{"id":283358,"date":"2023-07-05T09:24:23","date_gmt":"2023-07-05T07:24:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283358"},"modified":"2023-07-06T00:56:07","modified_gmt":"2023-07-05T22:56:07","slug":"usa-erfllen-verpflichtungen-des-eu-u-s-data-privacy-framework","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/05\/usa-erfllen-verpflichtungen-des-eu-u-s-data-privacy-framework\/","title":{"rendered":"USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework"},"content":{"rendered":"

[English<\/a>]Gem\u00e4\u00df einer Mitteilung der U.S.-Handelsministerin Gina Raimondo haben die USA jetzt ihre Verpflichtungen im Rahmen des EU-U.S. Datentransferabkommens \"Transatlantic Data Privacy Framework\" (DPF) implementiert und erf\u00fcllen nun die betreffenden Bedingungen. Ich rechne damit, dass die EU-Kommission nun zeitnah einen Angemessenheitsbeschluss erl\u00e4sst. Dann wird die Sache erneut vor den Europ\u00e4ischen Gerichtshof (EuGH) gehen, wo zu beurteilen ist, ob die Datenschutzabkommen gleichwertige Verh\u00e4ltnisse f\u00fcr EU-B\u00fcrger bieten.<\/p>\n

<\/p>\n

Mitteilung der U.S.-Handelsministerin<\/h2>\n

\"\"Ich bin die Nacht \u00fcber nachfolgenden Tweet auf die Mitteilung der U.S.-Handelsministerin Gina Raimondo<\/a> zum EU-U.S. Data Privacy Framework (DPF) gesto\u00dfen.<\/p>\n

\"US-Statment<\/p>\n

Today, the United States has fulfilled its commitments for implementing the EU-U.S. Data Privacy Framework (EU-U.S. DPF) announced by President Joe Biden and European Commission President Ursula von der Leyen in March 2022. This represents the culmination of months of significant collaboration between the United States and the EU and reflects our shared commitment to facilitating data flows between our respective jurisdictions while protecting individual rights and personal data.<\/p>\n

On June 30, Attorney General Merrick Garland designated the EU and the three additional countries making up the European Economic Area (EEA) as 'qualifying states' for purposes of implementing the redress mechanism established under Executive Order (EO) 14086 on Enhancing Safeguards for United States Signals Intelligence Activities. The designation will become effective upon the adoption of an adequacy decision by the EU for the EU-U.S. DPF. Today, the Office of the Director of National Intelligence (ODNI) confirmed that the U.S. Intelligence Community has adopted its policies and procedures pursuant to EO 14086.<\/p>\n

Taken together, the strengthened safeguards for signals intelligence activities established in EO 14086, designation of the EU\/EEA as qualifying states by the Attorney General, the adoption of the Intelligence Community's implementing procedures, and the updated EU-U.S. Data Privacy Framework Principles will enable the EU to move forward with adoption of an adequacy decision for the EU-U.S. DPF.<\/p><\/blockquote>\n

U.S.-Handelsministerin Gina Raimondo erkl\u00e4rt dort, dass die Vereinigten Staaten nun ihre Verpflichtungen zur Umsetzung des von Pr\u00e4sident Joe Biden und der Pr\u00e4sidentin der Europ\u00e4ischen Kommission Ursula von der Leyen im M\u00e4rz 2022 angek\u00fcndigten EU-US-Datenschutzrahmens (EU-U.S. Data Privacy Framework) erf\u00fcllt haben. Ich hatte im Beitrag Vorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a> \u00fcber diese \"Einigung\" berichtet.<\/p>\n

Seit dieser Zeit lag es an der US-Regierung, die Presidential Order mit Leben zu f\u00fcllen und die Verpflichtungen umzusetzen. Dieser Schritt ist nun wohl vollzogen, wie die US-Handelsministerin verk\u00fcndet. Von Seiten der EU-Kommission muss nun ein sogenannter Angemessenheitsbeschluss erlassen werden, damit das EU-U.S. Data Privacy Framework (EU-U.S. DPF) formal in Kraft treten kann.<\/p>\n

Was ist der Zweck?<\/h2>\n

F\u00fcr Leser, die nicht so in der Materie stecken, einige S\u00e4tze zum Hintergrund. Damit Europ\u00e4ische Firmen Daten zur Verarbeitung ins Ausland transferieren k\u00f6nnen, muss der Zielstaat die gleichen Datenschutzvorgaben wie innerhalb der europ\u00e4ischen Union gew\u00e4hrleisten. In L\u00e4ndern der Europ\u00e4ischen Union (EU) ist dies durch die DSGVO (englisch GDPR) gew\u00e4hrleistet. Die EU-Kommission kann aber im Rahmen eines Angemessenheitsbeschlusses feststellen, dass ein Zielland ebenfalls dieses Datenschutzniveau f\u00fcr B\u00fcrger der EU erreicht.<\/p>\n

Ein Problem stellt seit Inkrafttreten der DSGVO im Mai 2018 die USA dar. Alle US-Cloud-Anbieter und Software-Anbieter, deren Produkte pers\u00f6nliche Daten von B\u00fcrgern der Europ\u00e4ischen Union auf Server au\u00dferhalb der EU \u00fcbertragen, d\u00fcrften ohne Abkommen mit den USA nicht in der EU eingesetzt werden. Die EU-Kommission hatte dies durch das sogenannte \"Safe Harbor\"-Abkommen mit den USA heilen und einen Rahmen zum Datentransfer schaffen wollen. Nach Klagen von Datensch\u00fctzern landete der Fall vor dem Europ\u00e4ischen Gerichtshof (EuGH) in Luxemburg, der das Abkommen als nicht gleichwertig mit der DSGVO einstufte und das Ganze kippte (siehe Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>).<\/p>\n

