Am 13. Dezember hat die Europäische Kommission
veröffentlicht.
den Entwurf eines Angemessenheitsbeschlusses zur Genehmigung des EU-US-Datenschutzrahmens (EU-US DPF), eines neuen Rahmens, der es EU-Organisationen ermöglichen würde, personenbezogene Daten frei an Organisationen mit Sitz in den USA zu übermitteln.
Unternehmen auf beiden Seiten des Atlantiks befinden sich seit Juli 2020 in einem rechtlichen Schwebezustand, als der bisherige Rahmen für die Datenübermittlung, Privacy Shield, vom Gerichtshof der Europäischen Union (EuGH) in seiner Entscheidung „Schrems II“ abgeschmettert wurde.
In den letzten zweieinhalb Jahren haben viele Unternehmen und Regierungen verzweifelt auf eine neue Angemessenheitsentscheidung gewartet, insbesondere weil das Gericht auch die Gültigkeit anderer Übertragungsmechanismen wie Standardvertragsklauseln (SCC) in Frage stellte.
Aber wird die EU-US-DSGVO das Problem des Datentransfers langfristig lösen?
Nicht, wenn es nach Max Schrems geht. Der Verfechter des Schutzes der Privatsphäre hat bereits deutlich gemacht, dass er sich auf eine „dritte Runde“ vor dem EuGH vorbereitet.
Dieser Artikel gibt einen Überblick über die wichtigsten Merkmale der EU-US-DSGVO, zeigt die Einwände von Schrems gegen den neuen Rahmen auf und untersucht, wie die Angemessenheitsentscheidung bei einer Anfechtung vor dem EuGH abschneiden würde.
Die bisherige Geschichte
- 2000: Die Europäische Kommission erlässt eine Angemessenheitsentscheidung zur Genehmigung des „Safe Harbor“-Rahmens, der den freien Fluss personenbezogener Daten an zertifizierte US-Organisationen ermöglicht.
- 2013: Die Snowden-Leaks enthüllen das Ausmaß der US-Überwachungsaktivitäten im Rahmen der Programme „PRISM“ und „Upstream“, was zu wachsender Besorgnis über die Wirksamkeit von Safe Harbor beim Schutz personenbezogener Daten vor staatlicher Überwachung führt.
- 2013: Max Schrems reicht seine erste Beschwerde gegen Facebook bei der irischen Datenschutzkommission (DPC) ein. Er behauptet, das soziale Netzwerk verletze seine Datenschutzrechte, indem es seine persönlichen Daten an die Muttergesellschaft in den USA weitergibt.
- 2015: „Schrems I“: Nach einer Vorlage des DPC in der Rechtssache Schrems erklärt der EuGH die Angemessenheitsentscheidung zur Annahme von Safe Harbor für ungültig.
- 2016: Die Europäische Kommission nimmt einen Angemessenheitsbeschluss an, mit dem ein neuer Rahmen für die Datenübermittlung, der sogenannte „Privacy Shield“, genehmigt wird.
- 2017: Max Schrems reicht eine weitere Beschwerde ein, in der er Facebook vorwirft, seine persönlichen Daten nicht zu schützen.
- 2020: „Schrems II“: Der EuGH erklärt die Angemessenheitsentscheidung zum Privacy Shield für ungültig. Das Gericht stellt außerdem fest, dass SCCs nicht in allen Fällen eine konforme Datenübermittlung ermöglichen.
- 2022: Im Oktober erlässt die Biden-Regierung eine Durchführungsverordnung, die die Grundlage für das DPF zwischen der EU und den USA bildet. Im Dezember veröffentlicht die Kommission den Entwurf einer Entscheidung zur Angemessenheit des Rechtsrahmens.
Probleme mit dem Privacy Shield
Um eine gerichtliche Anfechtung zu überstehen, müsste die EU-US-DSGVO die Probleme überwinden, die der EuGH beim Vorgänger des neuen Rahmens, dem Privacy Shield, festgestellt hat.
Der EuGH hat mehrere Probleme mit dem „Privacy Shield“-Rahmen festgestellt, darunter die folgenden:
- Ombudsmann: Der EuGH stellte fest, dass die Ombudsperson des Privacy Shield, die für die Bearbeitung von Beschwerden von EU-Bürgern zuständig war, nicht über ausreichende Unabhängigkeit und Befugnisse verfügte.
- Zugang zu personenbezogenen Daten durch US-Geheimdienste: Der EuGH stellte fest, dass die Durchführungsverordnung zum Privacy Shield die Tätigkeit der US-Geheimdienste nicht angemessen einschränkt.
- Rechtsmittel: Der EuGH stellte fest, dass der Rahmen des Privacy Shield dem Einzelnen keine ausreichenden Rechtsbehelfe für den Fall einer Verletzung seiner Datenschutzrechte bietet.
