm\u00f6glichen, wieder transatlantische Datenstr\u00f6me zu genehmigen. Dies w\u00fcrde dazu beitragen, die Wirtschaftsbeziehungen mit der EU in H\u00f6he von 7,1 Billionen Dollar zu erleichtern. Follow the money.<\/p>\n<h2>Der Rahmen des Abkommens<\/h2>\n<p>Der jetzt verhandelte Rahmen des Trans-Atlantic Data Privacy Framework befasst sich mit zwei Anliegen des EU Gerichtshofs im Zusammenhang mit den US-Cloud Act \u00dcberwachungsgesetzen:<\/p>\n<ul>\n<li>den Umfang und die Verh\u00e4ltnism\u00e4\u00dfigkeit zul\u00e4ssiger nationaler Sicherheits\u00fcberwachungsma\u00dfnahmen der USA und<\/li>\n<li>die Verf\u00fcgbarkeit von Rechtsbehelfen f\u00fcr Europ\u00e4er, deren personenbezogene Daten von US-Geheimdiensten unrechtm\u00e4\u00dfig erhoben und verwendet werden.<\/li>\n<\/ul>\n<p>Der neue Rahmen stellt mutma\u00dflich klar, dass die \u00dcberwachungspraktiken der USA sowohl notwendig als auch verh\u00e4ltnism\u00e4\u00dfig sein m\u00fcssen. Zudem verspricht das Abkommen die M\u00f6glichkeit f\u00fcr von unzul\u00e4ssiger \u00dcberwachung betroffenen Europ\u00e4ern eine wirksame \u00dcberpr\u00fcfung und Entsch\u00e4digung vor einem unabh\u00e4ngigen Datenschutzgericht, zu erwirken. Hier die Kernpunkte aus der Ver\u00f6ffentlichung des Wei\u00dfen Hauses:<\/p>\n<ul>\n<li>Die Sammlung von Daten [durch die US-Beh\u00f6rden] darf nur dann erfolgen, wenn dies zur F\u00f6rderung legitimer nationaler [US-]Sicherheitsziele erforderlich ist, und darf den Schutz der Privatsph\u00e4re und der b\u00fcrgerlichen Freiheiten nicht unverh\u00e4ltnism\u00e4\u00dfig beeintr\u00e4chtigen;<\/li>\n<li>Einzelpersonen aus der EU k\u00f6nnen sich an einen neuen mehrstufigen Rechtsbehelfsmechanismus wenden, der ein unabh\u00e4ngiges Datenschutzpr\u00fcfungsgericht umfasst, das sich aus Personen zusammensetzt, die nicht der US-Regierung angeh\u00f6ren und die uneingeschr\u00e4nkte Befugnis haben, \u00fcber Klagen zu entscheiden und gegebenenfalls Abhilfema\u00dfnahmen anzuordnen;<\/li>\n<li>Die US-Nachrichtendienste werden Verfahren einf\u00fchren, die eine wirksame \u00dcberwachung der neuen Standards f\u00fcr den Schutz der Privatsph\u00e4re und der b\u00fcrgerlichen Freiheiten gew\u00e4hrleisten.<\/li>\n<\/ul>\n<p>Klingt gut, f\u00fcr US-Firmen &#8211; f\u00fcr EU-B\u00fcrger, die ihre Datenschutzrechte durchsetzen m\u00f6chten, wird der Weg aufw\u00e4ndig und steinig, so meine Einsch\u00e4tzung.<\/p>\n<h2>Juristische Ausf\u00fchrung<\/h2>\n<p>Es soll ein neuer US-Datenschutzgerichtshof und die Verpflichtung zur Begrenzung unverh\u00e4ltnism\u00e4\u00dfiger Datenerhebungen per US-Durchf\u00fchrungsverordnung geschaffen werden, hei\u00dft es von Mitarbeitern der EU-Kommission und der US-Regierung. Die Verhandler und Beobachter aus den USA und aus der EU gehen aber bereits davon aus, dass das neue Abkommen, sofern es denn von den zust\u00e4ndigen Gremien ratifiziert wird und zustande kommt, erneut vor dem Europ\u00e4ischen Gerichtshof angefochten wird.<\/p>\n<p>Man kann das Ganze auch knapp in \"Alles zur\u00fcck auf los\" zusammen fassen. Ob das Abkommen kommt, und ob das Trans-Atlantic Data Privacy Framework den EuGH-Elch-Test dieses Mal besteht, steht in den Wolken der Venus geschrieben &#8211; die zeigen t\u00e4glich neue Formationen.