Die wackeren Strategen der EU-Kommission blieben nicht unt\u00e4tig und zauberten ein zweites Abkommen mit dem klingenden Namen \"Privacy Shield\" mit den USA aus dem Hut. Da trotz neuen Namens der Inhalt aber weitgehend gleich blieb, landete das Abkommen erneut vor dem Europ\u00e4ischen Gerichtshof (EuGH) in Luxemburg, der das Abkommen als nicht gleichwertig mit der DSGVO einstufte und das Ganze kippte (siehe EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>).<\/p>\n

Das EU-U.S. Data Privacy Framework (DPF) ist nun der dritte Versuch der EU-Kommission und der USA, das Problem des fehlenden Datenschutzabkommens zu heilen. In den am Beitragsende verlinkten Artikeln hatte ich die bisherige Geschichte nachgezeichnet, die EU-Kommission hatte zum Jahreswechsel 2022\/2023 bereits eine vorl\u00e4ufige Angemessenheitsentscheidung getroffen (siehe EU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a>).<\/p>\n

Bewertung des Ganzen<\/h2>\n

Das neue EU-U.S. Data Privacy Framework (DPF) soll aus Sicht der EU-Kommission nun den rechtlichen Rahmen f\u00fcr den Transfer pers\u00f6nlicher Daten von EU-B\u00fcrgern in die USA schaffen. Formal erwarte ich nun, dass die EU-Kommission zeitnah einen Angemessenheitsbeschluss erl\u00e4sst und diesen verk\u00fcndet. Denn die \"Wirtschaft\" wartet dringend auf ein g\u00fcltiges Datenschutzabkommen mit den USA, denn formal kann selbst Software wie Microsoft Office oder Windows wegen des unklaren Datenabflusses nicht eingesetzt werden (sieh z.B. Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>). Sogenannte \"Berater\" argumentieren daher seit Herbst 2022 damit, dass das nur ein kleines formales Problem sei, weil das EU-U.S. Data Privacy Framework (DPF) \"ja bald komme und den Rechtsrahmen schaffe\".<\/p>\n

Das Ganze steht und f\u00e4llt aber mit der Frage, ob das neue DPF-Abkommen EU-B\u00fcrgern in den USA den den gleichen Rechtsschutz bez\u00fcglich pers\u00f6nlicher Daten wie in der EU gew\u00e4hrt. Final wird man die zu erwartende Klage von Datensch\u00fctzern gegen das EU-U.S. Data Privacy Framework (DPF) vor dem Europ\u00e4ischen Gerichtshof (EuGH) und die dann zu treffenden Entscheidung der Richter abwarten m\u00fcssen.<\/p>\n

Aber das Ganze h\u00e4ngt ja nicht im lufleeren Raum, sondern Datensch\u00fctzer und Datenschutzaktivisten haben sich das Konstrukt des EU-U.S. Data Privacy Framework (DPF)bereits n\u00e4her angesehen. Max Schrems von der \u00f6sterreichischen Organisation noyb, der die beiden Klagen gegen Safe Harbor und Privacy Shield vor dem EuGH gewonnen hatte, geht in seinen Einsch\u00e4tzungen davon aus, dass seine dritte Klage vor dem EuGH gegen das DTF ebenfalls erfolgreich sein wird.<\/p>\n

Ich hatte dazu im Blog-Beitrag EU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a> erste Stellungnahmen von Datenschutzaktivisten aus Europa (noyb) und aus den USA zusammen getragen. Kann man als \"interessensgeleitet\" kategorisieren und mit \"klingeln geh\u00f6rt zum Handwerk\" abtun – genau wie das Credo der \"Berater\", dass mit dem DPF \"bald alles in Ordnung sei\". Sehr aufschlussreich fand ich in diesem Kontext aber die Stellungnahme des Bundesbeauftragten f\u00fcr den Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, und dessen europ\u00e4ischen Kollegen vom Europ\u00e4ische Datenschutzausschuss (EDSA). Beide Stellen hegen schwere Bedenken bez\u00fcglich der Frage, ob das DPF ein mit zur DSGVO gleichwertiges Datenschutzniveau f\u00fcr EU-B\u00fcrger in den USA samt Rechtsschutz gew\u00e4hrt. Die Auslegungen in den USA sind nun mal fundamental anders als die Interpretation in Europa durch die EU-Kommission.<\/p>\n

Ich hatte diesen Konflikt sowie die Bedenken der Datensch\u00fctzer bereits im Blog-Beitrag Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework<\/a> aufgegriffen. Meine pers\u00f6nliche Einsch\u00e4tzung: Die EU-Kommission wird den Angemessenheitsbeschluss formal verk\u00fcnden, \"Industrie, Beh\u00f6rden und US-Cloud-Anbieter\" werden jubeln, aber die Organisation noyb wird Klage gegen das Abkommen vor dem EuGH einreichen. Und dann sehe ich die Wahrscheinlichkeit als recht hoch an, dass auch dieses dritte Datenschutzabkommen zwischen EU und USA scheitert, und alles \"zur\u00fcck auf los\" gestellt wird.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nDatenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a>
\nStellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Gem\u00e4\u00df einer Mitteilung der U.S.-Handelsministerin Gina Raimondo haben die USA jetzt ihre Verpflichtungen im Rahmen des EU-U.S. Datentransferabkommens \"Transatlantic Data Privacy Framework\" (DPF) implementiert und erf\u00fcllen nun die betreffenden Bedingungen. Ich rechne damit, dass die EU-Kommission nun zeitnah einen Angemessenheitsbeschluss … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,451],"class_list":["post-283358","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283358"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283358\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}