Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)

[English]Das EU-Parlament hat sich im Mai 2023 mit den Plänen der EU-Kommission für einen Angemessenheitsbeschluss befasst. Es geht um den Datentransfer in die USA im Hinblick auf das geplante EU-US Trans-Atlantic Data Privacy Framework. In knappen Worten zusammengefasst: Das EU-Parlament kommt zum Schluss, dass dieses Abkommen keinen adäquaten Datenschutz für europäische Bürger gewährleistet. Gleichzeitig werden erhebliche Bedenken gegen einen solchen Angemessenheitsbeschluss erhoben. Sieht so aus, als ob die EU-Kommission auch dieses Mal scheitern und juristisch gegen die Wand fahren wird.


Anzeige

Worum geht es?

Die EU-Kommission bereitet ja ein neues Abkommen zum Datenaustausch mit den USA, das Trans-Atlantic Data Privacy Framework, vor. Dazu wurde von der EU-Kommission zum 13. Dezember 2022 eine vorläufige Angemessenheitsentscheidung bekannt gegeben. Dies soll die Nachfolgeregelung des vom EuGH verworfenen EU-U.S. Privacy Shields Datenschutzabkommens werden. Sowohl der Europäische Datenschutzausschuss (EDSA) als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben sich kritisch zu diesem Angemessenheitsbeschluss geäußert (siehe Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework).

Die Resolution des EU-Parlaments

Zum 11. Mai 2023 hat das EU-Parlament eine Entschließung (Entschließung des Europäischen Parlaments vom 11. Mai 2023 zur Angemessenheit des vom Datenschutzrahmen zwischen der EU und den USA gebotenen Schutzes (2023/2501(RSP)) zum EU-US Trans-Atlantic Data Privacy Framework verabschiedet. Ich bin über nachfolgenden Tweet auf das Thema gestoßen.

Entschließung des EU-Parlaments zum EU-US Trans-Atlantic Data Privacy Framework

KINAST Rechtsanwälte, die im Datenschutzrecht unterwegs sind, haben den Inhalt dieser Entschließung, die recht gestelzt daherkommt, analysiert und die Ergebnisse lesefreundlicher auf datenschutzticker.de im Artikel Europäisches Parlament: Resolution zum US-EU Framework zusammen gefasst. Hier die Kernpunkte der EU-Parlamentsentschließung, die KINAST Rechtsanwälte herausgearbeitet haben.

  • Das EU-Parlament sieht in der Exekutiv-Anordnung des US-Präsidenten, auf die die Angemessenheitsbeschluss der EU-Kommission für den Datentransfer in die USA fußen soll, als ungenügende Änderung an. Es ließe sich kein ausreichendes datenschutzrechtliches Niveau erzielten.
  • Aus Sicht des Parlamentes stellt insbesondere die in der Exekutiv-Anordnung vorgesehene Frist für US-Behörden (läuft bis Oktober 2023), um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen, ein Problem dar. Die EU-Kommission könne daher keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.
  • Die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger wird (trotz der neuen Rechtsbehelfe in der Executive Order) als problematisch gesehen. Entsprechende Verfahren seien nicht öffentlich, die richterliche Unabhängigkeit wird in Frage gestellt.

Das Parlament kommt zum Schluss, dass die geplante transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete und Nachverhandlungen erfordere. Details sind auf datenschutzticker.de nachlesbar. Das ist quasi ein weiterer Sargnagel für das EU-US Trans-Atlantic Data Privacy Framework.

Die Historie des Ganzen

Seit dem Inkrafttreten der DSGVO (2018) sind Datentransfers persönlicher Daten von EU-Bürgern nur dann zulässig, wenn im Zielland ein angemessenes Datenschutzniveau sichergestellt ist. Ohne eine als "Angemessenheitsbeschluss" bezeichnete Einstufung der EU-Kommission dürfen im Prinzip keine US-Cloud-Dienste in Europa eingesetzt werden.

Daher gab es in der Vergangenheit bereits zwei solcher Datenschutzabkommen zwischen der EU und den USA, die aber juristisch gekippt wurden. Das erste Abkommen zur Legitimation des Datentransfers in die USA lief unter der Bezeichnung "Safe Harbor". Nach einer Klage von Max Schrems erklärte der Europäische Gerichtshof (EuGH) dieses Abkommen – wegen des ungenügenden Datenschutzniveaus – für ungültig (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig).

Der zweite Anlauf dre EU-Kommission für ein Nachfolgeabkommen mit dem Namen "Privacy Shield" wurde nach einer Folgeklage von Max Schrems und dessen Datenschutzverein noyb – aus den gleichen Gründen – ebenfalls vom EuGH für ungültig erklärt (siehe EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"). In beiden Urteilen wurde von den Richtern hervorgehoben, dass das Datenschutzniveau für EU-Bürger in den USA nicht mit den EU DSGVO-Standards vergleichbar bzw. angemessen seien.


