{"id":284444,"date":"2023-07-31T12:49:40","date_gmt":"2023-07-31T10:49:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284444"},"modified":"2024-08-23T22:02:05","modified_gmt":"2024-08-23T20:02:05","slug":"datenaustausch-mit-den-usa-per-eu-u-s-data-privacy-framework-eine-bestandsaufnahme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/31\/datenaustausch-mit-den-usa-per-eu-u-s-data-privacy-framework-eine-bestandsaufnahme\/","title":{"rendered":"Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme"},"content":{"rendered":"

Am 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss f\u00fcr das EU-U.S. Datentransferabkommens \"Transatlantic Data Privacy Framework\" (DPF) gef\u00e4llt. Damit soll der Transfer privater Daten zu US-Cloud-Anbietern und -Unternehmen legalisiert werden. Die Wirtschaft feierte zwar den Beschluss, aber noch ist nichts in trockenen T\u00fcchern. Hier nochmals eine kurze Bestandaufnahme, wie sich die Sachlage aktuell darstellt und was von gerichtlicher Seite (EuGH) zu erwarten ist.<\/p>\n

<\/p>\n

Worum es beim DPF geht<\/h2>\n

\"\"Um pers\u00f6nliche Daten von EU-B\u00fcrgern ins Ausland transferieren zu k\u00f6nnen, muss laut Datenschutzgrundverordnung in den verarbeitenden L\u00e4ndern der gleiche Rechtsschutz wie innerhalb der EU f\u00fcr betroffene B\u00fcrger gelten. Die EU-Kommission hat einzelne L\u00e4nder durch einen sogenannten Angemessenheitsbeschluss in diese Gruppe entsprechender Staaten eingestuft. Mit den USA, die mehr oder weniger die IT-Angebote f\u00fcr europ\u00e4ische Firmen bestimmen, wurde dies mit Datenschutzabkommen versucht.<\/p>\n

Problem ist leider, dass die Rechtsrahmen zwischen EU und USA bez\u00fcglich des Datenschutzniveaus f\u00fcr EU-B\u00fcrger nicht passen. EU-B\u00fcrger sind diesbez\u00fcglich in den USA Menschen zweiter Klasse, obwohl die EU-Kommission genau das gleiche Datenschutzniveau ihrer B\u00fcrger bei Verarbeitung pers\u00f6nlicher Daten durch US-Unternehmen gew\u00e4hrleisten muss. Und so f\u00e4llt die EU-Kommission mit ihren ausgehandelten US-Datenschutzabkommen juristisch auf den Bauch.<\/p>\n

\"EU-US<\/a><\/p>\n

Obiger Screenshot eines Tweets von Max Schrems zeigt das aktuell herrschende Dilemma. Als erstes wurde zwischen EU und den USA das sogenannte \"Safe Harbor\"-Abkommen geschlossen, welches regelt, dass personenbezogene Daten europ\u00e4ischer Nutzer von in der EU gehosteten Servern an die USA \u00fcbermittelt werden d\u00fcrfen. Der \u00d6sterreicher Max Schrems f\u00fchrte gegen Facebook Irland eine Klage vor dem Europ\u00e4ischen Gerichtshof (EuGH). Das Safe Harbor<\/em>-Abkommen wurde dann 2015 von den Richtern in Luxemburg ersatzlos gekippt (siehe Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>).<\/p>\n

Damit war der Datentransfer oder die Speicherung von Daten in der von US-Anbietern gehosteten Cloud rechtlich schon nicht mehr gedeckt. Firmen setzten nat\u00fcrlich wieder besseres Wissen weiterhin auf diese als \"alternativlos\" empfundenen Angebote und hofften auf ein neues Abkommen, was vor dem EuGH h\u00e4lt. Die wackere EU-Kommission hat das Ganze dann in einen neuen, schicken Begriff \"Privacy Shield\" gekleidet und das Abkommen mit den USA abgeschlossen. Max Schrems mit seiner Organisation noyb hat dieses Abkommen dann \u00fcber den Rechtsweg erneut und final vor dem EuGH in Luxemburg pr\u00fcfen lassen. Erwartungsgem\u00e4\u00df wurde das Abkommen 2020 von den Richtern des EuGH kassiert, da auch \"Privacy Shield\", trotz klingendem Namen, nichts an der Schieflage des Datenschutzniveaus f\u00fcr EU-B\u00fcrger in den USA \u00e4ndern (siehe mein Blog-Beitrag EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>).<\/p>\n

