{"id":6255,"date":"2022-10-14T16:01:21","date_gmt":"2022-10-14T14:01:21","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6255"},"modified":"2022-10-14T16:01:21","modified_gmt":"2022-10-14T14:01:21","slug":"gute-nachrichten-usa-datentransfer","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/gute-nachrichten-usa-datentransfer\/","title":{"rendered":"\u201eGute\u201c Nachrichten f\u00fcr den USA Datentransfer?"},"content":{"rendered":"

Am 7. Oktober 2022 hat US-Pr\u00e4sident Joe Biden das neue \u201eTrans-Atlantic Data Privacy Framework, also das neue Datenschutzabkommen mit der Europ\u00e4ischen Union durch einen Pr\u00e4sidialen Erlass (Executive Order) auf den Weg gebracht. Damit soll dem Datenaustausch zwischen der EU und US-Anbietern mit einem weiteren Schritt der juristische Weg freigemacht werden. Wir berichteten bereits in unserem Blog<\/a> \u00fcber die verschiedenen Entwicklungen f\u00fcr einen USA Datentransfer.<\/p>\n

Das Vorg\u00e4ngerabkommen \u201ePrivacy Shield\u201c war, wie auch schon dessen Vorg\u00e4nger \u2013 das Safe Habour Abkommen – durch Max Schrems und seiner Datenschutzorganisation noyb, vor dem EuGH gekippt worden. Eine kurze Zusammenfassung der Ereignisse findet Ihr am Ende des Beitrags.<\/p>\n

USA Datentransfer: Executive Order unterzeichnet<\/h2>\n

Es war die Meldung vom Freitag: US-Pr\u00e4sident Joe Biden hat eine Executive Order unterzeichnet, die ein neues Datenschutzabkommen mit der Europ\u00e4ischen Union auf den Weg bringen soll. Der Fact-Sheet<\/a> des Wei\u00dfen Hauses kl\u00e4rt \u00fcber weitere Details auf.<\/p>\n

Diese Exekutivanordnung pr\u00e4zisiert die Verpflichtungen der USA, die diese im Rahmen des Datenschutzrahmens zwischen der Europ\u00e4ischen Union und den USA (EU-U.S. Data Privacy Framework \u2013 DPF) zum Schutz europ\u00e4ischer Nutzer umsetzen m\u00f6chte.<\/p>\n

Nur bei begr\u00fcndetem Verdacht
\n<\/strong>Es soll weitere Schutzma\u00dfnahmen der USA geben, die sicherstellen, dass US-Geheimdienste und -Beh\u00f6rden nur dann auf Daten europ\u00e4ischer Nutzer zugreifen d\u00fcrfen, wenn es sich um die Verfolgung definierter nationaler Sicherheitsziele handelt. Die Privatsph\u00e4re und die b\u00fcrgerlichen Freiheiten aller Personen sind, unabh\u00e4ngig von ihrer Staatsangeh\u00f6rigkeit oder ihrem Wohnsitzland, zu ber\u00fccksichtigen. Zugriffe auf Daten d\u00fcrfen nur durchgef\u00fchrt werden, wenn dies notwendig ist, eine Person ein best\u00e4tigtes Sicherheitsrisiko darstellt, und nur in dem Umfang und auf eine Weise, die diesem Risiko angemessen ist.<\/p>\n

\u00dcberwachungsorgane<\/strong>
\nDas EU-U.S. Data Privacy Framework schreibt den Umgang mit personenbezogenen Daten vor, die im Rahmen von nachrichtendienstlichen Aktivit\u00e4ten erhoben wurden, und erweitert die Zust\u00e4ndigkeiten von Rechts-, Aufsichts- und Compliance-Beh\u00f6rden. Dies soll sicherstellen, dass bei Verst\u00f6\u00dfen gegen die Vorschriften geeignete Ma\u00dfnahmen ergriffen werden.<\/p>\n

Anpassung der Vorgaben f\u00fcr Nachrichtendienste<\/strong>
\nDie US-Geheimdienste m\u00fcssen ihre Richtlinien und Verfahren aktualisieren, um die neuen, in der Executive Order enthaltenen Garantien f\u00fcr den Schutz der Privatsph\u00e4re und der b\u00fcrgerlichen Freiheiten zu ber\u00fccksichtigen.<\/p>\n