Grundsätzlich stellte das Gericht fest, dass das Privacy Shield keine ausreichenden Garantien dafür bietet, dass personenbezogene Daten, die in die USA übermittelt werden, in gleicher Weise geschützt werden wie in der EU.
Überblick über das neue Abkommen
Im Oktober setzte die Regierung Biden den neuen Rahmen mit der Executive Order 14086 (
EO 14086
) und die
Datenschutz-Überprüfungsgerichtsverordnung
die vom US-Justizministerium (DoJ) erlassen wurden.
In ihrem Entwurf eines Angemessenheitsbeschlusses prüft die Europäische Kommission diese Rechtsinstrumente und stellt fest, dass die EU-US-DSGVO im Wesentlichen gleichwertige Garantien für personenbezogene Daten bietet, wie sie nach EU-Recht bestehen.
Die Angemessenheitsentscheidung ist noch nicht rechtskräftig (mehr dazu am Ende dieses Artikels).
Hier finden Sie einen Überblick über die Rahmenbedingungen und die Bewertung der Kommission.
Grundsätze
Sobald sie im Rahmen der EU-US-DSGVO zertifiziert sind, müssen Organisationen die „EU-US-DSGVO-Grundsätze“ in Bezug auf importierte personenbezogene Daten befolgen.
Die Grundsätze der EU-US DPF sind:
- Hinweis
- Auswahl
- Verantwortlichkeit für die Weiterübermittlung
- Sicherheit
- Datenintegrität und Zweckbindung
- Zugang
- Rückgriff, Durchsetzung und Haftung
Der Rahmen enthält auch „ergänzende Grundsätze“. Diese erweitern die Grundsätze der EU-US-DSGVO und enthalten Informationen über Selbstzertifizierung, Verarbeitung sensibler Daten, Ausnahmen und Durchsetzung.
Die Grundsätze bleiben seit Privacy Shield (und sogar Safe Harbor) weitgehend unverändert.
Nachrichtendienstliche Aktivitäten
In der Angemessenheitsentscheidung wird auch die Wirksamkeit der Beschränkungen für die Tätigkeit der US-Geheimdienste bewertet.
Neben anderen Erwägungen hebt die Kommission die folgenden Aspekte von EO 14086 und seine Einschränkungen für Nachrichtendienste hervor:
- Sie gilt für alle Aktivitäten im Bereich der Nachrichtenübermittlung (Erhebung, Nutzung, Verbreitung usw.).
- Sie schreibt vor, dass solche Aktivitäten auf einem Gesetz oder einer Ermächtigung des Präsidenten beruhen und mit dem US-Recht vereinbar sein müssen.
- Sie verlangt, dass geeignete Schutzmaßnahmen vorhanden sein müssen, um sicherzustellen, dass der Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der Planung von nachrichtendienstlichen Tätigkeiten berücksichtigt wird.
- Es schreibt vor, dass jegliche nachrichtendienstliche Tätigkeit nur durchgeführt werden darf, „nachdem auf der Grundlage einer angemessenen Bewertung aller relevanten Faktoren festgestellt wurde, dass die Tätigkeiten notwendig sind, um eine bestätigte nachrichtendienstliche Priorität voranzubringen“.
- Sie schreibt vor, dass solche Aktivitäten nur in dem Umfang und auf eine Weise durchgeführt werden dürfen, die in einem angemessenen Verhältnis zu der bestätigten nachrichtendienstlichen Priorität stehen, für die sie genehmigt wurden.
- Sie verlangt, dass ein Gleichgewicht „zwischen der Bedeutung der angestrebten nachrichtendienstlichen Priorität und den Auswirkungen auf die Privatsphäre und die bürgerlichen Freiheiten der betroffenen Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Aufenthaltsort, hergestellt werden muss“.
Insgesamt stellt die Kommission fest, dass die Durchführungsverordnung „die Bedingungen, Beschränkungen und Sicherheitsvorkehrungen stärkt, die für alle nachrichtendienstlichen Tätigkeiten gelten, unabhängig davon, wo sie stattfinden“.
Rechtsbehelf und Rechtsmittel
Das Datenschutz-Überprüfungsgericht (Data Protection Review Court, DPRC) ist ein neuer Mechanismus, der die Ombudsperson des Privacy Shield ersetzt und Personen, deren Rechte im Rahmen der EU-US-DSGVO verletzt wurden, Rechtsschutz bieten soll.
Die US-Regierung hat ein zweistufiges System eingeführt, mit dem sich EU-Bürger über nachrichtendienstliche Aktivitäten der USA beschweren können, die möglicherweise ihre Rechte auf den Schutz personenbezogener Daten verletzen.
