[English]Nachdem die USA kürzlich erklärten, die Bedingungen des EU-U.S. Datentransferabkommens "Transatlantic Data Privacy Framework" (DPF) implementiert zu haben und die Anforderungen zu erfüllen, zieht die EU-Kommission nach. Am 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss für das EU-U.S. Datentransferabkommens "Transatlantic Data Privacy Framework" (DPF) gefällt. Die Wirtschaft feiert den Beschluss, Max Schrems mit seiner Organisation noyb hat die Überprüfung des DPF durch den Europäischen Gerichtshof angekündigt.
Anzeige
Ich habe eigentlich täglich auf den Beschluss der EU-Kommission in der Sache gewartet, denn zum 4. Juli 2023 hatte die U.S.-Handelsministerin Gina Raimondo den Vollzug der Bedingungen des EU-U.S. Datentransferabkommens "Transatlantic Data Privacy Framework" (DPF) verkündet. Ich hatte über diesen Vorgang im Beitrag USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework berichtet.
EU-Kommission fällt Angemessenheitsbeschluss
Am 10. Juli 2023 stimmte die Europäische Kommission erwartungsgemäß für die Annahme ihres Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen (DPF). Der Wortlaut ist in als PDF-Dokument von dieser Webseite herunterladbar, eine FAQ zum Beschluss findet sich hier. Mit dem Dokument kommt die EU-Kommission dem Schluss, dass die Vereinigten Staaten für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzrahmens von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der EU an zertifizierte Organisationen in den USA übermittelt werden, ein Schutzniveau bieten, das im Wesentlichen dem der EU entspricht. Mit dem Angemessenheitsbeschluss ist die Übermittlung personenbezogener Daten von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern in der EU an zertifizierte Organisationen in den USA ohne weitere Genehmigung möglich.
Der Rahmen für den Datenschutz zwischen der EU und den USA führt neue verbindliche Garantien ein, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen, ist sich die EU-Kommission zumindest in ihrer Pressemitteilung sicher. Dazu gehören nach Lesart der EU-Kommission die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß sowie die Einrichtung eines Datenschutzprüfungsgerichts, zu dem EU-Bürger Zugang haben.
Der neue Rahmen bringe erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem Privacy Shield bestand, erklärt die EU-Kommission. Stellt der Data Protection Review Court (DPRC) beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Verpflichtungen ergänzen, die US-Unternehmen, die Daten aus der EU importieren, eingehen müssen, schreibt die Kommission.
EU-Kommissionspräsidentin Ursula von der Leyen sagte dazu: "Der neue EU-US-Datenschutzrahmen wird einen sicheren Datenverkehr für die Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich letztes Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Verpflichtungen zur Schaffung des neuen Rahmens übernommen. Heute unternehmen wir einen wichtigen Schritt, um den Bürgern das Vertrauen zu geben, dass ihre Daten sicher sind, um unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu bekräftigen. Er zeigt, dass wir auch die komplexesten Probleme gemeinsam angehen können".
Bitkom hofft auf Ende der Hängepartie
Die Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, freut sich, so deren Präsident Ralf Wintergerst, dass "eine dreijährige Hängepartie zu Ende geht". Wintergerst dazu:
Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.
Allerdings ist Wintergerst sich auch sicher, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird. Dort werde sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden habe. Nachvollziehbar ist die Position des Bitkom, dass Datentransfers ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft sind. Die Be- oder sogar Verhinderung von Datentransfers kann häufig nicht einfach durch alternative Lösungen kompensiert werden und stellt die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten, so die Bitkom.
noyb: Der Wahnsinn hat Methode
Die Organisation noyb des Österreichers Max Schrems, der bereits die beiden vorherigen Datenschutzabkommen zwischen EU und den USA durch Klagen vor dem Europäischen Gerichtshof gekippt hat, sieht die Sachlage dagegen anders. Das angeblich "neue" transatlantische Datenschutzabkommen sei weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 sei von den USA nicht angegangen worden. Dadurch hätten nach wie vor nur US-Personen verfassungsmäßige Rechte und nicht anlasslos überwacht werden dürfen – was den Europäern nicht zusteht.
Anzeige
In einer Mitteilung schlüsselt noyb detailliert auf, wo die Knackpunkte liegen. Laut der Organisation hätten die Amerikaner die EU nach dem Beginn des Ukraine-Konflikts die Europäer wegen des Abkommens unter Druck gesetzt. EU-Kommission und der US-Präsident hätten in die Trickkiste gegriffen und den Begriff "Verhältnismäßig" in das "Agreement in Principle" aufgenommen. Die Interpretation, was verhältnismäßig sei, weicht aber zwischen den USA und der EU ab. Es ist recht aufschlussreich, die Stellungnahme von noyb dazu zu lesen.
Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird laut noyb in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen. Schrems schreibt er auf noyb:
Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. Genau wie 'Privacy Shield' basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken. Wieder einmal scheint die derzeitige Kommission dieses Chaos auf die nächsten Kommission abzuwälzen. FISA 702 muss von den USA noch in diesem Jahr verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jegliches Druckmittel verloren, um eine Reform von FISA 702 zu erreichen.
Wir hatten jetzt 'Harbors', 'Umbrellas', 'Shields' und 'Frameworks' – aber keine substantielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei "neu", "robust" oder "wirksam", reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht.
Schrems sagt, dass man die Anfechtung des neuen Abkommens bei Gericht bereits in der Schublade habe. Die Leute von noyb gehen davon aus, dass das neue Abkommen in den nächsten Monaten von den ersten Unternehmen verwendet wird. Dadurch wird der Weg für eine Anfechtung geöffnet. Es ist laut Schrems nicht unwahrscheinlich, dass eine Anfechtung bis Ende 2023 oder Anfang 2024 dem EuGH von einem nationalen Gericht vorgelegt wird. Der EuGH hätte dann sogar die Möglichkeit, das neue Abkommen für die Dauer des Verfahrens auszusetzen. Eine endgültige Entscheidung wäre 2024 oder 2025 zu erwarten. Unabhängig davon, ob eine solche Anfechtung erfolgreich sein wird, wird dies in etwa ein bis zwei Jahren Klarheit über das "Trans-Atlantic Data Privacy Framework" bringen. Max Schrems dazu:
Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satt haben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen. Im Sinne der Rechtssicherheit und der Rechtsstaatlichkeit werden wir dann eine Antwort darauf bekommen, ob die kleinen Verbesserungen der Kommission ausreichend waren oder nicht. In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt – jetzt einfach zwei weitere Jahre an Rechtsunsicherheit hinzugefügt.
Dieser dritte Versuch, weitgehend dieselbe rechtswidrige Entscheidung zu treffen, werfe auch die Frage nach der Rolle der Europäischen Kommission als Hüterin der EU-Verträge auf, so noyb. Anstatt die Rechtsstaatlichkeit aufrechtzuerhalten, erlasse die Kommission einfach immer wieder eine ungültige Entscheidung – trotz eindeutiger Urteile des EuGH. Trotz großer Empörung nach den Snowden-Enthüllungen in der EU und wiederholter Aufforderungen des Europäischen Parlaments, Maßnahmen zu ergreifen, scheint die Kommission den Beziehungen zu den USA und dem wirtschaftlichen Druck auf beiden Seiten des Atlantiks Vorrang vor den Rechten der Europäer und Europäerinnen und den Anforderungen des EU-Rechts zu geben, so Schrems.
Ich hatte dazu im Blog-Beitrag EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework die Bedenken der EU-Datenschützer bereits im Blog-Beitrag Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework aufgegriffen. Mit der am 10. Juli 2023 getroffenen Entscheidung der EU-Kommission geht die Hängepartie in meinen Augen in die nächste Runde. Nach dem Spiel ist vor dem Spiel – mal sehen, was der EuGH zu den Plänen der EU-Kommission urteilt.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
2015
Angemessenheitsbeschluss = Heisse Luft.
Mit aller Macht verschachert die EU weiter, immer weiter ihre Bürger(rechte).
Was soll sie sonst auch tun? Wir haben keinerlei Infrastruktur für IT oder digitale Medien. Ich wäre froh, wenn dieses leidige Datenschutzthema endlich vom Tisch ist.
Die EU hat es zu Beginn der digitalen Ära verkackt, das wird sich jetzt nicht mehr beheben lassen.
Und eines Tages fliesst kein Gas mehr und dann muss man plötzlich auch damit klar kommen.
Die digitale Abhängigkeit und ihre weitere Förderung derzeit wird ihre ganz eigenen Folgen haben. Und das Geheule der enttäuschten transatlantischen Fanboys wird man dann bis zum Mars hören.
"Wir haben keinerlei Infrastruktur für IT oder digitale Medien."
Erklärst Du mir das bitte mal im Detail?
Es gibt in der EU keine großen technologischen Innovationen. Start-ups werden oftmals durch Regularien zerstört, bevor es überhaupt richtig losgeht.
Dazu kommt, dass wir in DE sehr skeptisch gegenüber allem sind, was nicht auf Papier ausgedruckt im Schrank steht. Solange wir in einem Land leben, in dem man nicht mal überall bargeldlos bezahlen kann, wird sich daran wohl auch nichts ändern.
Lieber Aaron, wie lautet Ihr Autokennzeichen und wie hoch ist der aktuelle Kontostand auf dem Hauptkonto?
Bin nur neugierig und da Datenschutz ja hinderlich ist, dürfte die Preisgabe ja kein Problem sein.
Ich bin mir sicher, dass es ein Unterschied ist, ob ich Dir diese Daten nun gebe oder aber sie ggf. an Unternehmen übermittelt werden, die wiederum Regularien unterstehen.
Solange wir Datensparsamkeit beherzigen (sprich nur die Daten angeben, die auch benötigt werden), sollte das kein großes Problem darstellen.
Die GDPR wird ja nicht auf einmal überflüssig.
"Ich bin mir sicher, dass es ein Unterschied ist, ob ich Dir diese Daten nun gebe oder aber sie ggf. an Unternehmen übermittelt werden, die wiederum Regularien unterstehen." Da bin ich mir nicht sicher, denn ob sich Unternehmen an Regularien halten kannst du nicht beeinflussen. Wenn das Unternehmen eine US-Zentrale hat muss es sich auch an US-Recht halten und deine Daten an die Dreibuchstabendienste weitergeben und darf es dir nicht mal sagen. Und wenn das Unternehmen die Daten dann an den Charlie verkauft weißt du es eben auch nicht.
Lass die Daten halt zu einem Geheimdienst gehen. Das ist im Endeffekt deren Job. Ob es jetzt mit oder ohne Dein Wissen geschieht, welche Rolle spielt das?
…die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß…
Haha, wie soll das denn gehen? Bei jedem 10. Byte muss die CIA/NSA dann kurz die Augen zumachen, oder müssen die nach der Datenauswertung dann alles uninteressante per Email zurück in die EU-Schicken?
Aber die IT-Spezialisten in der EU-Kommission sind sicher der Meinung,
dass die Amis ja schon wissen werden, wie sie das technisch realisieren können,
und denen kann man ja vertrauen ;)
Ich denke nur an die deutschen "Spezialisten", die nicht mal geschnallt haben, dass die USA über Jahre die Handys von Merkel & Co abgehört haben, oder dass die CIA in FFM ein Hotel zu ihrer Europazentrale umfunktioniert haben/hatten?
Dilettanten ahoi!
Ich hoffe das Thema ist nun endlich erledigt. Schrems kann sich ja einen neues Beschäftigungsfeld suchen (z.B. TikTok oder andere APPs), nicht das seine Geldgeber enttäuscht sind (wer immer die sind).
Das Thema ist nicht erledigt.
Die EU-Kommission setzt sich mit diesem Beschluß über geltendes EU-Recht hinweg.
Das ist ungefähr so, als wenn die Bundesregierung sagt "Diebstahl ist legal" und das vom BGH kassiert wird und du dann argumentierst, das durch die Entscheidung des BGH der Eigentumswechsel behindert wird.
