Entwurf eines Angemessenheitsbeschlusses<\/strong><\/h3>\nDie Europ\u00e4ische Kommission<\/strong> hat am 13. Dezember 2022 basierend auf der Executive Order einen Entwurf f\u00fcr einen Angemessenheitsbeschluss<\/strong> nach Art. 45 DSGVO vorgelegt. Dieser muss nun das sog. Annahmeverfahren<\/strong> passieren. Hierzu wird der Entwurf zun\u00e4chst dem Europ\u00e4ischen Datenschutzausschuss (EDSA)<\/strong> vorgelegt. Im Anschluss muss die Kommission die Zustimmung eines Ausschusses der Mitgliedsstaaten einholen. Zuletzt muss der Entwurf noch einer Kontrolle des Europ\u00e4ischen Parlaments<\/strong> standhalten. Erst darauf kann die Kommission den endg\u00fcltigen Angemessenheitsbeschluss annehmen. Wann genau dieses Annahmeverfahren abgeschlossen ist, ist aktuell unklar. Es wird aber davon ausgegangen, dass mit der Annahme des Angemessenheitsbeschlusses im ersten Quartal 2023 gerechnet werden kann.<\/p>\nIn der Grundstruktur gleicht der Angemessenheitsbeschluss seinen Vorg\u00e4ngern<\/strong>: Es ist weiterhin eine Selbstzertifizierung der US-Unternehmen vorgesehen, w\u00e4hrend die Einhaltung der Vorgaben von der Federal Trade Commission (FTC) bzw. dem U.S. Department of Transportation (DoT) \u00fcberpr\u00fcft wird.<\/p>\nnoyb erw\u00e4gt rechtliche Schritte<\/strong><\/h4>\nMax Schrems: „Wir werden den Entscheidungsentwurf in den n\u00e4chsten Tagen im Detail analysieren. Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order st\u00fctzt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof<\/strong> standhalten wird. Die Europ\u00e4ische Kommission scheint immer wieder \u00e4hnliche Entscheidungen zu erlassen, die einen eklatanten Versto\u00df gegen unsere Grundrechte<\/strong> darstellen.“<\/p>\nUPDATE Februar 2023<\/h2>\nEU-Parlamentsausschuss empfiehlt Ablehnung des Data Privacy Framework<\/h3>\n
Im vergangenen Herbst k\u00fcndigten die USA ein neues Datenschutzabkommen<\/strong> an. Das \u201eTrans-Atlantic Data Privacy Framework\u201c<\/strong> wird derzeit von mehreren Interessengruppen in der EU \u00fcberpr\u00fcft, um festzustellen, ob dieses Abkommen den EU-B\u00fcrgern einen angemessenen Schutz<\/strong> f\u00fcr ihre Daten in den USA bieten w\u00fcrde.<\/p>\nDer Ausschuss f\u00fcr b\u00fcrgerliche Freiheiten, Justiz und Inneres des Europ\u00e4ischen Parlaments (LIBE<\/strong>) sagte am 14. Februar 2023 in ihrem Entwurf einer Entschlie\u00dfung „Nein.“<\/strong><\/p>\nWird der Entwurf angenommen, wird sich das Europ\u00e4ische Parlament gegen einen Angemessenheitsbeschluss<\/strong> f\u00fcr das Data Privacy Framework entscheiden.<\/p>\nEU-Parlament: Die Executive Order sei zu „vage“<\/strong><\/p>\nDie Executive Order (Grundlage des TADPF) sei nicht klar genug<\/strong> und k\u00f6nnte jederzeit vom US-Pr\u00e4sidenten r\u00fcckg\u00e4ngig gemacht oder ge\u00e4ndert werden.
