Dieser Artikel befasst sich mit drei Bereichen, in denen der EDPB Probleme mit dem Entscheidungsentwurf der Europäischen Kommission sieht:
die Grundsätze, der Rechtsbehelfsmechanismus und das nationale Sicherheitsrecht der USA
.

Die Stellungnahme des EDSB ist nicht bindend, aber seine Analyse ist wichtig.
Viele der Kritikpunkte des EDSB könnten vom Gerichtshof der Europäischen Union (EuGH) geteilt werden.
-und jedes Unternehmen, das plant, sich auf die DPF zu verlassen, sollte darauf vorbereitet sein, dass sie scheitern könnte.

EU-US-DPF-Grundsätze

Die Grundsätze und ergänzenden Grundsätze der DPF (zusammen „die DPF-Grundsätze“) sind die Anforderungen, die zertifizierende Unternehmen bei der Verarbeitung von aus der EU importierten personenbezogenen Daten erfüllen müssen.

Die DPF-Prinzipien sind im Wesentlichen dieselben wie die des Privacy Shield. Die Grundsätze wurden nicht geändert, da sie in Schrems II nicht kritisiert wurden.

Nichtsdestotrotz,
steht der EDPB den Grundsätzen der DPF recht kritisch gegenüber.

Da die DPF-Grundsätze seit dem Privacy Shield unverändert sind, hält sich der EDPB weitgehend an die
Stellungnahme zum Privacy Shield
die von der Artikel-29-Datenschutzgruppe (WP29) angenommen wurde.

Der EDPB hält seine Bedenken aufrecht:

Aber wie bereits erwähnt, ging es in Schrems II nicht um die Grundsätze, so dass diese Kritik wohl eher akademisch ist.

Die wichtigeren Themen sind Wiedergutmachung und nationale Sicherheit.

Gerichtlicher“ Rechtsbehelf

Den betroffenen Personen stehen im Rahmen der EU-US-DSGVO zunächst sieben Rechtsbehelfe zur Verfügung, darunter eine EU-Datenschutzbehörde (DPA), eine unabhängige Streitbeilegungsstelle oder die US-amerikanische Federal Trade Commission (FTC).

Am wichtigsten ist jedoch, dass Personen, die möglicherweise von US-Geheimdiensten überwacht wurden, „Rechtsmittel“ zur Verfügung stehen.

Nach EU-Recht
hat jeder das Recht auf einen „wirksamen Rechtsbehelf vor einem Gericht“.
Das Fehlen eines wirksamen Rechtsbehelfs war einer der Hauptgründe, warum der EuGH das Privacy Shield in Schrems II für ungültig erklärte.

Damit die EU-US-DSGVO erfolgreich sein kann, muss der Rahmen ein Rechtsmittel bieten, das besser ist als die Ombudsperson des Privacy Shield, die laut EuGH „kein Gericht“ nach den Standards des EU-Rechts ist.

Der Rechtsbehelfsmechanismus der EU-US-DSGVO besteht aus zwei Ebenen:

Nach der Entscheidung der DPRC ist kein weiterer Rechtsbehelf möglich.

Wiedergutmachung: Das Gute

Positiv zu vermerken ist laut EDPB, dass der neue Rechtsbehelfsmechanismus:

Zur Unabhängigkeit stellt der EDSB fest, dass
der DPRC nicht dem Generalstaatsanwalt der USA unterstellt ist
und unterliegt nicht der „alltäglichen Aufsicht“ des Generalstaatsanwalts (allerdings gibt es hier einen Vorbehalt – siehe unten). Diese Faktoren stellen „eine erhebliche Verbesserung gegenüber dem Privacy Shield“ dar.

Wiedergutmachung: Das Schlechte

Auf der negativen Seite ist der EDPB besorgt über:

Der EDSB stellt fest, dass
das DPRC immer noch innerhalb der US-Exekutive angesiedelt ist
. Dies wirft die Frage auf, ob die Stelle wirklich unabhängig ist.

Der EDSB ist auch besorgt über die Bedeutung der „täglichen Überwachung“. Bedeutet dies, dass die DPRC-„Richter“ einer anderen Form der Aufsicht durch den Generalstaatsanwalt unterliegen werden? Dies sollte klargestellt werden.

Wiedergutmachung: Das Hässliche

Das vielleicht größte Problem für den EDSB ist die „Standardantwort“, die betroffenen Personen, die sich an den DPRC wenden, gegeben wird.


Die DPRC wird weder bestätigen noch dementieren, dass eine Person überwacht wurde.
Jeder erhält eine Standardantwort: „
Bei der Überprüfung wurden entweder keine erfassten Verstöße festgestellt oder das Datenschutzprüfungsgericht hat eine Entscheidung getroffen, die angemessene Abhilfemaßnahmen erfordert
„.

Der EDSB stimmt zu, dass ein Gleichgewicht zwischen dem „allgemein legitimen Zweck“ der Wahrung des Staatsgeheimnisses gefunden werden muss. Der Ausschuss ist jedoch besorgt darüber, dass es keine Ausnahmen von dieser allgemeinen Regel gibt.