Anzeige

Gemäß dem Spruch "Aller guten Dinge sind Drei", ist die EU-Kommission nun mit dem Trans-Atlantic Data Privacy Framework auf dem Weg erneut zu scheitern. Um ein Datenschutzabkommen zwischen den USA und Europa zu etablieren, wurde dazu am 7. Oktober 2022 auf US-Ebene eine Executive Order des Präsidenten für das EU-U.S. Data Privacy Framework – kurz DPF erlassen (siehe US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg). Dieses soll einen Datenschutzrahmen gewährleisten, um ein neues Datenschutzabkommen (Privacy Shield 2.0) zwischen der Europäischen Union und den USA zu ermöglichen.

Kritiker wie Max Schrems von noyb sehen in dieser Executive Order keine Verbesserung des Datenschutzniveaus, und prognostizieren, dass die unweigerlich nach Verabschiedung eines Abkommens eingereichte Klage vor dem Europäischen Gerichtshof (EuGH) erfolgreich sein werde.  Die EU-Kommission hatte dann zum 13. Dezember 2022 trotzdem ihre vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework bekannt gegeben.

Bevor die Kommission 2023 eine endgültige Entscheidung veröffentlichen kann, müssen zunächst die Datenschutzbehörden der 27 EU-Staaten sowie weitere EU-Institutionen Rückmeldung zum Abkommen geben. Ich hatte diesen Sachverhalt in diversen Artikeln hier im Blog thematisiert (siehe Beitrag US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg und weitere Links am Artikelende).

Die Stellungnahme der Datenschützer aus Europa und Deutschland fiel ähnlich wie die Einschätzung von Max Schrems aus – man sieht gravierende Probleme (siehe Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework). Der Dreiklang wird nun durch die obige Entschließung des EU-Parlaments gesetzt, die sich der prinzipiellen Kritik von Schrems/noyb und den Datenschützern anschließt.

Dies steht in krassem Gegensatz zu einem Lobby-Artikel der Kanzlei reuschlaw, dass der Datentransfer in die USA alles kein Problem und mit dem Angemessenheitsbeschluss der EU-Kommission "quasi ja schon abgeräumt sei" – ich hatte diese krasse Sichtweise im Blog-Beitrag MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise aufgegriffen.

Mal schauen, was nun passiert, und ob die EU-Kommission sehenden Auges gegen die Wand fährt. Zumindest die vielen Pläne der EU-Kommission (Europäischer Gesundheitsdatenraum, Überwachungspläne für Chats etc.) deuten auf einen massiven Abbau der Datenschutzrechte der EU-Bürger hin und werden wohl auch in Luxemburg vor dem Europäischen Gerichtshof (EuGH) scheitern.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)

  1. Anonymous sagt:

    Eins vorweg: Bin kein großer Cloud-Fan, im Gegenteil. Soll jeder für sich entscheiden, was er mit MS, google, etc. teilt.

    Aber irgendwie ist es doch lächerlich…auf der einen Seite immer wieder MS Cloud Dienste wegen Datenschutz und Transfer von Daten in die USA, wo Geheimdienste draufzugreifen können, verteufeln.

    Auf der anderen Seite eine vollumfassende Chatkontrolle voranbringen, damit hier Dienste wie Polizei etc. alles mitlesen können…

    Ich weiß, es geht hier um die DSGVO, also um personenbezogene Daten, Chatkontrolle ist da schon was anderes. Aber irgendwie auch nicht. Selbst die eigenen Bürger abhören ist OK, wenn die USA das macht nicht.

    • rpr sagt:

      Kann man so stehen lassen.
      Passt schon.
      Gruß

    • Anonymous sagt:

      Es geht bei MS/Google/Apple Cloud um alternativlose Abhängigkeiten von ausländischen Firmen, diese Dienste sind wie Rohstoffe, können jederzeit versiegen, mit fatalem Ende für die lokale Wirtschaft. Daher wird hier oft und mit Recht gewarnt.

      • R.S. sagt:

        So ist es.
        Sieht man ja auch bei den Streaminganbietern.
        Disney+ z.B. nimmt aktuell viele Eigenproduktionen aus dem Programm, kann man dann bei denen nicht mehr streamen.
        Auch da ist man abhängig von der Willkür der Anbieter.
        Wer die Sachen auf einem physischen Datenträger (optisch oder HDD, NAS, USB-Stick, etc.) hat, dem kann so etwas egal sein.