\nDie Ausschussmitglieder kamen zu dem Schluss, dass das vorgeschlagene Abkommen „keine tats\u00e4chliche Gleichwertigkeit des Schutzniveaus schafft“<\/strong> und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen.<\/p>\nDer Ausschuss erkl\u00e4rte: \u201cim Gegensatz zu allen anderen Drittl\u00e4ndern, die einen Angemessenheitsbeschluss im Rahmen der DSGVO erhalten haben, hat die USA immer noch kein Bundesdatenschutzgesetz<\/strong>.“ Kurz gesagt, der Ausschuss sagte, dass das US-Inlandsrecht einfach nicht mit der EU-DSGVO vereinbar<\/strong> ist und dass keine Einigung erzielt werden sollte, bis diese Gesetze besser aufeinander abgestimmt sind.<\/p>\nDie Ansicht des Parlaments ist unverbindlich, hat aber wahrscheinlich zumindest ein gewisses Gewicht<\/strong>. Es bleibt weiter abzuwarten, wie die Europ\u00e4ische Kommission sich entscheidet.<\/p>\nUPDATE M\u00e4rz 2023<\/h2>\nEDSA nimmt Stellung zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework<\/h3>\n
Nachdem es zuletzt vom Ausschuss f\u00fcr b\u00fcrgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) eine eher ablehnende Stellungnahme zum Framework<\/strong> (letztes Update) gab, hat sich nun auch der EDSA ge\u00e4u\u00dfert. Die Analyse des EDSA ist weitaus detaillierter<\/strong> als die Kritik des LIBE-Ausschusses des Europ\u00e4ischen Parlaments.<\/p>\nDer Europ\u00e4ische Datenschutzausschuss (EDSA)<\/strong> hat am 28.02.2023 seine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses f\u00fcr die USA (EU-US Data Privacy Framework<\/strong>) ver\u00f6ffentlicht. In seiner Bewertung hat das gemeinsame Gremium der europ\u00e4ischen Datenschutzbeh\u00f6rden zahlreiche kritische Punkte<\/strong> identifiziert, sich aber nicht gegen eine Annahme<\/strong> des Beschlusses durch die EU-Kommission ausgesprochen. Die zentralen Defizite sind einerseits das Festhalten am Instrument der Massen\u00fcberwachung (sogenannte bulk collection<\/strong>) und andererseits die fehlende Transparenz im Rechtschutzverfahren.<\/p>\nDer EDSB begr\u00fc\u00dft die Verbesserungen im US-Recht<\/h3>\n
Der EDSA begr\u00fc\u00dft die im Vergleich zu den Vorg\u00e4ngerregelungen wesentlichen Verbesserungen<\/strong> und hebt hierbei insbesondere hervor, dass nachrichtendienstliche Ermittlungen in den USA auf bestimmte Bereiche eingeschr\u00e4nkt werden und bestimmten Voraussetzungen unterliegen und lobt den neuen Rechtsbehelfsmechanismus f\u00fcr betroffene Personen in der EU<\/strong>.<\/p>\nEinige Bedenken bleiben bestehen<\/h3>\n
Der EDSA bittet um Klarstellungen<\/strong> zu mehreren Punkten. Diese betreffen insbesondere:
\n\u2022 bestimmte Rechte betroffener Personen
\n\u2022 die Weiter\u00fcbermittlung
\n\u2022 den Umfang der Ausnahmen
\n\u2022 die vor\u00fcbergehende Massenerfassung von Daten
