Trans-Atlantic Data Privacy Framework
Trans-Atlantic Data Privacy Framework: Kommt das Privacy Shield 2.0?

Trans-Atlantic Data Privacy Framework: Kommt das Privacy Shield 2.0?

Ob Cloud oder Analyse-Tools für die Website: US-Unternehmen sind im heutigen Geschäftsalltag nahezu omnipräsent. Mit Nutzung dieser US-Dienstleister lassen sich Datentransfers von personenbezogenen Daten nur schwer vermeiden – doch dafür müssen strenge Regeln eingehalten werden. Mit dem Trans-Atlantic Data Privacy Framework versuchen die EU und die USA, nun entsprechende Regelungen auf den Weg zu bringen. Im heutigen Beitrag erfahren Sie mehr über die Hintergründe des Abkommens, außerdem erklären wir die wesentlichen Inhalte. Wir fangen Stimmen ein und orakeln ein wenig, wohin sich der transatlantische Datenverkehr entwickeln könnte.

Trans-Atlantic Data Privacy Framework: Wie kam es dazu?

Die EU-Datenschutz-Grundverordnung (DSGVO) stellt strenge Regeln an die Verarbeitung personenbezogener Daten und hat das Datenschutzniveau innerhalb der EU deutlich angehoben. Sollen personenbezogene Daten außerhalb der EU verarbeitet werden – etwa in den USA – so fordert die DSGVO ein Datenschutzniveau, welches dem europäischen entspricht. Um ein Regelungswerk für das Verarbeiten von personenbezogenen Daten in den USA zu schaffen, einigten sich die EU und die USA im Jahr 2000 auf das Safe Harbor-Abkommen. Unternehmen, die dem Safe Harbor-Abkommen beigetreten waren, verpflichteten sich durch die Einhaltung der Safe Harbor Privacy Principles zum Schutz personenbezogener Daten von EU-Bürgerinnen und –Bürgern.

Nachdem bereits rund 5.500 US-Unternehmen wie General Motors, IBM, Microsoft oder Google dem Abkommen beigetreten sind, verschärften die USA ihre Überwachungsgesetze nach den Anschlägen vom 11. September 2001. In Folge dieses massiven Verschärfens kippte der Europäische Gerichtshof (EuGH) Safe Harbor am 06. Oktober 2015. Wenig später startete mit dem EU-U.S. Privacy Shield ein Nachfolger, dessen Schicksal jedoch genauso verlief wie das seines Vorgängers: Der Angemessenheitsbeschluss der EU-Kommission über das Privacy Shield-Abkommen wurde am 16. Juli 2020 vom EuGH für ungültig erklärt. Diese Entscheidung ging als Schrems II-Urteil in die Geschichte ein.

Nun, rund zwei Jahre später, soll mit dem Trans-Atlantic Data Privacy Framework (TADPF) ein Nachfolger geschaffen werden. Am 25.03.2022 gaben US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen bekannt, dass die USA und die EU kurz vor einem Durchbruch für ein Nachfolgeabkommen stehen.

TADPF: Wesentliche Inhalte

Seit dem Schrems II-Urteil existiert keinerlei Rechtsgrundlage mehr für zahlreiche Verarbeitungsvorgänge personenbezogener Daten in den USA. Dennoch sind, wie eingangs festgestellt, US-Clouds und –Tools gängige Praxis in europäischen Unternehmen. Die meisten von ihnen dürften den hohen Anforderungen, die notwendig sind, um das EU-Datenschutzniveau einzuhalten, nicht gerecht werden.

Mit dem Trans-Atlantic Data Privacy Framework gibt es nun eine Basis, eine grundlegende Einigung, um den grenzüberschreitenden Datenverkehr zwischen EU und USA neu regeln zu können. In den bislang veröffentlichten Factsheets (Factsheet der Europäischen Kommission und Factsheet der US-Regierung) wurden folgende Maßnahmen bereits festgehalten:

Das neue Regelwerk soll den Datenzugriff der US-Geheimdienste auf das Nötigste beschränken – also auf jene Aktivitäten, die dem Schutz der nationalen Sicherheit dienen und verhältnismäßig sind. Mit einem neuen und zweistufigen Rechtsbehelfssystem möchte man Beschwerden von europäischen Betroffenen untersuchen und beilegen können.

Unternehmen, die aus der EU übermittelte personenbezogene Daten verarbeiten, müssen sich an strenge Verpflichtungen halten. Mit spezifischen Überwachungs- sowie Überprüfungsmechanismen möchte man die sich aus dem TADPF ergebenden Pflichten kontrollieren. In der Summe soll all dies dazu führen, dass der Datenverkehr in die Vereinigten Staaten nicht nur rechtssicher ist, sondern auch vereinfacht werden kann. Daran dürfte die Mehrzahl europäischer Unternehmen ein großes Interesse haben, und auch US-Unternehmen können profitieren.