Der EDPB sagt, dass die Entscheidungen des DPRC „begründet“ sind. Aber
der EDSB ist eindeutig nicht beeindruckt von der Standardantwort an die betroffenen Personen
in Verbindung mit der Tatsache, dass gegen Entscheidungen des DPRC kein Rechtsmittel eingelegt werden kann.

Nationale Sicherheit

Im Rahmen seiner Stellungnahme bewertete der EDSB die Vorschriften der USA über den Zugang zu und die Verwendung von personenbezogenen Daten für Zwecke der nationalen Sicherheit.

Der EDPB beurteilt das nationale Sicherheitssystem der USA durch die Brille der
Europäischen Grundgarantien
: vier Grundsätze, die eingehalten werden müssen, um einen ausreichenden Standard des Schutzes der Privatsphäre und des Datenschutzes zu gewährleisten.

Selbst unter Berücksichtigung der neuen Schutzmaßnahmen hat der EDPB Bedenken, ob die USA diese Garantien erfüllen.

Klare, präzise und zugängliche Regeln

Jeder Eingriff in die Grundrechte auf Privatsphäre und Datenschutz muss auf klaren, präzisen und zugänglichen Regeln beruhen.

Der EDSB stellt fest, dass die Überwachungsmaßnahmen (oder „signals intelligence“) der US-Behörden auf der Grundlage einer Reihe von Gesetzen und Anordnungen erfolgen, die der Öffentlichkeit zugänglich sind.

Allerdings,
ist der EDPB besorgt über die mangelnde Klarheit der Definitionen und des Anwendungsbereichs einiger dieser Rechtsinstrumente.


EO 14086
Die im Lichte von Schrems II erlassene Durchführungsverordnung, mit der die Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten verbessert werden sollen, soll klären, wann nachrichtendienstliche Tätigkeiten stattfinden können.

Die Anordnung enthält eine Liste von 12 Zielen, zu deren Erreichung die Nachrichtendienste auf personenbezogene Daten zugreifen können. Der EDSB stellt fest, dass einige dieser Ziele „allgemein“ (sprich: „vage“) sind, wie z. B. die „globale Sicherheit“.

Der EDSB empfiehlt außerdem, dass die Kommission ihren Angemessenheitsbeschluss nicht annehmen sollte
nur dann annehmen sollte, wenn die USA das EO 14086 in eine Reihe von Strategien und Verfahren für die US-Nachrichtendienste umwandeln.

Erforderlichkeit und Verhältnismäßigkeit

Einschränkungen des Rechts auf Privatsphäre und Datenschutz müssen zur Verfolgung legitimer Ziele notwendig und verhältnismäßig sein.

Der EDSB stellt fest, dass EO 14086 den Nachrichtendiensten angeblich Anforderungen an die „Verhältnismäßigkeit“ und „Notwendigkeit“ auferlegt.

Der Ausschuss kritisiert jedoch die Art und Weise, wie EO 14086 die „Massenerfassung“ behandelt, d. h. die wahllose Erfassung personenbezogener Daten zu nachrichtendienstlichen Zwecken.

Der EDSB befürwortet die Art und Weise, in der das EO 14086 der gezielten Überwachung Vorrang vor der Massenerfassung einräumt. Außerdem sieht die Anordnung begrenzte Gründe vor, auf deren Grundlage Geheimdienste Massenerhebungen durchführen können.

Allerdings,
Der EDSB beanstandet mehrere Aspekte der Art und Weise, wie EO 14086 die Massenerfassung behandelt
und zwar:

Hält der EDPB den DPF für gut oder schlecht?

Der EDPB bewertet den DPF nicht mit einer Note von zehn. Die Stellungnahme ist recht ausgewogen, aber auch recht kritisch.

Der Vorstand sieht eindeutig Verbesserungen gegenüber Privacy Shield. In der Stellungnahme werden viele Aspekte des neuen Rahmens „begrüßt“, andere (wie die Grundsätze) werden eher widerwillig akzeptiert.

Allerdings,
gibt es einige grundlegende Probleme mit der DPF, die der EDSB nicht ignorieren kann
Dazu gehören die „Standardantwort“, die das DPRC den betroffenen Personen anbietet, die fehlende Aufsicht über die Massenerhebung und die ungenauen Definitionen bestimmter wichtiger Begriffe.

Die Stellungnahme des EDSB zum Entwurf der Angemessenheitsentscheidung enthält einige Empfehlungen an die Kommission. Der EDPB kann jedoch kein Veto gegen die Annahme der Angemessenheitsentscheidung einlegen.

Unabhängig davon, ob die Angemessenheitsentscheidung erfolgreich ist oder nicht, ist die Analyse des EDSB eine hilfreiche Erinnerung an die Probleme, die zur Nichtigerklärung der Entscheidung durch den EuGH führen könnten.

Unternehmen, die planen, sich bei der Übermittlung personenbezogener Daten auf die DSGVO zu stützen, sollten in Erwägung ziehen, einen Notfallplan für den Fall zu haben, dass der Rahmen versagt.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!