Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework

[English]Die europäische Union (EU) und die USA haben sich wohl vorläufig auf ein Abkommen zum Datenaustausch von Benutzerdaten (Trans-Atlantic Data Privacy Framework) zwischen diesen Regionen geeinigt. Das Nachfolgeabkommen ist erforderlich, weil der europäische Gerichtshof zwei Vorläuferabkommen gekippt hat. Während die US IT-Riesen jubeln, sehen Datenschützer das Ganze kritisch.


Anzeige

Dass eine vorläufige Vereinbarung erreicht wurde, haben US-Präsident Biden und die Präsidentin der Europäischen Kommission, Ursula von der Leyen, am Freitag, den 25. März 2022 in Brüssel verkündet. Dieses Trans-Atlantic Data Privacy Framework genannte Abkommen muss nun von den Gremien beiderseits des Atlantik (z.B. EU-Parlament) ratifiziert werden.

Kommt das Trans-Atlantic Data Privacy Framework-Abkommen zustande, würde sie eines der heikelsten offenen Probleme zwischen den beiden Wirtschaftsräumen lösen: Nämlich den Umstand, dass aktuell keine personenbezogenen Daten europäischer Bürger in die USA transferiert werden dürfen, da der US Cloud-Act den Zugriff der US-Behörden auf diese Daten ermöglicht.

Trans-Atlantic Data Privacy Framework

Die beste Quelle ist immer noch das Weiße Haus, die am 25. März 2022 hier ihr Fact Sheet zum Trans-Atlantic Data Privacy Framework veröffentlicht haben. Dort erfährt man, dass die Vereinigten Staaten und die Europäische Kommission sich bezüglich eines neuen transatlantischen Datenschutzrahmens geeinigt haben. Nach der Lesart der Veröffentlichung soll das Trans-Atlantic Data Privacy Framework den transatlantischen Datenverkehr fördern und die Bedenken bezüglich bisheriger Regelungen ausräumen.

Im Jahr 2020 hatte der europäische Gerichtshof (EuGH) das zwischen den USA und der EU geschlossene Datenschutzabkommen "Privacy Shield" gekippt. Das betraf alle Cloud-Dienste, die in den USA gehostet werden (siehe auch die Ausführungen im Beitrag EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"). Auch das Vorgängerabkommen, Safe Harbor genannt, war vom EuGH gekippt worden (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig). Nach diesen beiden Urteilen war kein legaler Transfer von persönlichen Daten der EU-Bürger zwischen der EU und den USA mehr möglich. Das traf vor allem die US-Cloud-Anbieter wie Amazon, Google, Microsoft, aber auch Apple oder Facebook  – und es war klar, dass es ein Nachfolgeabkommen geben muss.

Jetzt haben die USA und die Europäische Union haben eine vorläufige Einigung erzielt, die es erlaubt, Daten über Europäer auf amerikanischem Boden zu speichern, und damit eine wachsende Bedrohung für die transatlantischen Aktivitäten tausender Unternehmen abwendet, jubelt das Wall Street Journal in diesen Artikel.

Wir reden über Milliarden

US-Präsident Joe Biden sagte bei der Verkündung des vorläufigen Rahmens für das Abkommen, dass dieser das gemeinsames Engagement zum Schutz der Privatsphäre, den Datenschutz und die Rechtsstaatlichkeit unterstreiche. Das Abkommen würde es den EU-Behörden ermöglichen, wieder transatlantische Datenströme zu genehmigen. Dies würde dazu beitragen, die Wirtschaftsbeziehungen mit der EU in Höhe von 7,1 Billionen Dollar zu erleichtern. Follow the money.

Der Rahmen des Abkommens

Der jetzt verhandelte Rahmen des Trans-Atlantic Data Privacy Framework befasst sich mit zwei Anliegen des EU Gerichtshofs im Zusammenhang mit den US-Cloud Act Überwachungsgesetzen:

  • den Umfang und die Verhältnismäßigkeit zulässiger nationaler Sicherheitsüberwachungsmaßnahmen der USA und
  • die Verfügbarkeit von Rechtsbehelfen für Europäer, deren personenbezogene Daten von US-Geheimdiensten unrechtmäßig erhoben und verwendet werden.

Der neue Rahmen stellt mutmaßlich klar, dass die Überwachungspraktiken der USA sowohl notwendig als auch verhältnismäßig sein müssen. Zudem verspricht das Abkommen die Möglichkeit für von unzulässiger Überwachung betroffenen Europäern eine wirksame Überprüfung und Entschädigung vor einem unabhängigen Datenschutzgericht, zu erwirken. Hier die Kernpunkte aus der Veröffentlichung des Weißen Hauses:

  • Die Sammlung von Daten [durch die US-Behörden] darf nur dann erfolgen, wenn dies zur Förderung legitimer nationaler [US-]Sicherheitsziele erforderlich ist, und darf den Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen;
  • Einzelpersonen aus der EU können sich an einen neuen mehrstufigen Rechtsbehelfsmechanismus wenden, der ein unabhängiges Datenschutzprüfungsgericht umfasst, das sich aus Personen zusammensetzt, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Klagen zu entscheiden und gegebenenfalls Abhilfemaßnahmen anzuordnen;
  • Die US-Nachrichtendienste werden Verfahren einführen, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten.