Wie geht es weiter mit dem Trans-Atlantic Data Privacy Framework?

Die US-Regierung möchte Eckdaten des neuen Abkommens in eine sogenannte Executive Order fassen, nicht in ein Gesetz. Diese Executive Order bildet dann die Basis für einen Angemessenheitsbeschluss der Europäischen Kommission. Die Executive Orders sichern die Exekutive zu, haben jedoch nicht unbedingt eine externe Wirkung und können auch nicht eingeklagt werden. EU-Justizkommissar Didier Reynders nannte als mögliches Zieldatum zum Start des TADPF das Ende dieses Jahres, da noch einige Hürden zu nehmen seien. Nun sind die USA am Zug: Man warte auf einen Rechtstext, über den dann beraten werden kann.

Danach folgen Prozesse auf EU-Ebene: Für den Angemessenheitsbeschluss muss geprüft werden, ob die Datenschutzstandards in der EU und der USA gleichwertig sind. Dieses Verfahren könnte sechs Monate in Anspruch nehmen, jedoch gibt es keinen präzisen Zeitrahmen. In dieser Phase werden dann auch der Europäische Datenschutzausschuss, die einzelnen EU-Staaten sowie das Europaparlament miteinbezogen.

Mögliche Hürden und erste Kritik

Eine der wohl größten Hürden auf dem Weg in die rechtssichere Datenübermittlung ist die überwachungswillige USA selbst: Werden die strengen Überwachungsgesetze in den Vereinigten Staaten nicht geändert, darf bezweifelt werden, dass ein EU-Datenschutzniveau gewahrt werden kann. Schließlich waren eben diese Überwachungsgesetze Anlass, die vorigen Abkommen zu kippen. Bisherige Äußerungen, Planungen und Veröffentlichungen lassen nicht vermuten, dass Biden eine Lockerung der bestehenden Gesetze in den USA plant.

Das ruft Kritiker auf den Plan – und zwar auch denjenigen, dessen Einsatz als Hauptkläger zu verdanken ist, dass die bisherigen Abkommen am zu geringen Datenschutz gescheitert sind: Max Schrems; Datenschutzaktivist, Jurist und Mitgründer der NGO noyb mit Sitz in Wien. Am 25. März, also am Tag der Bekanntgabe einer Einigung, kündigte Schrems bereits Schritte an: „Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir oder andere ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird“, resümiert Schrems.

Der Aktivist und Jurist hätte sich anderes gewünscht: „Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem ‚No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit“, gibt Schrems zu bedenken.

Bestenfalls bringt das TADPF endlich Rechtssicherheit

Im Wesentlichen kann sich das Trans-Atlantic Data Privacy Framework in zwei Richtungen entwickeln: In die von Schrems angekündigte, sodass sich auch dieses Abkommen nach einem Schrems III-Urteil in Luft auflöst. Bestenfalls aber könnte das TADPF auch endlich Rechtssicherheit bringen: Eine erfolgreiche Umsetzung würde die aktuellen Probleme mit Drittlandtransfers von personenbezogenen Daten beheben, Transfers könnten deutlich vereinfacht werden. Bisher bleibt für den Drittlandtransfer u. a. der Abschluss von Standarddatenschutzklauseln, sog. Standard Contractual Clauses (SCC) in Verbindung mit zusätzlichen Maßnahmen, wie z. B. Anonymisierung und Verschlüsselung.

Auch wenn eine Einigung eilt, weil US-Tools zahlreich verwendet werden, müssen sich europäische Unternehmen noch etwas in Geduld üben: Eine endgültige Fassung des TADPF wird gegen Jahresende erwartet, kurzfristige Lösungen sind also noch nicht in Sicht. Es bleibt abzuwarten, wie man mit Hürden wie den US-Überwachungsgesetzen umgehen und wie das Trans-Atlantic Data Privacy Framework ausgestaltet wird. Bis es also zu einem wirklich rechtssicheren Privacy Shield 2.0 kommen wird, ist es noch ein weiter Weg.