<\/p>\n<h2>Facebook, Google &amp; Co. jubeln<\/h2>\n<p>Das im Raum stehende Abkommen d\u00fcrfte die Bedenken von Unternehmen wie Meta Platforms Inc. (Facebook) und Alphabet Inc. (Google) beruhigen. Denn die US-Unternehmen sahen sich mit zunehmenden rechtlichen Anfechtungen von Datentransfers aus der EU konfrontiert. Die M\u00f6glichkeit von Unternehmen, in den USA ans\u00e4ssige Datenzentren zu nutzen, um beispielsweise Online-Werbung zu verkaufen, den Datenverkehr auf ihrer Website zu messen oder die Gehaltsabrechnung ihres Unternehmens in Europa zu verwalten, stand auf dem Spiel &#8211; und nun ist \"freie Fahrt in Sicht\". Microsoft hat bereits mit dem Blog-Beitrag <a href=\"https:\/\/blogs.microsoft.com\/eupolicy\/2022\/03\/25\/eu-us-data-agreement-an-important-milestone-for-data-protection-microsoft-is-committed-to-doing-our-part\/\" target=\"_blank\" rel=\"noopener\">EU-U.S. data agreement an important milestone for data protection, Microsoft is committed to doing our part<\/a> reagiert.<\/p>\n<h2>Ein Bild von noyb sagt mehr als 1000 Worte<\/h2>\n<p>Ich habe nat\u00fcrlich auch die erste Reaktion von Max Schrems eingefangen, der ja erfolgreich mit seiner Organisation noyb gegen die bisherigen Datenschutzabkommen geklagt hatte.<\/p>\n<p><img decoding=\"async\" title=\"noyb zum Trans-Atlantic Data Privacy Framework\" src=\"https:\/\/i.imgur.com\/pthRie1.png\" alt=\"noyb zum Trans-Atlantic Data Privacy Framework\" \/><\/p>\n<p>Obiges Bild fasst das zusammen, was Max Schrems in seiner ersten Stellungnahme von noyb in <a href=\"https:\/\/noyb.eu\/en\/privacy-shield-20-first-reaction-max-schrems\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> schreibt. Laut Schrems handelt es sich lediglich um eine politische Ank\u00fcndigung, nicht um einen Text, der analysiert werden kann. Soweit noyb informiert ist, gibt es einen solchen Text noch nicht und es wird einige Monate dauern, bis er ausgearbeitet ist.<\/p>\n<p>Die Juristen m\u00fcssen noch L\u00f6sungen f\u00fcr die vom Europ\u00e4ischen Gerichtshof (EuGH) aufgeworfenen Probleme finden. Bislang wurden trotz zweij\u00e4hriger Diskussionen noch keine voll funktionsf\u00e4higen L\u00f6sungen geliefert. Was noyb h\u00f6rt, so Schrems, ist, dass die USA nicht vorhaben, ihre \u00dcberwachungsgesetze zu \u00e4ndern, sondern nur Zusicherungen der Exekutive (unter Verwendung von EU-Sprache wie \"Verh\u00e4ltnism\u00e4\u00dfigkeit\") vorsehen.<\/p>\n<p>Es ist f\u00fcr Schrems unklar, wie dies die Pr\u00fcfung durch den EuGH auch nur im Entferntesten bestehen soll, da der EuGH die US-\u00dcberwachung bereits als nicht \"verh\u00e4ltnism\u00e4\u00dfig\" eingestuft hat. Fr\u00fchere Abkommen sind in dieser Hinsicht zweimal gescheitert. Vor allem: Es scheint keine Aktualisierung des \"Privacy Shield\"-Prinzips f\u00fcr die kommerzielle Datennutzung zu geben. Und das, obwohl die Datenschutz-Grundverordnung (DSGVO) seit der Verabschiedung des Privacy Shields in Kraft getreten ist.<\/p>\n<p>Schrems schreibt: Jede neue Vereinbarung w\u00e4re kein bilaterales Abkommen, sondern eine Exekutiventscheidung der Europ\u00e4ischen Kommission, die zun\u00e4chst vom Europ\u00e4ischen Datenschutzausschuss (EDPB) gepr\u00fcft werden m\u00fcsste. Dieser Prozess kann erst eingeleitet werden, wenn ein Rechtstext vorliegt. Ein tats\u00e4chlicher \"Angemessenheitsbeschluss\" w\u00fcrde daher noch ein paar Monate in Anspruch nehmen.<\/p>\n<p>Unternehmen k\u00f6nnen eine Vereinbarung erst dann nutzen, wenn sie formell verabschiedet ist, was Monate dauern wird. Und ganz wichtig: Eine Entscheidung kann schnell vor dem Europ\u00e4ischen Gerichtshof angefochten werden. noyb geht davon aus, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erf\u00fcllt, innerhalb weniger Monate vor dem EuGH angefochten werden kann, z. B. durch zivilrechtliche Streitigkeiten und einstweilige Verf\u00fcgungen. Der EuGH kann sogar vorl\u00e4ufige Ma\u00dfnahmen ergreifen, wenn ein Abkommen eindeutig gegen fr\u00fchere Urteile verst\u00f6\u00dft.