        Bei Cloudanbietern kann es sein, das der Account gesperrt oder gelöscht wird oder der Dienst einfach eingestellt wird, oder der Anbieter schlicht pleite geht und von heute auf morgen den Laden dicht macht. Dann hat man verloren und kommt nicht mehr an seine Daten.

    • McAlex777 sagt:

      Der unterschied ist das sich hiesige Behörden an hiesige Gesetze zu halten haben, während Unternehmen in den USA gegenüber Einzelpersonen nahezu machen können was sie wollen. z.B: Sperren – Verklag mich doch.

      Nichts desto trotz verstößt auch eine anlasslose Vollüberwachung aller Bürger gegen grundlegende Freiheitsrechte aller EU-Bürger. Das wurde mehrfach von höchsten deutschen wie euopäischen Gerichten festgestellt, und bestätigt.

      KI-Based wären da schnell horrorzenarien möglich.
      Darum kann ich nur jedem empfehlen sich aktiv zu beteiligen:

      z.B. Spenden:
      https://digitalcourage.de
      https://edri.org

      z.B. EU-Petition:
      https://digitalcourage.de/blog/2023/chatkontrolle-petition

    • Mira Bellenbaum sagt:

      Themen, die nichts miteinander zu tun haben in einen Topf werfen und dann irgendwie miteinander zu verknüpfen, hilft auch nicht so recht!
      Zumal das Thema "Chatkontrolle" nur von einigen vorangetrieben wird!
      Aber das EU-Parlament hat ja dem schon eine Absage erteilt und die Komision wird doof aus der Wäsche blicken.

      Zum Thema.
      Mir stellt sich die Frage, wie denn unter den gegebenen Umständen es immer noch sein kann, dass da niemand aktiv wird und Strafanzeige gegen alle Behörden und/oder Unternehmen, die ja weiterhin Produkte nutzen, die gegen die DSGVO verstoßen, stellt.

      Überall gibt es Datenschutzbeauftragte, im Betrieben, in Behörden, auf Landesebene, beim Bund
      ja, und sogar in der EU.
      Deren Aufgabe ist es doch nicht, nur auf Mängel hinzuweisen!
      Zur Not müssen diese auch per Gericht gegen Verstöße vorgehen!

      Und dann wären da ja auch noch die ganzen Zivilgesellschaften, die sich Daten- und Verbraucherschutz auf die Fahnen geschrieben haben.

      • Bernd sagt:

        Strafanzeige? Geht es Ihnen gut? Wir können auch gerne alle betroffenen Unternehmen abwickeln. Wie Sie dann Ihre Leben bestreiten wollen ist ja völlig egal. Erst denken, dann schreiben.

        • Mira Bellenbaum sagt:

          Ah, also kann jeder machen, was er will!
          An Gesetze braucht sich ja niemand mehr zu halten.

          Gnädig dann die Firma, die sich wenigstens an das Recht/die Pflicht der Entlohnung noch hält, oder wie?

          Erst denken, …. trifft wohl eher auf Sie zu!

          • Anonymous sagt:

            Die Erkenntnis, dass man nichts mehr ändern kann, dämmert manchen so langsam, es darf aber nicht sein, daher wird sich selbst in die Tasche gelogen. Die EU ist nicht besser als China.

          • Mira Bellenbaum sagt:

            Die EU?
            Was genau meinen Sie?
            Das institutionelle System der EU besteht aus fünf Organen jeweils mit spezifischen Aufgaben: Europäisches Parlament, Rat der Europäischen Union, Europäische Kommission, Europäischer Gerichtshof und Europäischer Rechnungshof.

            Ich kann also mit der platten Aussage, die EU so rein gar nichts anfangen.

      • Andy sagt:

        Die Datenschutzbeauftragten von Betrieben und Behörden würde ich von der Hoffnungsliste streichen. Die sind de facto nicht so geschützt, wie man gerne tut und haben dann schnell kein Lohn und Brot mehr, wenn sie tun, was sie sollten.
        Die sind und bleiben Angestellte und abhängig.

        • pau1 sagt:

          und wenn es die beliebteren externen DSBs
          sind bekommt halt ein andere den Auftrag.
          Eigene kritische und fähige Leute zu entlassen ist einfach nur dumm.
          M.W. schreibt kein Gesetz vor, das ein externer DSB für z.B. min. 5 Jahre bestellt werden muß und jeden Verstoß den er findet, zu einer Verlängerung des Vertrages führt…das wäre ja grotesk und würde Unternehmer in ihren Unernehmerrechten beschneiden…

      • pau1 sagt:

        Warum Behörden die DSGV egal sein kann?
        Weil Behörden von gesetz wegen keine Strafe droht.
        Schon sehr "witzig" was sich der Staat da einräumt.
        Als ob es in Ämtern keine Menschen gibt die Entscheidungen treffen und dafür haften…