\u201eDatenschutzgericht\u201c<\/strong>
\nEs soll einen mehrstufiger Mechanismus f\u00fcr B\u00fcrger und Unternehmen der EU) geschaffen werden. Dieser Mechanismus soll eine unabh\u00e4ngige und verbindliche \u00dcberpr\u00fcfung und Wiedergutmachung von stattgefundenen F\u00e4llen erm\u00f6glichen, in denen US-Geheimdienste private Daten unter Verletzung des geltenden US-Rechts gesammelt oder verarbeitet haben.<\/p>\n

Diese Schritte sollen der Europ\u00e4ischen Kommission eine Grundlage f\u00fcr die Annahme eines neuen Angemessenheitsbeschlusses nach Art. 45 DSGVO bieten. Dieser ist erforderlich, damit Unternehmen in der EU pers\u00f6nliche Daten von EU-B\u00fcrgern an US-Unternehmen zur Speicherung und Auswertung \u00fcbertragen k\u00f6nnen. Der Angemessenheitsbeschluss der EU bescheinigt dem betreffenden Land ausreichende Datenschutzma\u00dfnahmen zu treffen, um die \u00dcbermittlung pers\u00f6nlicher Daten gem\u00e4\u00df DSGVO zuzulassen.<\/p>\n

Die Hoffnung der USA ist es, \u00fcber die obige Executive Order (EU-U.S. Data Privacy Framework \u2013 DPF) wieder einen g\u00fcltigen Rechtsrahmen zu etablieren, wobei es, vor allem um die Gesch\u00e4ftsinteressen der gro\u00dfen US-Technologie- und Cloud-Anbieter geht. Au\u00dferdem soll dadurch mehr Rechtssicherheit f\u00fcr Unternehmen geschaffen werden, die Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften f\u00fcr die \u00dcbermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten verwenden.<\/p>\n

Der ECO-Verband begr\u00fc\u00dft den Schritt<\/h3>\n

Der Verband der Internetwirtschaft (ECO) begr\u00fc\u00dft in einer ersten Stellungnahme die aktuellen Entwicklungen. ECO sieht in diesem Schritt, dass eine L\u00f6sung f\u00fcr die rechtssichere \u00dcbertragung personenbezogener Daten aus der EU in die USA pr\u00e4sentiert wurde. Dieser versuche den Anforderungen der Vorgaben des EuGH Rechnung zu tragen. F\u00fcr die digitale Wirtschaft, insbesondere f\u00fcr viele kleine und mittelst\u00e4ndische Unternehmen, k\u00f6nnte damit endlich ein stabiles Fundament f\u00fcr den rechtssicheren Datenaustausch auf internationaler Ebene gelegt werden, hofft der Verband. Damit w\u00fcrde die bisherige Zitterpartie endlich beendet, Rechtssicherheit und Verl\u00e4sslichkeit bei den Unternehmen geschaffen.
\nEco wei\u00df auch, wie es weiter gehen soll und schreibt: \u201eJetzt muss die Europ\u00e4ische Kommission z\u00fcgig die erforderlichen Schritte einleiten, damit das Abkommen in Kraft treten kann. Bis dahin sollten sich die Datenschutzbeh\u00f6rden klar positionieren, die vorliegende L\u00f6sung anerkennen und bis zur Inkraftsetzung unbedingt auf Bu\u00dfgeldverfahren oder etwaige \u00dcbertragungsverbote bei den Unternehmen verzichten.\u201c<\/p>\n

Gibt es ein Schrems III-Urteil?<\/h3>\n

Die beiden oben erw\u00e4hnten EuGH-Urteile, die bisherige Datenschutzabkommen mit den USA gekippt haben, wurden von der Datenschutzvereinigung noyb, rund um Max Schrems, erstritten. Es wird von den Schrems I- und II-Urteilen gesprochen. Interessant ist daher, wie Verbraucher- und Datenschutzvereinigungen die letzten Entwicklungen bewerten und reagieren.<\/p>\n

Die europ\u00e4ische Verbrauchergruppe BEUC hat eine Mitteilung herausgegeben, die besagt, dass der Rahmen „wahrscheinlich immer noch unzureichend ist, um die Privatsph\u00e4re und die pers\u00f6nlichen Daten der Europ\u00e4er zu sch\u00fctzen, wenn sie in die USA transferiert werden“. Laut BEUC gibt es bei der neuen Executive Order „keine wesentlichen Verbesserungen, um Fragen im Zusammenhang mit der kommerziellen Nutzung personenbezogener Daten anzugehen“. Das ist aber ein Bereich, in dem das vorherige Abkommen, der EU-US-Datenschutzschild, hinter den GDPR-Anforderungen zur\u00fcckblieb.<\/p>\n