Blog-Update TADPF (Trans-Atlantic Data Privacy Framework)

Entwurf eines Angemessenheitsbeschlusses

Die Europäische Kommission hat am 13. Dezember 2022 basierend auf der Executive Order einen Entwurf für einen Angemessenheitsbeschluss nach Art. 45 DSGVO vorgelegt. Dieser muss nun das sog. Annahmeverfahren passieren. Hierzu wird der Entwurf zunächst dem Europäischen Datenschutzausschuss (EDSA) vorgelegt. Im Anschluss muss die Kommission die Zustimmung eines Ausschusses der Mitgliedsstaaten einholen. Zuletzt muss der Entwurf noch einer Kontrolle des Europäischen Parlaments standhalten. Erst darauf kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Wann genau dieses Annahmeverfahren abgeschlossen ist, ist aktuell unklar. Es wird aber davon ausgegangen, dass mit der Annahme des Angemessenheitsbeschlusses im ersten Quartal 2023 gerechnet werden kann.

In der Grundstruktur gleicht der Angemessenheitsbeschluss seinen Vorgängern: Es ist weiterhin eine Selbstzertifizierung der US-Unternehmen vorgesehen, während die Einhaltung der Vorgaben von der Federal Trade Commission (FTC) bzw. dem U.S. Department of Transportation (DoT) überprüft wird.

noyb erwägt rechtliche Schritte

Max Schrems: „Wir werden den Entscheidungsentwurf in den nächsten Tagen im Detail analysieren. Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.“

UPDATE Februar 2023

EU-Parlamentsausschuss empfiehlt Ablehnung des Data Privacy Framework

Im vergangenen Herbst kündigten die USA ein neues Datenschutzabkommen an. Das „Trans-Atlantic Data Privacy Framework“ wird derzeit von mehreren Interessengruppen in der EU überprüft, um festzustellen, ob dieses Abkommen den EU-Bürgern einen angemessenen Schutz für ihre Daten in den USA bieten würde.

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) sagte am 14. Februar 2023 in ihrem Entwurf einer Entschließung „Nein.“

Wird der Entwurf angenommen, wird sich das Europäische Parlament gegen einen Angemessenheitsbeschluss für das Data Privacy Framework entscheiden.

EU-Parlament: Die Executive Order sei zu „vage“

Die Executive Order (Grundlage des TADPF) sei nicht klar genug und könnte jederzeit vom US-Präsidenten rückgängig gemacht oder geändert werden.
Die Ausschussmitglieder kamen zu dem Schluss, dass das vorgeschlagene Abkommen „keine tatsächliche Gleichwertigkeit des Schutzniveaus schafft“ und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen.

Der Ausschuss erklärte: “im Gegensatz zu allen anderen Drittländern, die einen Angemessenheitsbeschluss im Rahmen der DSGVO erhalten haben, hat die USA immer noch kein Bundesdatenschutzgesetz.“ Kurz gesagt, der Ausschuss sagte, dass das US-Inlandsrecht einfach nicht mit der EU-DSGVO vereinbar ist und dass keine Einigung erzielt werden sollte, bis diese Gesetze besser aufeinander abgestimmt sind.

Die Ansicht des Parlaments ist unverbindlich, hat aber wahrscheinlich zumindest ein gewisses Gewicht. Es bleibt weiter abzuwarten, wie die Europäische Kommission sich entscheidet.

UPDATE März 2023

EDSA nimmt Stellung zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework

Nachdem es zuletzt vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) eine eher ablehnende Stellungnahme zum Framework (letztes Update) gab, hat sich nun auch der EDSA geäußert. Die Analyse des EDSA ist weitaus detaillierter als die Kritik des LIBE-Ausschusses des Europäischen Parlaments.

Der Europäische Datenschutzausschuss (EDSA) hat am 28.02.2023 seine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses für die USA (EU-US Data Privacy Framework) veröffentlicht. In seiner Bewertung hat das gemeinsame Gremium der europäischen Datenschutzbehörden zahlreiche kritische Punkte identifiziert, sich aber nicht gegen eine Annahme des Beschlusses durch die EU-Kommission ausgesprochen. Die zentralen Defizite sind einerseits das Festhalten am Instrument der Massenüberwachung (sogenannte bulk collection) und andererseits die fehlende Transparenz im Rechtschutzverfahren.

Der EDSB begrüßt die Verbesserungen im US-Recht

Der EDSA begrüßt die im Vergleich zu den Vorgängerregelungen wesentlichen Verbesserungen und hebt hierbei insbesondere hervor, dass nachrichtendienstliche Ermittlungen in den USA auf bestimmte Bereiche eingeschränkt werden und bestimmten Voraussetzungen unterliegen und lobt den neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU.

Einige Bedenken bleiben bestehen

Der EDSA bittet um Klarstellungen zu mehreren Punkten. Diese betreffen insbesondere:
• bestimmte Rechte betroffener Personen
• die Weiterübermittlung
• den Umfang der Ausnahmen
• die vorübergehende Massenerfassung von Daten
• und die praktische Funktionsweise des Rechtsbehelfsverfahrens.

