![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud\\"")
Die EU-Kommission hat zum 13. Dezember 2022 ihre vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework bekannt gegeben. Dies soll die Nachfolgeregelung des vom EuGH verworfenen EU-U.S. Privacy Shields Datenschutzabkommens werden. Noch ist die EU-Angemessenheitsentscheidung nicht rechtskr\u00e4ftig, da sie zwischen den EU-Staaten und deren Datenschutzbeauftragten abgestimmt werden muss. Hier einige Informationen zum Thema.<\/p>\n
<\/p>\n
Seit 2018, dem Inkrafttreten der DSGVO gab es bereits zwei Datenschutzabkommen zwischen der EU und den USA, da deren Cloud-Anbieter und Software-Hersteller dies ben\u00f6tigen, um gesch\u00e4ftlich in der EU t\u00e4tig zu werden. Das erste Abkommen lief unter der Bezeichnung \"Safe Harbor\" und sollte den Datentransfer in die USA legitimieren. Nach einer Klage von Max Schrems erkl\u00e4rte der Europ\u00e4ische Gerichtshof (EuGH) dieses Abkommen aber f\u00fcr ung\u00fcltig (siehe Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>).<\/p>\n In dessen Folge wurde dann ein Nachfolgeabkommen mit dem Namen \"Privacy Shield\" zwischen der EU und der USA f\u00fcr diese Zwecke geschlossen. Nach einer zweiten Klage von Max Schrems und dessen Datenschutzverein noyb erkl\u00e4rte der EuGH auch dieses Abkommen f\u00fcr ung\u00fcltig (siehe EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>). In beiden Urteilen wurde von den Richtern hervorgehoben, dass das Datenschutzniveau f\u00fcr EU-B\u00fcrger in den USA nicht mit den EU DSGVO-Standards vergleichbar bzw. angemessen seien.<\/p>\n Um ein Nachfolgeabkommen zu erm\u00f6glichen, wurde am 7. Oktober 2022 eine Executive Order f\u00fcr ein sogenanntes EU-U.S. Data Privacy Framework \u2013 DPF erlassen (siehe US-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>). Dieses soll einen Datenschutzrahmen gew\u00e4hrleisten, um ein neue Datenschutzabkommen (Privacy Shield 2.0) zwischen der Europ\u00e4ischen Union und den USA zu erm\u00f6glichen. Die EU-Angemessenheitsentscheidung ist nun der Schritt auf EU-Seite, um dieses Datenschutzabkommen umzusetzen.<\/p>\n Nachdem die EU-Kommission ihre vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework, der Nachfolgeregelung des EU-U.S. Privacy Shields bekannt gegeben hat, ist ein weiterer Meilenstein von Seiten der EU hin zu einem transatlantischen Datenschutzabkommen geschafft. Doch bevor die Kommission Anfang 2023 eine endg\u00fcltige Entscheidung ver\u00f6ffentlichen wird, m\u00fcssen jetzt zun\u00e4chst die Datenschutzbeh\u00f6rden der 27 EU-Staaten R\u00fcckmeldung zum Abkommen geben. Ein Zeithorizont dazu liegt mir nicht vor.<\/p>\n Die Industrie wartet aber h\u00e4nderingend auf ein solches Abkommen, da Cloud-Angebote sonst nicht rechtssicher betrieben werden k\u00f6nnen. Die Kontroverse zu diesem Thema ist ja die letzten Wochen rund um die Entscheidung der Deutschen Datenschutzkonferenz (DSK) zu fehlenden DSGVO-Konformit\u00e4t von Microsoft 365 hochgekocht (siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> und weitere Links am Artikelende).<\/p>\n Beim Schreiben dieses Artikels kam aber die Frage bei mir auf, ob ein EU-Datenschutzabkommen mit den USA da signifikant etwas an der DSK-Problematik \u00e4ndert. Ein Problem an der Einstufung der DSK war ja, dass unklar ist, welche Daten das Microsoft-Produkte beim Nutzer an pers\u00f6nlichen Daten erfasst und dann in die USA transferiert. Auch mit einem Datenschutzabkommen mit den USA m\u00fcssten Datenschutzverantwortliche in einem Unternehmen bei Anfragen eines Nutzer ja benennen k\u00f6nnen, welche pers\u00f6nlichen Daten in die USA transferiert wurden. Dieses Auskunftsrecht m\u00fcsste dann bis hin zu Microsoft greifen – und auch einer L\u00f6schaufforderung w\u00e4re nachzukommen. Schaue ich mir die Details an, kommen mir pers\u00f6nlich Zweifel, dass dieser Ansatz sichergestellt ist. Aber das ist aktuell nur eine Randnotiz, die sicherlich k\u00fcnftig einer gerichtlichen Kl\u00e4rung zugef\u00fchrt wird.<\/p><\/blockquote>\n Der ECO-Verband (Verband der Internetwirtschaft in Europa) begr\u00fc\u00dft diesen Schritt und der eco Vorstandsvorsitzende Oliver S\u00fcme teilte mit:<\/p>\n Ich begr\u00fc\u00dfe, dass mit der Entscheidung der EU- Kommission jetzt ein weiterer Schritt hin zu einer verl\u00e4sslichen L\u00f6sung beim transatlantischen Datenaustausch gegangen wurde und hoffe darauf, dass es Anfang 2023 zu einer zeitnahen Entscheidung beim EU-U.S. Data Privacy Framework kommt.<\/p>\n Insbesondere f\u00fcr viele kleine und mittelst\u00e4ndische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis f\u00fcr ihre datengetriebenen Gesch\u00e4ftsmodelle und eine gelingende digitale Transformation. Die positiven Signale auf beiden Seiten des Atlantiks m\u00fcssen nun zu einer schnellen Ratifizierung des Abkommens f\u00fchren, das den kritischen Anforderungen aller angemessen Rechnung tr\u00e4gt und die bisherige Zitterpartie f\u00fcr die Digitalbranche endlich beendet.<\/p><\/blockquote>\n Diese Position kann ich sehr gut nachvollziehen – ob die Hoffnung des Verbands auf eine \"Anfang 2023 erfolgte zeitnahe EU-Angemessenheitsentscheidung\", die mit 27 Datenschutzbeauftragten der EU-Staaten abgestimmt wurde, tr\u00e4gt, das hege ich aber pers\u00f6nlich Zweifel. Lassen wir uns \u00fcberraschen.<\/p>\n An dieser Stelle wird mir aber klar, warum aktuell eine Diskussion um die DSK-Entscheidung entbrannt ist, die ich in den Blog-Beitr\u00e4gen Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a> und MS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a> thematisiert habe. Meine Interpretation: Microsoft mauert und l\u00e4sst seine Lobbyisten los, in der Hoffnung, das Ganze bis zur offiziellen Verk\u00fcndung der EU-Angemessenheitsentscheidung klein halten zu k\u00f6nnen.<\/p>\n Was bei der ECO-Stellungnahme nicht zur Sprache kommt, ist die Frage, ob das neue Datenschutzabkommen zwischen EU und den USA auf Basis der Executive Order des US-Pr\u00e4sidenten zum Trans-Atlantic Data Privacy Framework auch vor dem Europ\u00e4ischen Gerichtshof Bestand hat. Der EuGH hat ja bereits die beiden vorherigen Abkommen gekippt. Das \"Schrems II-Urteil\" des EuGH wird von Datensch\u00fctzern ja herangezogen, um bestimmte Datentransfers in die USA zu untersagen.<\/p>\n Wie der EuGH in einer neuen Klage gegen das Trans-Atlantic Data Privacy Framework bzw. die EU-Angemessenheitsentscheidung urteilt, wei\u00df ich naturgem\u00e4\u00df nicht. Es l\u00e4sst sich aber zumindest eine grobe Einsch\u00e4tzung geben. Ich hatte im Blog-Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> zwei Stimmen von Datenschutzaktivisten, die sich mit der Materie intensiv befassen, aufgegriffen.<\/p>\n Ashley Gorski, leitende Anw\u00e4ltin beim ACLU National Security Project (USA) erkl\u00e4rte damals, dass die Anordnung \"nicht weit genug geht. Sie sch\u00fctzt die Privatsph\u00e4re von Amerikanern und Europ\u00e4ern nicht angemessen und stellt nicht sicher, dass Menschen, deren Privatsph\u00e4re verletzt wird, ihre Anspr\u00fcche von einem v\u00f6llig unabh\u00e4ngigen Entscheidungstr\u00e4ger kl\u00e4ren lassen k\u00f6nnen\".<\/p>\n Die Position von Max Schrems hat er in einer ersten Einsch\u00e4tzung<\/a> in diversen Details analysiert und so zusammen gefasst:<\/p>\n Der EuGH verlangte, dass (1) die \u00dcberwachung durch die USA im Sinne von Artikel 52 der Charta der Grundrechte (GRC) verh\u00e4ltnism\u00e4\u00dfig <\/em>ist und (2) dass gem\u00e4\u00df Artikel 47 GRC ein gerichtlicher Rechtsbehelf<\/em> eingelegt werden kann. Bidens neue Durchf\u00fchrungsverordnung scheint an beiden Anforderungen zu scheitern.<\/p><\/blockquote>\n Laut Schrems gibt es weiterhin US-Massen\u00fcberwachung, weil alle europ\u00e4ischen Daten, die an US-Provider gesendet werden, werden weiterhin in Programmen wie PRISM<\/a> und Upstream<\/a> landen, obwohl der EuGH diese \u00dcberwachung schon zweimal als nicht \"verh\u00e4ltnism\u00e4\u00dfig<\/em>\" (gem\u00e4\u00df der europ\u00e4ischen Definition des Wortes) und damit f\u00fcr illegal erkl\u00e4rt habe. In der Analyse schreibt Schrems, dass die USA die Massen\u00fcberwachung nicht einschr\u00e4nken werde – und die M\u00f6glichkeit, einen gerichtlichen Rechtsbehelf durch EU-B\u00fcrger einzulegen, faktisch nicht gegeben sei. Denn das \"Gericht\" in den USA ist letztendlich eine Beh\u00f6rde, die vorformulierte Bescheide auf Eingaben von EU-B\u00fcrgern verschickt.<\/p>\n Max Schrems, Vorsitzender des Vereins noyb.eu, meint dazu, dass sich am Ende die Definition des EuGH durchsetzen werde \u2013 und damit das neue EU-Abkommen mit den USA wahrscheinlich wieder verworfen werde.<\/p>\n Erg\u00e4nzung:<\/strong> Die Mitteilung der EU-Kommission an die Presse findet sich hier<\/a>. Die Begr\u00fcndung der EU-Kommission findet sich hier als PDF-Dokument<\/a> – die Bewertug der EU-Kommission als Kurzfassung ist hier<\/a> abrufbar. heise hat<\/a> hier einige Aussagen zur Begr\u00fcndung auf deutsch sowie Einsch\u00e4tzungen des verantwortlichen EU-Kommissars sowie von Max Schrems ver\u00f6ffentlicht.<\/p><\/blockquote>\n F\u00fcr mich ganz spannend wird dabei auch zu beobachten, wie die Datenschutzbeh\u00f6rden der 27 EU-Mitgliedsl\u00e4nder mit dem vorl\u00e4ufigen EU-Angemessenheitsbeschluss und dessen Begr\u00fcndung umgehen. Ich hatte es in diesem Kommentar<\/a> thematisiert – in der FAZ ist ein Meinungsbeitrag Microsoft 365 \u2013 so sollte Datenschutzaufsicht nicht sein<\/a> von drei Juristen aus dem Datenschutzbereich erschienen. Dort beklagen die Autoren (zurecht), dass keine gemeinsame europ\u00e4ische Abstimmung und Entscheidung erfolge. Jetzt gibt es erstmals die Chance einer Stellungnahme bzw. Abstimmung auf EU-Ebene. Und das Ganze kann dann im Fall der F\u00e4lle vor dem EuGH gekl\u00e4rt werden.<\/p>\n Pers\u00f6nlich w\u00fcrde ich so ganz ad-hoc zur vorl\u00e4ufigen Entscheidung der EU-Kommission sagen \"Nach dem Spiel, ist vor dem Spiel\". Das Thema wird uns vermutlich noch erhalten bleiben.<\/p>\n \u00c4hnliche Artikel:<\/strong> Die EU-Kommission hat zum 13. Dezember 2022 ihre vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework bekannt gegeben. Dies soll die Nachfolgeregelung des vom EuGH verworfenen EU-U.S. Privacy Shields Datenschutzabkommens werden. Noch ist die EU-Angemessenheitsentscheidung nicht rechtskr\u00e4ftig, da sie zwischen den … Weiterlesen Um pers\u00f6nliche Daten im Gesch\u00e4ftsumfeld in andere L\u00e4nder zur Verarbeitung transferieren zu k\u00f6nnen, muss dort ein im Vergleich zur EU angemessenes Datenschutzniveau herrschen. EU-B\u00fcrger m\u00fcssen im Bedarfsfall die M\u00f6glichkeit haben, Auskunft \u00fcber ihre gespeicherten Daten bekommen und diese auch l\u00f6schen lassen k\u00f6nnen. Innerhalb der EU-L\u00e4nder ist dieses Datenschutzniveau durch die DSGVO (GDPR) gew\u00e4hrleistet. Eine von der EU-Kommission getroffene EU-Angemessenheitsentscheidung (EU-Angemessenheitsbeschluss) bescheinigt einem Land ein entsprechendes Datenschutzniveau, so dass pers\u00f6nlich Daten zur Verarbeitung transferiert werden k\u00f6nnen. F\u00fcr Unternehmen schafft dies einen entsprechenden Rechtsrahmen. Die L\u00e4nder, f\u00fcr die es g\u00fcltige EU-Angemessenheitsentscheidungen\/-beschl\u00fcsse gibt, sind z.B. hier<\/a> aufgelistet.<\/p>\n
Warum diese Entscheidung jetzt?<\/h2>\n
Industrie wartet, so geht es weiter<\/h2>\n
Spannende Frage: Kommt Schrems III?<\/h2>\n
\n![\"Noyb](\"https:\/\/i.imgur.com\/wp0s2Tc.png\" "\\"Noyb")
<\/a><\/p>\n
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nDatenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"