Ashley Gorski, leitende Anw\u00e4ltin beim ACLU National Security Project (USA) erkl\u00e4rt, dass die Anordnung „nicht weit genug geht. Sie sch\u00fctzt die Privatsph\u00e4re von Amerikanern und Europ\u00e4ern nicht angemessen und stellt nicht sicher, dass Menschen, deren Privatsph\u00e4re verletzt wird, ihre Anspr\u00fcche von einem v\u00f6llig unabh\u00e4ngigen Entscheidungstr\u00e4ger kl\u00e4ren lassen k\u00f6nnen“.<\/p>\n

Die Position von noyb und Max Schrems k\u00f6nnt ihr in deren Blog genauer nachlesen. Es reicht wohl nicht.<\/p>\n

Schrems will mit noyb die Dokumente in den kommenden Tagen analysieren, stellt aber bereits mit der Datenschutzorganisation fest:<\/strong>
\nDass alle europ\u00e4ischen Daten, die an US-Provider gesendet werden, weiterhin in Programmen wie PRISM und Upstream landen, obwohl der EuGH diese \u00dcberwachung schon zweimal als nicht „verh\u00e4ltnism\u00e4\u00dfig“ (gem\u00e4\u00df der europ\u00e4ischen Definition des Wortes) und damit f\u00fcr illegal erkl\u00e4rt hat.<\/p>\n

Laut Schrems scheint es, als h\u00e4tten sich die EU und die USA zwar darauf geeinigt, das Wort „verh\u00e4ltnism\u00e4\u00dfig“ in das US-Dokument aufzunehmen, aber nicht darauf, wie dieses zu verstehen ist. Nach derzeitigem Stand ist eine Massen\u00fcberwachung nach wie vor nicht ausgeschlossen.<\/p>\n

Max Schrems, Vorsitzender von noyb.eu sagt dazu:
\n<\/strong>„Am Ende wird sich die Definition des EuGHs durchsetzen \u2013 und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist entt\u00e4uschend, dass die Europ\u00e4ische Kommission das US-Recht ignoriert und Europ\u00e4er weiterhin ausspionieren lassen will.“<\/p>\n

Des Weiteren bem\u00e4ngelt Max Schrems, dass es sich von der bei dem vorgesehenen Gericht lediglich um ein „Verwaltungsorgan“ handelt, dessen Urteile vorab festgeschrieben seien.<\/p>\n

Das Verfahren ist genauso grotesk wie der vor zuvor eingesetzte Ombudsman: Man muss indirekt \u00fcber eine EU-Datenschutzbeh\u00f6rde eine Beschwerde an einen US-Beamten schicken. Dieser wird Antworten, dass die USA weder best\u00e4tigen noch verneinen kann, dass eine \u00dcberwachung stattfand. Au\u00dferdem wurde die potentielle \u00dcberwachung entweder rechtm\u00e4\u00dfig vorgenommen \u2013 und wenn nicht wurde das Problem behoben (siehe Section 3(c)(E) der Executive Order). Die gleiche (festgeschriebene) Antwort erh\u00e4lt man auch vom Data Protection Review Court.<\/p>\n

Laut Schrems m\u00fcssen US-Unternehmen auch die DSGVO nicht einhalten \u2013 die EU verlangt keine diesbez\u00fcgliche Anpassung der Privacy Shield-Prinzipien. US-B\u00fcrger, die in den USA leben, haben zwar \u00fcber die US-Verfassung ein Recht auf Privatsph\u00e4re. Das gilt aber nicht f\u00fcr EU-B\u00fcrger. Die Grunds\u00e4tze seien weitgehend identisch mit den fr\u00fcheren „Safe Harbor“-Grunds\u00e4tzen aus dem 2000, so Schrems. Das bedeutet, dass US-Unternehmen weiterhin europ\u00e4ische Daten verarbeiten k\u00f6nnen, ohne die DSGVO einzuhalten. Sie ben\u00f6tigen beispielsweise nicht einmal eine Rechtsgrundlage f\u00fcr die Verarbeitung, wie etwa eine Einwilligung. Unter dem Privacy Shield mussten US-Unternehmen den Nutzer lediglich eine Opt-out-Option anbieten. Und dass, obwohl der EuGH betont hat, dass es in den USA „der Sache nach gleichwertigen“ Schutz geben muss, damit Daten frei in die USA \u00fcbermittelt werden k\u00f6nnen.<\/p>\n