Diese Punkte sollten nach dem Willen des EDSA nicht erst vor dem Inkrafttreten, sondern bereits vor der Annahme des Frameworks geklärt werden.

Die EDSA-Vorsitzende Andrea Jelinek sagte: „Obwohl wir anerkennen, dass die Verbesserungen des US-Rechtsrahmens erheblich sind, empfehlen wir, die geäußerten Bedenken auszuräumen und Klarstellungen vorzunehmen, um sicherzustellen, dass die Angemessenheitsentscheidung Bestand hat.“ Sie sagte auch, dass Überprüfungen der Entscheidung mindestens alle drei Jahre stattfinden sollten und der EDSA „verpflichtet ist, zu ihnen beizutragen.

Zusammenfassend sind die Aussichten für den TADPF gut, auch wenn viel davon abhängt, ob die USA ihre „Hausaufgaben“ machen werden.

 

UPDATE Juli 2023

Trans-Atlantic Data Privacy Framework in den Startlöchern

Es gibt erfreuliche Neuigkeiten über den EU-U.S. Data Privacy Framework.

Am 3. Juli 2023 gab die US-Handelsministerin Gina Raimondo eine Erklärung ab, in der bestätigt wurde, dass die USA ihre Verpflichtungen zur Umsetzung des EU-US-Datenschutzrahmens erfüllt haben.

Die USA haben versichert, dass sie alle erforderlichen Maßnahmen ergriffen haben, um diesen Beschluss umzusetzen:

  • Es wurden strengere Schutzmaßnahmen für die in der Executive Order 14086 festgelegten Signalaufklärungstätigkeiten eingeführt.
  • Jeder EU-Mitgliedstaat wurde als „qualifizierter Staat“ benannt, was bedeutet, dass EU-Betroffene ihre Beschwerden beim ODNI Civil Liberties Protection Officer (CLPO) und dem U.S. Data Protection Review Court einreichen können.
  • Die Durchführungsverfahren der Nachrichtendienste wurden verabschiedet.
  • Die EU-US-Datenschutzgrundsätze wurden aktualisiert.

Laut Medienberichten könnte die EU-Kommission möglicherweise noch in diesem Monat einen Angemessenheitsbeschluss verabschieden.

 

UPDATE Juli 2023 2.0

EU-Kommission unternimmt einen dritten Anlauf

Nach Safe Harbor und Privacy Shield hat die Europäische Kommission nun auch das Trans-Atlantic Data Privacy Framework genehmigt. Am 10. Juli 2023 verabschiedete die EU-Kommission ihren Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen und damit wieder die rechtliche Basis für den Transfer personenbezogener Daten in die USA geschaffen.

Die Entscheidung der Kommission kommt zu dem Schluss, dass die von den USA vorgenommenen Änderungen an ihren nationalen Rechtsvorschriften nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen mit Sitz in den USA übermittelt werden. Dies setzt jedoch voraus, dass diese Organisationen Maßnahmen ergreifen, um den Anforderungen des neuen „Datenschutzrahmens“ gerecht zu werden.

Was bedeutet die neue Angemessenheitsentscheidung?

Mit dem EU-US-Datenschutzrahmen werden neue verbindliche Schutzmaßnahmen eingeführt, um vorübergehend alle Bedenken auszuräumen, die zuvor vom Europäischen Gerichtshof geäußert wurden.

  • Dazu gehört unter anderem eine Einschränkung des Zugangs der US-Nachrichtendienste zu EU-Daten auf das notwendige und verhältnismäßige Maß;
  • sowie die Einrichtung eines Datenschutzgerichts (DPRC), auf das EU-Bürger Zugang haben werden.
  • Das Handelsministerium der USA wird Anträge auf eine Zertifizierung bearbeiten und überwachen, ob die teilnehmenden Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen.
  • Unternehmen oder Organisationen, die den DPF-Zertifizierungsprozess durchlaufen haben, können personenbezogene Daten aus der EU und dem EWR in die USA importieren, ohne auf andere Datenübertragungsmechanismen wie Standardvertragsklauseln (SCCs) angewiesen zu sein.
  • Wenn sich ein Unternehmen oder eine Organisation selbst für den DPF zertifiziert, kann sie personenbezogene Daten frei in die USA übermitteln, ohne eine Transfer-Folgenabschätzung (TIA) für die Datenübertragung durchführen oder zusätzliche Maßnahmen ergreifen zu müssen.
  • Das Handelsministerium wird eine Liste von US-Unternehmen führen und veröffentlichen, die sich bei selbst zertifiziert haben. Nur Unternehmen auf der Datenschutzrahmenliste können von der Angemessenheitsentscheidung der EU-Kommission profitieren. Das Handelsministerium wird Unternehmen von der Datenschutzrahmenliste streichen, die sich freiwillig aus der EU-USA zurückziehen, die jährliche erneute Zertifizierung nicht abschließen oder die Grundsätze nicht einhalten.
  • Die Nutzung von Cloud-Diensten wie Microsoft Teams, Zoom, Amazon AWS und dergleichen wird nicht mehr ganz so problematisch, sobald Unternehmen dem DPF-Rahmen beitreten.