        Unternehmen lassen sich von Microsoft bescheinigen, das ihre Cloud Server in Europa stehen. Steht ja auch dick in jeder Subdomain ".eu."…Für ein bomben Geschäft, denn Server deren IPs "garantiert" in Europa liegen sind natürlich teuerer.
        Firmen sind so DSGV konform.
        Das die US-Geheimdienste (die auch Industrie- und Wirtschaftsspionage betreiben dürfen (wie die chinesisschen auch) trotzdem an die Daten kommen ist den deutzschen CEOs egal. Sie sind so doof oder wissen wirklich nicht, das es in USA Geheim-Gerichte gibt die geheimee Urteile fällen und das US-Firmen alle(!) Daten rausgeben müssen, egal wo die Server real oder virtuell stehen.

        Und wer glaubt, das sein Traceroute/Ping den wirklichen Weg seiner Daten zeigt sollte sich lieber auf das Häkeln von Naturwolle beschränken, da er ja wohl auch an den Weihnachtsmann glaubt.

        Das der Tracetroute ein Fake ist ist, erkannte man früher rel. einfach daran, das das Timingn irgendwann auf dem Weg auffäiig wenig Varianz zeigt. Das waren halt schlechte Fakes. Heute ist man da wohl etwas schlauer geworden und schmeisst ein bisschen Rauschen drauf? We weis da mehr und darf es sagen?
        Dat hat irgendwas mit MPLS zutun sagte mir mal ein Provider, als ich ihn fragte, wieso der Trace route so seltsam konstant sei…Wikipedia weiß mehr darüber.

        Aber es ist für europäische Unternehmen rechtlich völlig wurscht wo die MS-Server tatsächlich stehen, solange MS schriftlich sagt das sie in Europa stehen und der Server eine IP benutzt, die z.B. in Paris geolocalisert ist. Denn das genügt der DSGV. Wo die Telemetrie daten bleiben ist egal, da ein Unternehmen eh nicht weis was in den den verschlüsselten Datenströmen steht,
        Und sollte in Paris eine US-staatliche Überwachungsbox ala Super-SINA stehen oder eTraffics über NSA-Router geleitet werden (ausser den Trace routes…) , so dürfte MS das nicht einmal indirect andeuten. Ihnen würde der Laden geschlossen wercen. (Vgl. den Umgang dieses Rechtsstattes mit Snowden, Manning und Assange vgl, Wikipedia Statue und das wir Snowden nicht einmal zum Untersuchungsausschuß geladen haben, aus Angst ihn in die USA ausliefern zu müssen,
        oder aus den US-Clouds zu fliegen. )
        Aber alles nur Spinnerei. ich weis.
        Die Amis sind unsere besten Freunde!

        • Werner sagt:

          "Unternehmen lassen sich von Microsoft bescheinigen, das ihre Cloud Server in Europa stehen. Steht ja auch dick in jeder Subdomain ".eu."…Für ein bomben Geschäft, denn Server deren IPs "garantiert" in Europa liegen sind natürlich teuerer.
          Firmen sind so DSGV konform."

          Nein, sind sie nicht. Egal wie oft Microsoft das wiederholt.

          Das darauf folgende basiert auf dem CLOUD-ACT. Solange der gilt, kan kein Server unter Kontrolle eines US-Unternehmens DSGVo-konform sein. Egal, wo er steht.

    • 1ST1 sagt:

      Chat-Protokolle sind mal sowas von personenbnezogene Daten…

  2. Yumper sagt:

    Guten Tag

    bevor Europa solche Unternehmen wie Amazon Microsoft oder Google an den Start bringt, können bei uns die Schweine eher Rad fahren.

    Deutschland / Europa hat eben zuviele Schwätzer und keine erkennbaren Erfolge. Die Zeiten von SAP sind seit der Cloudtechnologie auch auf dem absteigenden Ast.

    Damit müssen wir leben und uns täglich bewusst sein, dass wir zu 100 % durchschaubar sind.

    Datenschutzabkommen mit den USA – dass ich nicht lache :-)

    • Anonymous sagt:

      Das Problem hier ist:

      Es gibt Menschen, die glauben, dass solche US-EU-Datenschutzabkommen tatsächlich dem Datenschutz von EU-Bürgern dienen würden.

      Oder dass ein EU-Parlament irgendwelchen Einfluss auf die Geschehnisse haben würde.

      Oder dass die EU-Kommission inklusive Kommissionspräsidentin hinter verschlossenen Türen (u.a. in Davos) und in Absprache mit der Wirtschaft (u.a. per SMS) zum Wohle der EU-Bürger agieren würden.

      Man könnte meinen, man würde in einem grossen Kasperletheater leben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.