- Die erste Stufe besteht darin, eine Beschwerde beim Civil Liberties Protection Officer (CLPO) des US-Geheimdienstes einzureichen, der dann die erforderlichen Abhilfemaßnahmen ergreifen kann.
- In der zweiten Stufe wird gegen die Entscheidung des CLPO beim neu geschaffenen Datenschutzüberprüfungsgericht (DPRC) Berufung eingelegt.
Das DPRC wird sich aus Mitgliedern zusammensetzen, die von außerhalb der US-Regierung ernannt werden, und die Befugnis haben, Beschwerden zu untersuchen, einschlägige Informationen von Geheimdiensten einzuholen und verbindliche Abhilfeentscheidungen zu treffen.
Schrems‘ Einwände
Max Schrems hat wiederholt seine Absicht bekundet, den neuen Angemessenheitsbeschluss anzufechten, sobald er angenommen ist (oder sogar schon vorher), was bedeutet, dass die DPF EU-USA am Ende das gleiche Schicksal erleiden könnte wie ihre Vorgänger.
In einer
Erklärung
nach der Verabschiedung des EO 14086 kritisierte die von Schrems geleitete Datenschutzgruppe noyb mehrere Aspekte des neuen Rahmens.
Notwendigkeit und „Verhältnismäßigkeit“?
In dem Versuch, die Bedenken des EuGH hinsichtlich der weitreichenden Befugnisse der US-Geheimdienste auszuräumen, führt EO 14086 die EU-Konzepte der „Notwendigkeit“ und „Verhältnismäßigkeit“ ein, die in Artikel 52 der EU-Grundrechtecharta enthalten sind.
Diese Formulierung ersetzt die Forderung des Privacy Shield, dass nachrichtendienstliche Tätigkeiten „so maßgeschneidert wie möglich“ sein müssen.
Noyb behauptet, dass die Verwendung der Worte „notwendig“ und „angemessen“ in der Durchführungsverordnung problematisch ist, weil die EU und die USA sich offenbar nicht über die Bedeutung dieser beiden Begriffe einig sind.
Nach Ansicht von noyb gibt es keine Anzeichen dafür, dass sich die Massenüberwachung in den USA in der Praxis ändern wird, trotz der Verwendung von Formulierungen im Stil der EU. Das bedeutet, dass die so genannte „Massenüberwachung“ auch unter der neuen Anordnung fortgesetzt werden könnte, und dass alle Daten, die an US-Provider gesendet werden, weiterhin in Programmen wie PRISM oder Upstream landen.
Noyb hält dies für ein Problem, weil der EuGH zuvor die US-Überwachungsgesetze und -praktiken als nicht „verhältnismäßig“ im Sinne des europäischen Verständnisses des Wortes erklärt hat.
Durchführungsverordnung
Noyb sieht es als grundsätzliches Problem an, dass der neue Rahmen in den USA per Executive Order erlassen wurde. Dies liegt daran, dass es sich bei einer Executive Order um eine interne Anweisung des US-Präsidenten innerhalb der Bundesregierung handelt – aber nicht um ein Gesetz, wie noyb meint.
Dies sei ein Problem, so noyb, weil der Rahmen von einem künftigen US-Präsidenten leicht geändert oder rückgängig gemacht werden könne.
Es ist jedoch erwähnenswert, dass das Privacy Shield auch per Durchführungsverordnung umgesetzt wurde und der EuGH dies in seiner Entscheidung in der Rechtssache Schrems II nicht thematisiert hat.
Abhilfe
Noyb wendet sich auch gegen den DPRC und behauptet, das Gremium sei „kein echtes Gericht“.
„…dies wird kein ‚Gericht‘ im normalen juristischen Sinne von Artikel 47 der Charta [of Fundamental Rights] oder der US-Verfassung sein“, heißt es in der Erklärung, „sondern ein Gremium innerhalb der Exekutive der US-Regierung.“
Noyb argumentiert, dass das neue System eine verbesserte Version des früheren „Ombudsmann“-Systems ist, das der EuGH in Schrems II abgelehnt hat.
Grundsätzlich argumentiert die Organisation, dass der DPRC – ebenso wie die Ombudsperson des Privacy Shield – nicht in der Lage wäre, den in der Charta geforderten „Rechtsweg“ zu beschreiten.
Ein weiteres Problem aus Sicht von noyb ist die Art und Weise, wie Rechtsmittel eingelegt werden.
„Die US-Regierung wird weder bestätigen noch dementieren, dass der Nutzer überwacht wurde, und wird den Nutzer lediglich darüber informieren, dass entweder kein Verstoß vorlag oder dieser behoben wurde“, so die Gruppe.
Wird das neue Abkommen überleben?
