„Gute“ Nachrichten für den USA Datentransfer?
Am 7. Oktober 2022 hat US-Präsident Joe Biden das neue „Trans-Atlantic Data Privacy Framework, also das neue Datenschutzabkommen mit der Europäischen Union durch einen Präsidialen Erlass (Executive Order) auf den Weg gebracht. Damit soll dem Datenaustausch zwischen der EU und US-Anbietern mit einem weiteren Schritt der juristische Weg freigemacht werden. Wir berichteten bereits in unserem Blog über die verschiedenen Entwicklungen für einen USA Datentransfer.
Das Vorgängerabkommen „Privacy Shield“ war, wie auch schon dessen Vorgänger – das Safe Habour Abkommen – durch Max Schrems und seiner Datenschutzorganisation noyb, vor dem EuGH gekippt worden. Eine kurze Zusammenfassung der Ereignisse findet Ihr am Ende des Beitrags.
USA Datentransfer: Executive Order unterzeichnet
Es war die Meldung vom Freitag: US-Präsident Joe Biden hat eine Executive Order unterzeichnet, die ein neues Datenschutzabkommen mit der Europäischen Union auf den Weg bringen soll. Der Fact-Sheet des Weißen Hauses klärt über weitere Details auf.
Diese Exekutivanordnung präzisiert die Verpflichtungen der USA, die diese im Rahmen des Datenschutzrahmens zwischen der Europäischen Union und den USA (EU-U.S. Data Privacy Framework – DPF) zum Schutz europäischer Nutzer umsetzen möchte.
Nur bei begründetem Verdacht
Es soll weitere Schutzmaßnahmen der USA geben, die sicherstellen, dass US-Geheimdienste und -Behörden nur dann auf Daten europäischer Nutzer zugreifen dürfen, wenn es sich um die Verfolgung definierter nationaler Sicherheitsziele handelt. Die Privatsphäre und die bürgerlichen Freiheiten aller Personen sind, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland, zu berücksichtigen. Zugriffe auf Daten dürfen nur durchgeführt werden, wenn dies notwendig ist, eine Person ein bestätigtes Sicherheitsrisiko darstellt, und nur in dem Umfang und auf eine Weise, die diesem Risiko angemessen ist.
Überwachungsorgane
Das EU-U.S. Data Privacy Framework schreibt den Umgang mit personenbezogenen Daten vor, die im Rahmen von nachrichtendienstlichen Aktivitäten erhoben wurden, und erweitert die Zuständigkeiten von Rechts-, Aufsichts- und Compliance-Behörden. Dies soll sicherstellen, dass bei Verstößen gegen die Vorschriften geeignete Maßnahmen ergriffen werden.
Anpassung der Vorgaben für Nachrichtendienste
Die US-Geheimdienste müssen ihre Richtlinien und Verfahren aktualisieren, um die neuen, in der Executive Order enthaltenen Garantien für den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu berücksichtigen.
„Datenschutzgericht“
Es soll einen mehrstufiger Mechanismus für Bürger und Unternehmen der EU) geschaffen werden. Dieser Mechanismus soll eine unabhängige und verbindliche Überprüfung und Wiedergutmachung von stattgefundenen Fällen ermöglichen, in denen US-Geheimdienste private Daten unter Verletzung des geltenden US-Rechts gesammelt oder verarbeitet haben.
Diese Schritte sollen der Europäischen Kommission eine Grundlage für die Annahme eines neuen Angemessenheitsbeschlusses nach Art. 45 DSGVO bieten. Dieser ist erforderlich, damit Unternehmen in der EU persönliche Daten von EU-Bürgern an US-Unternehmen zur Speicherung und Auswertung übertragen können. Der Angemessenheitsbeschluss der EU bescheinigt dem betreffenden Land ausreichende Datenschutzmaßnahmen zu treffen, um die Übermittlung persönlicher Daten gemäß DSGVO zuzulassen.
Die Hoffnung der USA ist es, über die obige Executive Order (EU-U.S. Data Privacy Framework – DPF) wieder einen gültigen Rechtsrahmen zu etablieren, wobei es, vor allem um die Geschäftsinteressen der großen US-Technologie- und Cloud-Anbieter geht. Außerdem soll dadurch mehr Rechtssicherheit für Unternehmen geschaffen werden, die Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten verwenden.