So ein Abkommen kann erst dann rechtlich in trockenen Tüchern sein, wenn die USA ihr geltendes Recht ändert.
Aber das wird nicht geschehen.
Daher wird auch ein 4. , 5. oder 20. Abkommen mit der USA immer vom EuGH kassiert werden.
Ach Bernd, wer sind denn ihre Geldgeber? Sind die nicht enttäuscht, weil Sie hier so plump rumtrollen?
Nein Steve, das ist schlicht meine Ansicht. Sie müssen diese ja nicht teilen. Das hat mit Trollen nichts zu tun. Wir haben ganz andere wichtigere Probleme zu lösen.
Ohne eigene Macht über die eigene Digitalinfrastruktur sind keinerlei "wichtigere Probleme" nachhaltig lösbar.
Wer soll denn die Macht haben? Jedes Mitgliedsland oder D oder die EU oder? Grundsätzlich wenn schon alle winseln dann darf KEIN Staat priv. Daten einsehen ohne uns mitzuteilen wer wann was wo – das gilt dann ebenso für lokale Behörden. Das halte ich für nicht machbar.
Dass das Thema nun endlich erledigt sein soll, mag ihre legitime Ansicht sein. Bezüglich Max Schrems äußern Sie aber böswillige Unterstellungen. Und das ist nicht ok.
Also unterlassen Sie es bitte, Personen so unter der Gürtellinie anzugehen. Außer Sie können das auch belegen, dass er ein fremdgesteuerter und -finanzierter Handlanger sei (was Sie hier erneut implizieren).
Dann soll doch Herr Schrems offenlegen wer die Sponsoren sind. Es gibt immer Interessen von Geldgebern. Nur wenige verfolgen keine eigenen Interessen. Das hat mit Unterstellung en nichts zu tun ich würde es nur gerne wissen wollen. Sie unterstellen den USA ja auch grundsätzlich sträfliches Verhalten, wo sind die Beweise?
yep, dann sollten aber auch bitte die EU-Abgeordneten Ihre Sponsoren offenlegen.
@ Bernie, ja gerne auch die EU
Damit geht die Hängepartie und Rechtsunsicherheit in die nächste Runde.
Die Firmen, die darauf ihre Geschäftsprozesse abstimmen stehen in spätestens 2 Jahren (wieder) vor einem Scherbenhaufen.
Ich kann die Jubelei von Bitkom und Co. nicht verstehen. Wissen die eigentlich, was das für die Wirtschaft bedeutet? Keinerlei Planungssicherheit, stattdessen maximale Unsicherheit.
Der Witz an der Sache ist ja: Selbst wenn die USA sich jetzt wirklich an die EU Richtlinien angleichen würden (was sie aktuell nicht tun, auch wenn einige das behaupten) ist das dauerhaft völlig irrelevant. Das neue Abkommen fußt ja im Kern auf der Executive Order des Präsidenten und nicht auf einem Gesetz. Dumm nur, dass eine Executive Order jederzeit von Biden oder seinem Nachfolger aufgehoben werden kann. Und das müssen die uns nicht mal groß mitteilen. Bei Gesetzen geht das nicht ganz so einfach. Also völlig wertlos das Ganze, was mit ziemlicher Sicherheit der EuGH wieder kassieren wird, wenn der erst mal eingeschaltet wird. Leider kann noyb nicht direkt vor den EuGH, sondern muss erst mal ein nationales Gericht dazu kriegen, den Fall dem EuGH vorzulegen. Hoffentlich zieht sich das nicht mehr in die Länge, als Schrems hofft.
Zitat:
…ein Schutzniveau bieten, das im Wesentlichen dem der EU entspricht….
Zitat Ende
Ach, wenn ich das schon höre, dann weiß ich bescheid!
Wieder wurde also aufgeweicht!
Schutzniveau und EU passen nicht zusammen in einen Satz. Da soll doch alles ausgehorcht werden was geht. Oder warum ist die Dame die mal Verteidigungsministerin war so dahinter her?