<\/p>\n<p>Die S\u00fcddeutsche Zeitung titelt zum Dritten Akt dieses Dramas <a href=\"https:\/\/www.sueddeutsche.de\/wirtschaft\/datenschutz-nsa-privacy-shield-eu-1.5554642\" target=\"_blank\" rel=\"noopener\">Dritter Versuch beim transatlantischen Datenschutz<\/a> &#8211; und sieht das Ganze als \"m\u00f6gliche Einigung im Zeichen der Ukraine-Krise\". Das Fazit von Schrems, dem ich mich anschlie\u00dfen kann: Insgesamt scheint das alles eine politische Ank\u00fcndigung, anl\u00e4sslich des Besuchs des US-Pr\u00e4sidenten in Europa, zu sein, der ohne einen soliden Text vorerst keine Rechtssicherheit erzeugt.<\/p>\n<p>Die oben aufgef\u00fchrten \"kraftvollen\" Statements des Wei\u00dfen Hauses und von Google, Facebook, Microsoft etc. sind in diesem Kontext Nebelkerzen &#8211; das muss mit Leben (aka Ausf\u00fchrungstexten) gef\u00fcllt werden &#8211; und dann sehen wir weiter. Wenn sich bez\u00fcglich der US-Gesetze nichts \u00e4ndert, hei\u00dft es \"aller schlechten Dinge sind Drei\" und das wird auch vom EuGH gekippt.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Bei heise ist mit einigen Tagen Nachlauf<a href=\"https:\/\/www.heise.de\/news\/Privacy-Shield-2-0-Viele-offene-Fragen-zum-Datenverkehr-mit-den-USA-6658370.html\" target=\"_blank\" rel=\"noopener\"> dieser Beitrag<\/a> zum 31. M\u00e4rz 2022 erschienen. Im Prinzip wird obige Einsch\u00e4tzung gest\u00fctzt &#8211; die EU-Institutionen m\u00fcssen das Ganze mit Leben f\u00fcllen, so dass fr\u00fchestens Ende 2022 eine Regelung in Kraft gesetzt werden k\u00f6nnte. Firmen haben also weiterhin keine Option, Daten in die USA zu transferieren. Und ob ein neues Abkommen vor dem EuGH Bestand hat, ist dann auch offen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/10\/06\/safe-harbor-eugh-erklrt-abkommen-fr-ungltig\/\">Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/16\/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield\/\">EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/27\/keine-karenzfrist-fr-unternehmen-nach-privacy-shield-eu-urteil\/\">Keine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/05\/16\/datenschtzer-plant-durchgreifen-bei-privacy-shield-versten\/\">Datensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/09\/us-prsident-biden-bringt-datenschutzabkommen-privacy-shield-2-0-auf-den-weg\/\">US-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/eu-kommission-fllt-vorlufige-angemessenheitsentscheidung-zum-trans-atlantic-data-privacy-framework\/\" rel=\"bookmark\">EU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die europ\u00e4ische Union (EU) und die USA haben sich wohl vorl\u00e4ufig auf ein Abkommen zum Datenaustausch von Benutzerdaten (Trans-Atlantic Data Privacy Framework) zwischen diesen Regionen geeinigt. Das Nachfolgeabkommen ist erforderlich, weil der europ\u00e4ische Gerichtshof zwei Vorl\u00e4uferabkommen gekippt hat. W\u00e4hrend die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/26\/vorlufige-einigung-zwischen-eu-und-usa-im-trans-atlantic-data-privacy-framework\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,451],"class_list":["post-263718","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263718"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263718\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}