\n\u2022 und die praktische Funktionsweise des Rechtsbehelfsverfahrens.<\/p>\nDiese Punkte sollten nach dem Willen des EDSA nicht erst vor dem Inkrafttreten<\/strong>, sondern bereits vor der Annahme des Frameworks gekl\u00e4rt werden.<\/p>\nDie EDSA-Vorsitzende Andrea Jelinek<\/strong> sagte: „Obwohl wir anerkennen, dass die Verbesserungen des US-Rechtsrahmens erheblich sind, empfehlen wir, die ge\u00e4u\u00dferten Bedenken auszur\u00e4umen und Klarstellungen vorzunehmen, um sicherzustellen, dass die Angemessenheitsentscheidung Bestand<\/strong> hat.“ Sie sagte auch, dass \u00dcberpr\u00fcfungen der Entscheidung mindestens alle drei Jahre<\/strong> stattfinden sollten und der EDSA „verpflichtet ist, zu ihnen beizutragen.<\/p>\nZusammenfassend sind die Aussichten f\u00fcr den TADPF gut, auch wenn viel davon abh\u00e4ngt, ob die USA ihre „Hausaufgaben<\/strong>“ machen werden.<\/p>\n <\/p>\n
UPDATE Juli 2023<\/h2>\nTrans-Atlantic Data Privacy Framework in den Startl\u00f6chern<\/h3>\n
Es gibt erfreuliche Neuigkeiten \u00fcber den EU-U.S. Data Privacy Framework.<\/p>\n
Am 3. Juli 2023 gab die US-Handelsministerin Gina Raimondo eine Erkl\u00e4rung ab, in der best\u00e4tigt wurde, dass die USA ihre Verpflichtungen zur Umsetzung des EU-US-Datenschutzrahmens erf\u00fcllt haben.<\/p>\n
Die USA haben versichert, dass sie alle erforderlichen Ma\u00dfnahmen ergriffen haben, um diesen Beschluss umzusetzen:<\/p>\n
\n- Es wurden strengere Schutzma\u00dfnahmen f\u00fcr die in der Executive Order 14086 festgelegten Signalaufkl\u00e4rungst\u00e4tigkeiten eingef\u00fchrt.<\/li>\n
- Jeder EU-Mitgliedstaat wurde als „qualifizierter Staat“ benannt, was bedeutet, dass EU-Betroffene ihre Beschwerden beim ODNI Civil Liberties Protection Officer (CLPO) und dem U.S. Data Protection Review Court einreichen k\u00f6nnen.<\/li>\n
- Die Durchf\u00fchrungsverfahren der Nachrichtendienste wurden verabschiedet.<\/li>\n
- Die EU-US-Datenschutzgrunds\u00e4tze wurden aktualisiert.<\/li>\n<\/ul>\n
Laut Medienberichten k\u00f6nnte die EU-Kommission m\u00f6glicherweise noch in diesem Monat einen Angemessenheitsbeschluss verabschieden.<\/p>\n
<\/p>\n
UPDATE Juli 2023 2.0<\/h2>\nEU-Kommission unternimmt einen dritten Anlauf<\/h3>\n
Nach Safe Harbor<\/strong> und Privacy Shield<\/strong> hat die Europ\u00e4ische Kommission nun auch das Trans-Atlantic Data Privacy Framework<\/strong> genehmigt. Am 10. Juli 2023 verabschiedete die EU-Kommission ihren Angemessenheitsbeschluss<\/strong> f\u00fcr den EU-US-Datenschutzrahmen und damit wieder die rechtliche Basis f\u00fcr den Transfer personenbezogener Daten in die USA<\/strong> geschaffen.<\/p>\nDie Entscheidung der Kommission kommt zu dem Schluss, dass die von den USA vorgenommenen \u00c4nderungen an ihren nationalen Rechtsvorschriften nun ein angemessenes Schutzniveau<\/strong> f\u00fcr personenbezogene Daten gew\u00e4hrleisten, die aus der EU an Organisationen mit Sitz in den USA \u00fcbermittelt werden. Dies setzt jedoch voraus, dass diese Organisationen Ma\u00dfnahmen ergreifen, um den Anforderungen des neuen „Datenschutzrahmens“<\/strong> gerecht zu werden.<\/p>\nWas bedeutet die neue Angemessenheitsentscheidung?<\/h3>\n
Mit dem EU-US-Datenschutzrahmen werden neue verbindliche Schutzma\u00dfnahmen<\/strong> eingef\u00fchrt, um vor\u00fcbergehend alle Bedenken auszur\u00e4umen, die zuvor vom Europ\u00e4ischen Gerichtshof ge\u00e4u\u00dfert wurden.<\/p>\n\n- Dazu geh\u00f6rt unter anderem eine Einschr\u00e4nkung des Zugangs der US-Nachrichtendienste zu EU-Daten<\/strong> auf das notwendige und verh\u00e4ltnism\u00e4\u00dfige Ma\u00df;<\/li>\n