Klingt gut, für US-Firmen – für EU-Bürger, die ihre Datenschutzrechte durchsetzen möchten, wird der Weg aufwändig und steinig, so meine Einschätzung.


Anzeige

Juristische Ausführung

Es soll ein neuer US-Datenschutzgerichtshof und die Verpflichtung zur Begrenzung unverhältnismäßiger Datenerhebungen per US-Durchführungsverordnung geschaffen werden, heißt es von Mitarbeitern der EU-Kommission und der US-Regierung. Die Verhandler und Beobachter aus den USA und aus der EU gehen aber bereits davon aus, dass das neue Abkommen, sofern es denn von den zuständigen Gremien ratifiziert wird und zustande kommt, erneut vor dem Europäischen Gerichtshof angefochten wird.

Man kann das Ganze auch knapp in "Alles zurück auf los" zusammen fassen. Ob das Abkommen kommt, und ob das Trans-Atlantic Data Privacy Framework den EuGH-Elch-Test dieses Mal besteht, steht in den Wolken der Venus geschrieben – die zeigen täglich neue Formationen.

Facebook, Google & Co. jubeln

Das im Raum stehende Abkommen dürfte die Bedenken von Unternehmen wie Meta Platforms Inc. (Facebook) und Alphabet Inc. (Google) beruhigen. Denn die US-Unternehmen sahen sich mit zunehmenden rechtlichen Anfechtungen von Datentransfers aus der EU konfrontiert. Die Möglichkeit von Unternehmen, in den USA ansässige Datenzentren zu nutzen, um beispielsweise Online-Werbung zu verkaufen, den Datenverkehr auf ihrer Website zu messen oder die Gehaltsabrechnung ihres Unternehmens in Europa zu verwalten, stand auf dem Spiel – und nun ist "freie Fahrt in Sicht". Microsoft hat bereits mit dem Blog-Beitrag EU-U.S. data agreement an important milestone for data protection, Microsoft is committed to doing our part reagiert.

Ein Bild von noyb sagt mehr als 1000 Worte

Ich habe natürlich auch die erste Reaktion von Max Schrems eingefangen, der ja erfolgreich mit seiner Organisation noyb gegen die bisherigen Datenschutzabkommen geklagt hatte.

noyb zum Trans-Atlantic Data Privacy Framework

Obiges Bild fasst das zusammen, was Max Schrems in seiner ersten Stellungnahme von noyb in diesem Artikel schreibt. Laut Schrems handelt es sich lediglich um eine politische Ankündigung, nicht um einen Text, der analysiert werden kann. Soweit noyb informiert ist, gibt es einen solchen Text noch nicht und es wird einige Monate dauern, bis er ausgearbeitet ist.

Die Juristen müssen noch Lösungen für die vom Europäischen Gerichtshof (EuGH) aufgeworfenen Probleme finden. Bislang wurden trotz zweijähriger Diskussionen noch keine voll funktionsfähigen Lösungen geliefert. Was noyb hört, so Schrems, ist, dass die USA nicht vorhaben, ihre Überwachungsgesetze zu ändern, sondern nur Zusicherungen der Exekutive (unter Verwendung von EU-Sprache wie "Verhältnismäßigkeit") vorsehen.

Es ist für Schrems unklar, wie dies die Prüfung durch den EuGH auch nur im Entferntesten bestehen soll, da der EuGH die US-Überwachung bereits als nicht "verhältnismäßig" eingestuft hat. Frühere Abkommen sind in dieser Hinsicht zweimal gescheitert. Vor allem: Es scheint keine Aktualisierung des "Privacy Shield"-Prinzips für die kommerzielle Datennutzung zu geben. Und das, obwohl die Datenschutz-Grundverordnung (DSGVO) seit der Verabschiedung des Privacy Shields in Kraft getreten ist.

Schrems schreibt: Jede neue Vereinbarung wäre kein bilaterales Abkommen, sondern eine Exekutiventscheidung der Europäischen Kommission, die zunächst vom Europäischen Datenschutzausschuss (EDPB) geprüft werden müsste. Dieser Prozess kann erst eingeleitet werden, wenn ein Rechtstext vorliegt. Ein tatsächlicher "Angemessenheitsbeschluss" würde daher noch ein paar Monate in Anspruch nehmen.

Unternehmen können eine Vereinbarung erst dann nutzen, wenn sie formell verabschiedet ist, was Monate dauern wird. Und ganz wichtig: Eine Entscheidung kann schnell vor dem Europäischen Gerichtshof angefochten werden. noyb geht davon aus, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden kann, z. B. durch zivilrechtliche Streitigkeiten und einstweilige Verfügungen. Der EuGH kann sogar vorläufige Maßnahmen ergreifen, wenn ein Abkommen eindeutig gegen frühere Urteile verstößt.