Gem\u00e4\u00df dem Motto \"aller schlechten Dinge sind Drei\" hat die EU-Kommission unter der aktuellen Pr\u00e4sidentin Ursula von der Leyen ein neues Datenschutzabkommen mit den USA angeleiert (siehe US-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>). Das Ganze nennt sich nun Trans-Atlantic Data Privacy Framework<\/em> (DTF) und beruht auf einem Erlass des US-Pr\u00e4sidenten. Die EU-Kommission hat dann einen sogenannten Angemessenheitsbeschluss gefasst, die dem Abkommen das gleiche Datenschutzniveau f\u00fcr EU-B\u00fcrger bei Verarbeitung pers\u00f6nlicher Daten in den USA bescheinigt, wie innerhalb der EU.<\/p>\n

Dritter Anlauf zum Scheitern?<\/h2>\n

Ich hatte bereits im Blog-Beitrag EU-Kommission f\u00e4llt Angemessenheitsbeschluss f\u00fcr EU-U.S. Data Privacy Framework<\/a> einen Abriss gegeben, wie dieses neue \"Abkommen\" von der NGO-Organisation noyb sowie von Datenschutzorganisationen wie der europ\u00e4ischen ESDA und des deutschen BfDI gesehen wird. Kurzfassung: Das Abkommen wird vom EuGH \u00fcberpr\u00fcft werden und nach bisheriger Einsch\u00e4tzung mit hoher Wahrscheinlichkeit erneut scheitern.<\/p>\n

Max Schrems uns seine Organisation noyb hat das Abkommen samt seiner Implikationen analysiert und schreibt hier<\/a>, dass das angeblich \"neue\" transatlantische Datenschutzabkommen weitgehend eine Kopie des gescheiterten \"Privacy Shield\"-Abkommens sei. Anders als von der Europ\u00e4ischen Kommission behauptet, \u00e4ndert sich am US-Recht wenig: das grunds\u00e4tzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nach wie vor nur US-Personen verfassungsm\u00e4\u00dfige Rechte haben und nicht anlasslos \u00fcberwacht werden d\u00fcrfen. EU-B\u00fcrger sind weitgehend schutzlos, d\u00fcrfen anlasslos \u00fcberwacht werden und haben, anders als von der EU-Kommission in wohlklingenden Dokumenten beschrieben, auch keinen wirklichen Rechtsschutz in den USA.<\/p>\n

\"EU-US<\/p>\n

Die Tage bin ich \u00fcber obigen Tweet auf diesen Artikel<\/a> bei heise gesto\u00dfen, wo Max Schrems die Regulierung des DCF kommentiert und von einer vertanen Chance spricht, ein Datenschutzabkommen mit den USA auszuhandeln, dass auch vor dem EuGH wegen seiner wirklichen Angemessenheit Bestand hat. F\u00fcr interessierte Leser vielleicht ganz lesenswert.<\/p>\n

Organe der EU handeln gegen die B\u00fcrger<\/h2>\n

Der obige Fall ist ein Beispiel, wo die Interessen der EU-B\u00fcrger zum Schutz pers\u00f6nlicher Daten durch die EU-Kommission nicht wirklich wahrgenommen werden. Insider gehen davon aus, dass der Ukraine-Konflikt das \"Abkommen\" zum Trans-Atlantic Data Privacy Framework<\/em> (DTF) befl\u00fcgelt haben, obwohl sich substantiell nichts ge\u00e4ndert hat. Und es deutet sich an, dass \"die Politik\" substantiell daran arbeitet, nicht Regierungsorganisationen wie noyb mundtot zu machen.<\/p>\n

In den am Beitragsende verlinkten Blog-Beitr\u00e4gen hatte ich dokumentiert, wie die irische Datenschutzbeh\u00f6rde (DPC) dort angesiedelte US-Unternehmen systematisch in Bezug auf die DSGVO und erfolgter Datenschutzverst\u00f6\u00dfe sch\u00fctzt. Die irischen DPC muss oft von den nationalen Datenschutzbeh\u00f6rden gezwungen werden, nach Verst\u00f6\u00dfen Bescheide mit Strafzahlungen gegen solche Firmen zu erlassen bzw. die auferlegten Bu\u00dfgelder zu erh\u00f6hen.<\/p>\n

\"EU-Kommissar<\/a><\/p>\n

Nun wurde von der irischen Regierung ein Gesetz verabschiedet, mit dem europ\u00e4ische Datensch\u00fctzern ein Maulkorb verpasst werden kann – ich hatte im Beitrag Irische Datenschutzbeh\u00f6rde soll Kritikern Maulkorb verpassen k\u00f6nnen<\/a> dar\u00fcber berichtet. Und am 11. Juli 2023 hat EU-Kommissar Didier Reynders (Justiz) wohl auf einer Pressekonferenz non-profit-Organisationen wie noyb angegriffen. Der Vorwurf lautet (zum dritten Mal), dass B\u00fcrger und \"gemeinn\u00fctzige Organisationen\" F\u00e4lle vor dem EuGH als \"Gesch\u00e4ftsmodell\" vorbringen. Dieses Narrativ wurde hier in den Kommentaren im Blog auch bereits erhoben, kann ich so nicht stehen lassen.<\/p>\n

Dies sehe ich als einen inakzeptablen Angriff auf die Arbeit von B\u00fcrgerrechtsorganisationen. Max Schrems arbeitet als Vorsitzender von noyb pro bono. Da Kommissar Reynders diese h\u00f6chst respektlosen und falschen Behauptungen wiederholt vorgebracht hat, fordert Max Schrems in einem offenen Brief<\/a> eine offizielle Richtigstellung und Entschuldigung. Da passt auch der<\/p>\n

\"EU-Kommission<\/p>\n

Da passt dann auch obiger Tweet ins Bild, nach dem US-Beh\u00f6rden Fingerabdr\u00fccke und Gesichtsbilder in insgesamt 40 Staaten abfragen wollen, wobei die meisten davon in Europa gespeichert sind. Mit einem Kniff setzt sich die EU-Kommission an die Spitze der Gespr\u00e4che \u00fcber das Vorhaben, schreibt netzpolitik.org in diesem aktuellen Artikel<\/a>. Die Herausgabe dieser Daten ist in der EU ein sehr kontrovers diskutiertes Thema, was die EU-Kommission jetzt kapern will und m\u00f6glicherweise\u00a0 erneut von Gerichten gestoppt werden wird.<\/p>\n

Interessante Einsch\u00e4tzung von reuschlaw<\/h2>\n

Abschlie\u00dfend noch ein kleiner Informationssplitter von den Juristen von reuschlaw, die auf dem Gebiet DSGVO-konforme Cloud beraten. Ich hatte deren Einsch\u00e4tzungen zum Sachverhalt, dass die deutsche Datenschutzkommission den Einsatz von Office 365 als nicht DSGVO-konform einstufte, im Blog-Beitrag MS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a> aufgegriffen. Stefan Hessel hat auf Twitter nachfolgenden \"One Pager\" zum Thema EU-U.S. Data Privacy Framework eingestellt.<\/p>\n

<\/p>\n

Erste Aussage: Ein Scheitern des entsprechenden Datenschutzabkommens vor dem EuGH \"kann nicht ausgeschlossen werden\". Zweite Aussage: Wer sich auf den seit dem 10. Juli 2023 geltenden EU-Angemessenheitsbeschluss zum DTF beruft (siehe auch die EDBP-Stellungnahme<\/a>) und Daten an US-Unternehmen zur Verarbeitung \u00fcbertr\u00e4gt, muss bestimmte Ma\u00dfnahmen treffen. Dazu geh\u00f6rt auch die Pr\u00fcfung, dass das US-Unternehmen die erforderliche Selbstzertifizierung erfolgreich durchlaufen hat. Und das muss einerseits in der Datenschutzdokumentation ber\u00fccksichtigt werden. Zudem ist zum \u00fcberwachen, dass das US-Unternehmen seine Zertifizierung aufrecht erh\u00e4lt. Von reuschlaw hie\u00df<\/a> es auch, dass die Datenschutzkonferenz (DSK) eine Neubewertung von Microsoft 365 im Hinblick auf den DSGVO-konformen Einsatz vornehmen will. Dort liegt bisher (nach meinen Kenntnissen) noch kein Ergebnis vor.<\/p>\n

F\u00fcr das allseits in Firmen eingesetzte Microsoft 365 gibt es inzwischen noch eine andere Entwicklung, die es bei n\u00fcchterner Betrachtung ungeeignet erscheinen l\u00e4sst, Microsoft weiterhin als Partner in diesem Bereich einsetzen zu k\u00f6nnen. Ich beziehe mich diesbez\u00fcglich auf meinen Blog-Beitrag GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>, wo Microsoft zugeben musste, dass angeblich chinesische Hacker der Gruppe \"Storm-0558\" Zugriff auf die gesamte Microsoft Cloud hatten.<\/p>\n

Daniela hat gerade in diesem Kommentar<\/a> auf den Artikel \"Fahrl\u00e4ssige Praktiken\": US-Senator kritisiert Microsoft scharf<\/a> bei Inside IT hingewiesen. US-Senator Ron Wyden erhebt schwere Vorw\u00fcrfe gegen Microsoft, u.a. dass der beim Hack verwendete Schl\u00fcssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Der Hack wurde 2023 bemerkt. Zudem h\u00e4tte Microsoft laut Wyden keinen einzigen Skeleton Key haben d\u00fcrfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Es handelt sich also um einen h\u00f6chst unzuverl\u00e4ssigen Anbieter, der im Umkehrschluss die DSGVO-Konformit\u00e4t und -Sicherheit der \u00fcbermittelten Daten nicht sicherstellen kann.<\/p>\n

Hans hat mich am Wochenende auf diesen Text<\/a> von FeFe hingewiesen, der es sch\u00f6n auf den Punkt bringt. Zitat \"Einer Schlie\u00dffach-Firma, bei der sich rausstellt, dass jedes Schlie\u00dffach mit jedem Schl\u00fcssel zu \u00f6ffnen ist, w\u00fcrde man ja auch nie wieder vertrauen.\" Den Schluss zu ziehen, Microsoft jetzt rauszuwerfen, wird bei vielen Firmen nicht passieren, es wird weitergewurschtelt, bis zum Crash.<\/p><\/blockquote>\n

Kritik am Foreign Intelligence Surveillance Act<\/h3>\n

Erg\u00e4nzung: Es wurde ja in den nachfolgenden Kommentaren angerissen, dass das Abkommen \"eine \u00dcberwachung europ\u00e4ischer B\u00fcrger\" verhinderte. Mir ist gerade ein interessanter Artikel<\/a> aus der FAZ unter die Augen gekommen.<\/p>\n

\"Kritik<\/p>\n

Laut dem Artikel mussten Berater von US-Pr\u00e4sident Biden einen \"unangemessenen Einsatz\" des Foreign Intelligence Surveillance Act einger\u00e4umt. Dieser erlaubt Geheimdienstbeh\u00f6rden die \u00dcberwachung von Nicht-US-B\u00fcrgern im Ausland. Section 702 des Acts erlaubt Geheimdienstbeh\u00f6rden (FBI, NSA) die \u00dcberwachung elektronischer Kommunikation von Nicht-US-B\u00fcrgern im Ausland, ohne gerichtliche Veranlassung. Da auch US-B\u00fcrger ausspioniert wurden, steht die Regelung in den USA in der Kritik.<\/p>\n

\"Gleichg\u00fcltigkeit, ein Mangel an geeigneten Verfahren sowie die schiere Masse\" an \u00dcberwachung habe zum \"unangemessenen Einsatz\" der sogenannten Section 702 im Foreign Intelligence Surveillance Act durch die US-Bundespolizei FBI gef\u00fchrt, erkl\u00e4rte das Gremium aus unabh\u00e4ngigen Beratern des US-Pr\u00e4sidenten am Montag. Eine Abschaffung des Verfahrens sei allerdings ein schwerer Fehler hei\u00dft es. Kurzfazit: Die Daten, die im Rahmen des EU-US Data Privacy Framework DPF transferiert werden, werden wie bisher in die Geheimdienstprogramme (PRISM etc.) eingespeist – genau dies, was eigentlich durch DPF verhindert werden sollte.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nDatenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a>
\nStellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework<\/a>
\nEntschlie\u00dfung des EU-Parlaments zum US-EU Framework (Mai 2023)<\/a>
\nUSA erf\u00fcllen Verpflichtungen des EU-U.S. Data Privacy Framework<\/a>
\nEU-Kommission f\u00e4llt Angemessenheitsbeschluss f\u00fcr EU-U.S. Data Privacy Framework<\/a><\/p>\n

Max Schrems und noyb stellen Strafanzeige gegen irische DPC<\/a>
\nIrische DPC fordert noyb zur L\u00f6schung von Facebook-Entscheidungsentwurf auf<\/a>
\nWie Irlands IDPC systematisch Google, Facebook & Co. vor DSGVO-Verfahren sch\u00fctzt<\/a>
\nEuGH erkl\u00e4rt Facebooks\/Metas DSGVO-Regeln f\u00fcr illegal<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Am 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss f\u00fcr das EU-U.S. Datentransferabkommens \"Transatlantic Data Privacy Framework\" (DPF) gef\u00e4llt. Damit soll der Transfer privater Daten zu US-Cloud-Anbietern und -Unternehmen legalisiert werden. Die Wirtschaft feierte zwar den Beschluss, aber noch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451],"class_list":["post-284444","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284444"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284444\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}