Aus der Praxis<\/h2>\n

Wir wissen von unseren Kunden, wie sehns\u00fcchtig eine L\u00f6sung f\u00fcr den US-Datentransfer gew\u00fcnscht\/ben\u00f6tigt wird. In einigen Branchen ist es mitunter schwierig gutfunktionierende und bezahlbare europ\u00e4ische Alternativen zu finden. Unsere Empfehlung lautet dennoch weiterhin, nutzt besser vertrauensw\u00fcrdige Anbieter aus der europ\u00e4ischen Union. Und sollte das nicht m\u00f6glich sein, muss man den Umweg \u00fcber SCC (EU Standarddatenschutzklauseln) und zus\u00e4tzliche Ma\u00dfnahmen nehmen.
\nWie Max Schrems bereits ausgef\u00fchrt hat, w\u00fcrde ein neues Abkommen auf dem jetzigen Stand keinen dauerhaften Schutz sowohl f\u00fcr die verarbeitenden Unternehmen, wie auch die Betroffenen bieten.<\/p>\n

Die spannendste Frage am Ende des Tages wird sein:<\/strong>
\nWie lange braucht es, bis der EuGH auch sein drittes Schrems-Urteil in dieser Angelegenheit f\u00e4llt?<\/p>\n

Die Hintergr\u00fcnde zu den US-Garantien<\/h2>\n

Schrems I<\/strong>
\n2000 hatten die EU und die USA ein Datenschutzabkommen unter dem Namen Safe Harbor geschlossen. Dieses sollte die Verarbeitung privater Daten europ\u00e4ischer Nutzer rechtlich regeln und den Datenaustausch von EU-Firmen mit US-Unternehmen erm\u00f6glichen. Das „Safe Harbor“-Abkommen zwischen EU und den USA wurde im \u201eSchrems-Urteil\u201c im Oktober 2015 vom Europ\u00e4ischen Gerichtshof kassiert.<\/p>\n

Schrems II<\/strong>
\nMitte 2016 Dann gab es einen weiteren Versuch der EU-Kommission zu einem Datenschutzabkommen mit den USA, der als „Privacy Shield“ bezeichnet wurde. Allerdings wurde auch dieses Datenschutzabkommen vom Europ\u00e4ischen Gerichtshof gekippt. Auch in diesem Fall sah der EuGH das Datenschutzniveau, dass die USA f\u00fcr EU-B\u00fcrger und deren Daten vorsah, als nicht vereinbar mit europ\u00e4ischem Recht an. Es gibt vor allem um die Befugnisse von US-Geheimdiensten und -Beh\u00f6rden, auf in die USA \u00fcbertragene Daten zuzugreifen.<\/p>\n

Schrems III?<\/strong>
\nIm M\u00e4rz 2022 k\u00fcndigten dann EU-Kommissionspr\u00e4sidentin Ursula von der Leyen und US-Pr\u00e4sident Joe Biden bei dessen Besuch in Europa ein neues Abkommen an. Unter dem Begriff „Trans-Atlantic Data Privacy Framework“ hatten sich EU und die USA auf ein Abkommen zum Datenaustausch von Benutzerdaten zwischen den Regionen verst\u00e4ndigt. Die obige Executive Order ist jetzt der Schritt der USA, um der EU die Verabschiedung eines Angemessenheitsbeschlusses zu erm\u00f6glichen. Urspr\u00fcnglich war eine Verabschiedung bis Herbst 2022 geplant, aber nach derzeitigem Stand kann wohl fr\u00fchestens Anfang 2023 mit einer Ver\u00f6ffentlichung gerechnet werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Am 7. Oktober 2022 hat US-Pr\u00e4sident Joe Biden das neue \u201eTrans-Atlantic Data Privacy Framework, also das neue Datenschutzabkommen mit der Europ\u00e4ischen Union durch einen Pr\u00e4sidialen Erlass (Executive Order) auf den Weg gebracht. Damit soll dem Datenaustausch zwischen der EU und US-Anbietern mit einem weiteren Schritt der juristische Weg freigemacht werden. Wir berichteten bereits in unserem … <\/p>\n

Mehr Lesen Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":9,"featured_media":6258,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111],"tags":[170,172,171,169],"class_list":["post-6255","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","tag-datentransfer","tag-privacy-shield","tag-schrems-ii","tag-usa-datentransfer"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6255"}],"version-history":[{"count":6,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6255\/revisions"}],"predecessor-version":[{"id":6262,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6255\/revisions\/6262"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6258"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}