Der ECO-Verband begrüßt den Schritt
Der Verband der Internetwirtschaft (ECO) begrüßt in einer ersten Stellungnahme die aktuellen Entwicklungen. ECO sieht in diesem Schritt, dass eine Lösung für die rechtssichere Übertragung personenbezogener Daten aus der EU in die USA präsentiert wurde. Dieser versuche den Anforderungen der Vorgaben des EuGH Rechnung zu tragen. Für die digitale Wirtschaft, insbesondere für viele kleine und mittelständische Unternehmen, könnte damit endlich ein stabiles Fundament für den rechtssicheren Datenaustausch auf internationaler Ebene gelegt werden, hofft der Verband. Damit würde die bisherige Zitterpartie endlich beendet, Rechtssicherheit und Verlässlichkeit bei den Unternehmen geschaffen.
Eco weiß auch, wie es weiter gehen soll und schreibt: „Jetzt muss die Europäische Kommission zügig die erforderlichen Schritte einleiten, damit das Abkommen in Kraft treten kann. Bis dahin sollten sich die Datenschutzbehörden klar positionieren, die vorliegende Lösung anerkennen und bis zur Inkraftsetzung unbedingt auf Bußgeldverfahren oder etwaige Übertragungsverbote bei den Unternehmen verzichten.“
Gibt es ein Schrems III-Urteil?
Die beiden oben erwähnten EuGH-Urteile, die bisherige Datenschutzabkommen mit den USA gekippt haben, wurden von der Datenschutzvereinigung noyb, rund um Max Schrems, erstritten. Es wird von den Schrems I- und II-Urteilen gesprochen. Interessant ist daher, wie Verbraucher- und Datenschutzvereinigungen die letzten Entwicklungen bewerten und reagieren.
Die europäische Verbrauchergruppe BEUC hat eine Mitteilung herausgegeben, die besagt, dass der Rahmen „wahrscheinlich immer noch unzureichend ist, um die Privatsphäre und die persönlichen Daten der Europäer zu schützen, wenn sie in die USA transferiert werden“. Laut BEUC gibt es bei der neuen Executive Order „keine wesentlichen Verbesserungen, um Fragen im Zusammenhang mit der kommerziellen Nutzung personenbezogener Daten anzugehen“. Das ist aber ein Bereich, in dem das vorherige Abkommen, der EU-US-Datenschutzschild, hinter den GDPR-Anforderungen zurückblieb.
Ashley Gorski, leitende Anwältin beim ACLU National Security Project (USA) erklärt, dass die Anordnung „nicht weit genug geht. Sie schützt die Privatsphäre von Amerikanern und Europäern nicht angemessen und stellt nicht sicher, dass Menschen, deren Privatsphäre verletzt wird, ihre Ansprüche von einem völlig unabhängigen Entscheidungsträger klären lassen können“.
Die Position von noyb und Max Schrems könnt ihr in deren Blog genauer nachlesen. Es reicht wohl nicht.
Schrems will mit noyb die Dokumente in den kommenden Tagen analysieren, stellt aber bereits mit der Datenschutzorganisation fest:
Dass alle europäischen Daten, die an US-Provider gesendet werden, weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese Überwachung schon zweimal als nicht „verhältnismäßig“ (gemäß der europäischen Definition des Wortes) und damit für illegal erklärt hat.
Laut Schrems scheint es, als hätten sich die EU und die USA zwar darauf geeinigt, das Wort „verhältnismäßig“ in das US-Dokument aufzunehmen, aber nicht darauf, wie dieses zu verstehen ist. Nach derzeitigem Stand ist eine Massenüberwachung nach wie vor nicht ausgeschlossen.
Max Schrems, Vorsitzender von noyb.eu sagt dazu:
„Am Ende wird sich die Definition des EuGHs durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission das US-Recht ignoriert und Europäer weiterhin ausspionieren lassen will.“
Des Weiteren bemängelt Max Schrems, dass es sich von der bei dem vorgesehenen Gericht lediglich um ein „Verwaltungsorgan“ handelt, dessen Urteile vorab festgeschrieben seien.