- sowie die Einrichtung eines Datenschutzgerichts (DPRC)<\/strong>, auf das EU-B\u00fcrger Zugang haben werden.<\/li>\n
- Das Handelsministerium der USA wird Antr\u00e4ge auf eine Zertifizierung bearbeiten und \u00fcberwachen<\/strong>, ob die teilnehmenden Unternehmen weiterhin die Zertifizierungsanforderungen erf\u00fcllen.<\/li>\n
- Unternehmen oder Organisationen, die den DPF-Zertifizierungsprozess<\/strong> durchlaufen haben, k\u00f6nnen personenbezogene Daten aus der EU und dem EWR in die USA importieren, ohne auf andere Daten\u00fcbertragungsmechanismen wie Standardvertragsklauseln (SCCs) angewiesen zu sein.<\/li>\n
- Wenn sich ein Unternehmen oder eine Organisation selbst f\u00fcr den DPF zertifiziert, kann sie personenbezogene Daten frei in die USA \u00fcbermitteln, ohne eine Transfer-Folgenabsch\u00e4tzung (TIA)<\/strong> f\u00fcr die Daten\u00fcbertragung durchf\u00fchren oder zus\u00e4tzliche Ma\u00dfnahmen ergreifen zu m\u00fcssen.<\/li>\n
- Das Handelsministerium wird eine Liste von US-Unternehmen<\/strong> f\u00fchren und ver\u00f6ffentlichen, die sich bei selbst zertifiziert haben. Nur Unternehmen auf der Datenschutzrahmenliste<\/strong> k\u00f6nnen von der Angemessenheitsentscheidung der EU-Kommission profitieren. Das Handelsministerium wird Unternehmen von der Datenschutzrahmenliste streichen, die sich freiwillig aus der EU-USA zur\u00fcckziehen, die j\u00e4hrliche erneute Zertifizierung nicht abschlie\u00dfen oder die Grunds\u00e4tze nicht einhalten.<\/li>\n
- Die Nutzung von Cloud-Diensten<\/strong> wie Microsoft Teams, Zoom, Amazon AWS und dergleichen wird nicht mehr ganz so problematisch<\/strong>, sobald Unternehmen dem DPF-Rahmen beitreten.<\/li>\n<\/ul>\n
Aber<\/strong><\/p>\n\n- die Nutzung sozialer Medien ist nach wie vor problematisch<\/strong>, da die einzig m\u00f6gliche Rechtsgrundlage f\u00fcr Werbung, die auf Profiling basiert, die Zustimmung ist.<\/li>\n
- Unternehmen sollten jedoch sorgf\u00e4ltig pr\u00fcfen, ob es notwendig ist, ihre vollst\u00e4ndige Offenlegung personenbezogener Daten von den USA in die EU zu migrieren. Trotz der Einf\u00fchrung des DPF sind Unternehmen m\u00f6glicherweise weiterhin auf EU-SCCs angewiesen<\/strong>. Die Angemessenheitsentscheidung erleichtert zwar die Durchf\u00fchrung einer Folgenabsch\u00e4tzung f\u00fcr den Transfer in der Praxis, dennoch kann es gute Gr\u00fcnde geben, sich weiterhin auf EU-SCCs oder verbindliche Unternehmensregeln (BCR)<\/strong> zu st\u00fctzen. Daher sollte eine Einzelfallentscheidung getroffen werden.<\/li>\n<\/ul>\n
\u00dcberpr\u00fcfungen stehen an<\/h3>\n
Die EU-Kommission hat angek\u00fcndigt, die einschl\u00e4gigen US-Entscheidungen kontinuierlich zu \u00fcberwachen<\/strong>, und regelm\u00e4\u00dfig die Angemessenheitsentscheidung zu \u00fcberpr\u00fcfen, um sicherzustellen, dass alle relevanten Elemente des neuen Rahmens in der Praxis effektiv funktionieren. Die erste \u00dcberpr\u00fcfung soll nach einem Jahr, d. H. Im Juli 2024, stattfinden.<\/strong><\/p>\n