Trotz der Kritik von noyb gab es mehrere Stimmen von außerhalb der EU und von US-Führungskräften, die sich dafür aussprachen, dass der DPF der EU und der USA die EU-Normen erfüllt und eine gerichtliche Anfechtung überstehen sollte.
So haben noyb (und andere) beispielsweise argumentiert, dass die Umsetzung des neuen Rahmens per Durchführungsverordnung von Natur aus problematisch ist. Aber der Rechtswissenschaftler Cameron Kerry
argumentiert
dass Durchführungsverordnungen „in der Geschichte von [US] als geltendes Recht anerkannt sind“.
In einem Blog zum europäischen Recht
Beitrag
behaupten Théodore Christakis, Kenneth Propp und Peter Swire, dass eine nicht-gesetzliche Lösung, wie z.B. eine Durchführungsverordnung, „mit den Anforderungen der ‚wesentlichen Gleichwertigkeit‘ vereinbar sein könnte“, die notwendig sind, um eine Anfechtung durch den EuGH zu überstehen.
In einem anderen
Artikel
für die International Association of Privacy Professionals (IAPP) argumentieren Christakis und andere, dass das Datenschutzüberprüfungsgericht der EU und der USA auch in der Lage sein sollte, „Abhilfe“ in einer Weise zu schaffen, die mit dem EU-Recht vereinbar ist.
Die Autoren heben mehrere Aspekte des Rechtsbehelfsmechanismus hervor, die ihrer Meinung nach den DPRC zu einer unabhängigen Einrichtung mit wirksamen Befugnissen machen, die eine wesentliche Verbesserung gegenüber der Ombudsperson des Privacy Shield darstellt.
Es überrascht vielleicht nicht, dass die Kommission auch zuversichtlich ist, dass ihr Abkommen mit den USA einer Überprüfung standhalten wird.
In einem Webinar von Politico, das am Tag vor der Veröffentlichung des Entwurfs der Angemessenheitsentscheidung der Kommission ausgestrahlt wurde, bewertete EU-Justizkommissar Didier Reynders sein Vertrauen in den neuen überlebenden Rahmen mit 7 oder 8″ von 10 Punkten.
Letztendlich wird nur die Zeit zeigen, ob Reynders‘ Vertrauen gerechtfertigt ist.
Wie geht es weiter?
Bei dem Entwurf der Angemessenheitsentscheidung handelt es sich natürlich noch um einen Entwurf.
Sowohl in der EU als auch in den USA sind mehrere Hürden zu überwinden, bevor Organisationen die EU-US-DSGVO als Mittel zur Übermittlung personenbezogener Daten nutzen können.
- Der Europäische Datenschutzausschuss (EDPB) muss den Entscheidungsentwurf prüfen. Dieser Prozess ist für die Kommission nicht bindend, aber wenn der EDPB schwerwiegende Probleme mit dem Vorschlag feststellt, kann dies zu Änderungen und einer Verzögerung führen.
- Das Europäische Parlament wird ebenfalls die Möglichkeit haben, den Entscheidungsentwurf zu überprüfen, aber auch dieser Schritt ist für das Angemessenheitsverfahren nicht entscheidend.
- Der endgültige Entwurf muss von einem Ausschuss aus Vertretern der Mitgliedstaaten, dem so genannten „Komitologieausschuss“, genehmigt werden. Dieser Teil des Prozesses
ist
verbindlich, aber der Komitologieausschuss hat noch nie einen Entwurf einer Angemessenheitsentscheidung abgelehnt. - Schließlich hat die Kommission bestätigt, dass der Angemessenheitsbeschluss – anders als beim Privacy Shield – erst dann wirksam wird, wenn die US-Regierung das EO 14086 vollständig umgesetzt hat.
Laut
Reynders zufolge soll dieser Prozess bis Juli 2023 abgeschlossen sein.
Nach all dem und unter der Annahme, dass die Entscheidung über die Angemessenheit angenommen wird, wird der Rechtsrahmen wahrscheinlich mindestens einige Jahre überleben, bis eine Anfechtung durch Schrems den EuGH erreichen kann (obwohl noyb angedeutet hat, dass es dieses Mal viel schneller gehen könnte).
Trotz des Fortschritts bei der Ersetzung des Privacy Shield möchten für die Verarbeitung Verantwortliche in der EU, die eine vorsichtige Haltung einnehmen, möglicherweise bereits bestehende Übermittlungsmechanismen wie Standardvertragsklauseln (SCC) beibehalten.
Nur für den Fall der Fälle…
So erhalten Sie Ihr eigenes
UBICERT
Plakette zu erhalten und Ihren Kunden zu zeigen (und nicht nur zu sagen), wie wichtig Ihnen ihre Privatsphäre ist, melden Sie sich noch heute auf unserer Plattform an.