Das Verfahren ist genauso grotesk wie der vor zuvor eingesetzte Ombudsman: Man muss indirekt über eine EU-Datenschutzbehörde eine Beschwerde an einen US-Beamten schicken. Dieser wird Antworten, dass die USA weder bestätigen noch verneinen kann, dass eine Überwachung stattfand. Außerdem wurde die potentielle Überwachung entweder rechtmäßig vorgenommen – und wenn nicht wurde das Problem behoben (siehe Section 3(c)(E) der Executive Order). Die gleiche (festgeschriebene) Antwort erhält man auch vom Data Protection Review Court.
Laut Schrems müssen US-Unternehmen auch die DSGVO nicht einhalten – die EU verlangt keine diesbezügliche Anpassung der Privacy Shield-Prinzipien. US-Bürger, die in den USA leben, haben zwar über die US-Verfassung ein Recht auf Privatsphäre. Das gilt aber nicht für EU-Bürger. Die Grundsätze seien weitgehend identisch mit den früheren „Safe Harbor“-Grundsätzen aus dem 2000, so Schrems. Das bedeutet, dass US-Unternehmen weiterhin europäische Daten verarbeiten können, ohne die DSGVO einzuhalten. Sie benötigen beispielsweise nicht einmal eine Rechtsgrundlage für die Verarbeitung, wie etwa eine Einwilligung. Unter dem Privacy Shield mussten US-Unternehmen den Nutzer lediglich eine Opt-out-Option anbieten. Und dass, obwohl der EuGH betont hat, dass es in den USA „der Sache nach gleichwertigen“ Schutz geben muss, damit Daten frei in die USA übermittelt werden können.
Aus der Praxis
Wir wissen von unseren Kunden, wie sehnsüchtig eine Lösung für den US-Datentransfer gewünscht/benötigt wird. In einigen Branchen ist es mitunter schwierig gutfunktionierende und bezahlbare europäische Alternativen zu finden. Unsere Empfehlung lautet dennoch weiterhin, nutzt besser vertrauenswürdige Anbieter aus der europäischen Union. Und sollte das nicht möglich sein, muss man den Umweg über SCC (EU Standarddatenschutzklauseln) und zusätzliche Maßnahmen nehmen.
Wie Max Schrems bereits ausgeführt hat, würde ein neues Abkommen auf dem jetzigen Stand keinen dauerhaften Schutz sowohl für die verarbeitenden Unternehmen, wie auch die Betroffenen bieten.
Die spannendste Frage am Ende des Tages wird sein:
Wie lange braucht es, bis der EuGH auch sein drittes Schrems-Urteil in dieser Angelegenheit fällt?
Die Hintergründe zu den US-Garantien
Schrems I
2000 hatten die EU und die USA ein Datenschutzabkommen unter dem Namen Safe Harbor geschlossen. Dieses sollte die Verarbeitung privater Daten europäischer Nutzer rechtlich regeln und den Datenaustausch von EU-Firmen mit US-Unternehmen ermöglichen. Das „Safe Harbor“-Abkommen zwischen EU und den USA wurde im „Schrems-Urteil“ im Oktober 2015 vom Europäischen Gerichtshof kassiert.
Schrems II
Mitte 2016 Dann gab es einen weiteren Versuch der EU-Kommission zu einem Datenschutzabkommen mit den USA, der als „Privacy Shield“ bezeichnet wurde. Allerdings wurde auch dieses Datenschutzabkommen vom Europäischen Gerichtshof gekippt. Auch in diesem Fall sah der EuGH das Datenschutzniveau, dass die USA für EU-Bürger und deren Daten vorsah, als nicht vereinbar mit europäischem Recht an. Es gibt vor allem um die Befugnisse von US-Geheimdiensten und -Behörden, auf in die USA übertragene Daten zuzugreifen.
Schrems III?
Im März 2022 kündigten dann EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden bei dessen Besuch in Europa ein neues Abkommen an. Unter dem Begriff „Trans-Atlantic Data Privacy Framework“ hatten sich EU und die USA auf ein Abkommen zum Datenaustausch von Benutzerdaten zwischen den Regionen verständigt. Die obige Executive Order ist jetzt der Schritt der USA, um der EU die Verabschiedung eines Angemessenheitsbeschlusses zu ermöglichen. Ursprünglich war eine Verabschiedung bis Herbst 2022 geplant, aber nach derzeitigem Stand kann wohl frühestens Anfang 2023 mit einer Veröffentlichung gerechnet werden.