Die Süddeutsche Zeitung titelt zum Dritten Akt dieses Dramas Dritter Versuch beim transatlantischen Datenschutz – und sieht das Ganze als "mögliche Einigung im Zeichen der Ukraine-Krise". Das Fazit von Schrems, dem ich mich anschließen kann: Insgesamt scheint das alles eine politische Ankündigung, anlässlich des Besuchs des US-Präsidenten in Europa, zu sein, der ohne einen soliden Text vorerst keine Rechtssicherheit erzeugt.

Die oben aufgeführten "kraftvollen" Statements des Weißen Hauses und von Google, Facebook, Microsoft etc. sind in diesem Kontext Nebelkerzen – das muss mit Leben (aka Ausführungstexten) gefüllt werden – und dann sehen wir weiter. Wenn sich bezüglich der US-Gesetze nichts ändert, heißt es "aller schlechten Dinge sind Drei" und das wird auch vom EuGH gekippt.

Ergänzung: Bei heise ist mit einigen Tagen Nachlauf dieser Beitrag zum 31. März 2022 erschienen. Im Prinzip wird obige Einschätzung gestützt – die EU-Institutionen müssen das Ganze mit Leben füllen, so dass frühestens Ende 2022 eine Regelung in Kraft gesetzt werden könnte. Firmen haben also weiterhin keine Option, Daten in die USA zu transferieren. Und ob ein neues Abkommen vor dem EuGH Bestand hat, ist dann auch offen.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit Cloud, Datenschutz verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework

  1. Hans Dampf sagt:

    Daten im Tausch gegen Gas.

  2. Wil Ballerstedt sagt:

    Schade, ich begehe ständig den Fehler, nach Frau v. d. L. weiterzulesen. Auch hier wurde der fürchterliche Murks zwar gut erklärt, aber Murks bleibt Murks.

    Auch wenn einfache Deals mit amerikanischen Firmen den dortigen Behörden ziemlich egal sein werden, gehe ich davon aus, dass KI im Hintergrund alles überwacht. (Siehe Absichten der NSA, vorerst alle Daten, die über die USA gehen zu speichern. Und Pläne der USA, den kompletten Internetverkehr über US-Hoheitsgebiet laufen zu lassen.)

  3. Andy sagt:

    Ohne Text ist das nur eine diplomatische Adresse, die die EU und die USA abgeben. Davon gibt es im Moment dutzende, die alle den Zusammenhalt betonen.
    Wenn ein Text vorliegt, kann man sich damit beschäftigen.
    Die Entwicklung der EU mit Frau von der Leyen macht mir allerdings zunehmend Sorgen. Immer mehr weitreichend wirkende Mitteilungen und Entscheidungen, denen kein erkennbarer Prozess in den Parlamenten oder überhaupt nur eine nachvollziehbare Diskussion vorausgegangen ist. Und diese beeinflussen nachhaltig die Entscheidungen in den demokratischen Prozessen, weil dann ja wer anders Buhmann spielen muss – oder halt "zähneknirschend zustimmen".
    Ich persönlich wäre dafür, dass es echte Pflicht wird, die demokratischen Pflichten zu erfüllen, z.B. alle Anhörungen auch durchzuführen, bevor man Entscheidungen fällt oder wie hier Entscheidungen vorweg nimmt. Und mit "echte Pflicht" meine ich, dass das Übergehen sanktioniert wird. Und nicht auch noch als politisches Signal im internationalen Verkehr genutzt wird, das ungefähr "wir handeln entweder autokratisch oder unzuverlässig oder simulieren Demokratie" zu lauten scheint. Was davon als Erkenntnis bei anderen hängen bleibt, hängt halt davon ab, ob das Parlament überhaupt beteiligt wird, dieses dann auch wirklich zustimmt oder das Ergebnis der Abstimmung schon vorher klar ist.

    Ich bitte, diesen verärgerten Ausflug zu entschuldigen. Die Historie der Sache hat eine stark dämpfende Wirkung auf den Glauben an die demokratischen Strukturen und Prozesse. Wie bei der Vorratsdatenspeicherung…

  4. janil sagt:

    Man wird sehen, was ausgearbeitet wird und dann nachgelesen werden kann. Anschließend geht es eventuell vor den Kadi, sorry EuGH, oder wird beschlossen. Mal gucken, wo der Tee ist.

  5. Reinhard H. sagt:

    EU und USA vereinbaren irgendetwas, Schrems klagt, bekommt recht und EU und USA fangen von vorne an. In den 3 Jahren dazwischen wird wegen der offenen Fragen mit SCC übertragen. Und dann wiederholt sich das Spiel. Eigentlich könnten die Verträge auf Vorrat produzieren.

  6. DerDirk sagt:

    Was will man auch erwarten, wenn man die FlintenUschi an solche Projekte lässt.
    Sie hat ja vorher schon kompetent gezeigt, wie gut sie in It Sachen ist. Das berühmt STOP Schild war ja eine ihrer Meisterleistungen.

Schreibe einen Kommentar zu janil Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.