Aber

  • die Nutzung sozialer Medien ist nach wie vor problematisch, da die einzig mögliche Rechtsgrundlage für Werbung, die auf Profiling basiert, die Zustimmung ist.
  • Unternehmen sollten jedoch sorgfältig prüfen, ob es notwendig ist, ihre vollständige Offenlegung personenbezogener Daten von den USA in die EU zu migrieren. Trotz der Einführung des DPF sind Unternehmen möglicherweise weiterhin auf EU-SCCs angewiesen. Die Angemessenheitsentscheidung erleichtert zwar die Durchführung einer Folgenabschätzung für den Transfer in der Praxis, dennoch kann es gute Gründe geben, sich weiterhin auf EU-SCCs oder verbindliche Unternehmensregeln (BCR) zu stützen. Daher sollte eine Einzelfallentscheidung getroffen werden.

Überprüfungen stehen an

Die EU-Kommission hat angekündigt, die einschlägigen US-Entscheidungen kontinuierlich zu überwachen, und regelmäßig die Angemessenheitsentscheidung zu überprüfen, um sicherzustellen, dass alle relevanten Elemente des neuen Rahmens in der Praxis effektiv funktionieren. Die erste Überprüfung soll nach einem Jahr, d. H. Im Juli 2024, stattfinden.

Auswirkungen auf die Schweiz

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat das EU-US Data Privacy Framework und den entsprechenden Angemessen­heits­beschluss der EU ebenfalls zur Kenntnis genommen. In einer Mitteilung schreibt Adrian Lobsiger: „Die Schweiz ist seit circa 3 Jahren daran, mit den USA ein Swiss-US Data Privacy Framework abzuschliessen.“
Durch das Abkommen mit der EU sollte eine ähnliche Vereinbarung zwischen der Schweiz und den USA ebenfalls möglich sein, schreibt er in der Mitteilung. Bis zum Abschluss eines solchen Rahmenwerks ändere sich jedoch nichts an der Angemessenheitsliste der Schweiz. Die USA bleiben für den EDÖB ein Drittstaat ohne angemessenes Datenschutzniveau.

Vielleicht bald wieder gekippt?

Wie wir wissen, wird der Schutz personenbezogener Daten auf europäischer Ebene durch die DSGVO garantiert, aber außerhalb der EU wird die Privatsphäre oft anders wahrgenommen und geschützt, insbesondere in den USA, einem Land, in dem im Laufe der Jahre mehrere kritische Probleme auf der Datenschutzseite von wichtigen Stellen der Europäischen Union festgestellt wurden.

Es besteht die klare Gefahr, dass die Entscheidung ein ähnliches Schicksal erleiden könnte wie das Safe-Harbor-Abkommen im Jahr 2015 und das Privacy Shield im Jahr 2020.

Max Schrems hat angekündigt, dass seine Organisation NOYB das neue Rahmenwerk vor Gericht anfechten wird. Laut NOYB könnte die Angelegenheit innerhalb weniger Monate den EuGH erreichen.

Max Schrems: „Wir haben verschiedene Optionen für eine Herausforderung bereits in der Schublade, obwohl wir dieses legale Ping-Pong satt haben. Wir gehen derzeit davon aus, dass dies bis Anfang nächsten Jahres wieder beim Gerichtshof der Fall sein wird. Der Gerichtshof könnte dann sogar den neuen Deal aussetzen, während er den Inhalt prüft. Im Interesse der Rechtssicherheit und der Rechtsstaatlichkeit werden wir dann eine Antwort erhalten, ob die winzigen Verbesserungen der Kommission ausgereicht haben oder nicht. In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt, was alle früheren Datenübertragungen durch Unternehmen illegal machte – wir scheinen jetzt nur noch zwei weitere Jahre dieses Ping-Pongs hinzuzufügen.“

Es ist also offen, wie lange dieses Abkommen über die Übermittlung personenbezogener Daten aus der EU und den USA Bestand haben wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert