Die Ende letzten Monats zwischen der Europäischen Union und der US-Regierung erzielte politische Einigung über einen neuen transatlantischen Datentransferpakt, der darauf abzielt, jahrelange Rechtsunsicherheit für Unternehmen zu beenden, die Daten aus dem Block exportieren, ist noch nicht beschlossene Sache. Der Deal grundsätzlich Gesichter Prüfung in den kommenden Monaten, sobald der vollständige Text veröffentlicht ist – und wird höchstwahrscheinlich vor neuen (und schnellen) rechtlichen Herausforderungen stehen, wenn er angenommen wird, also hängt alles vom Detail ab.
Gestern veröffentlichte der Europäische Datenschutzausschuss (EDPB), der über die Einhaltung des EU-Datenschutzrechts berät, a Erklärung Sie signalisiert, worauf sie ihre Aufmerksamkeit richten wird, wenn sie dieses Detail überprüft, und sagt, sie werde „besondere Aufmerksamkeit darauf richten, wie diese politische Vereinbarung in konkrete Rechtsvorschläge umgesetzt wird“.
„Der EDPB freut sich darauf, die Verbesserungen, die der neue Rahmen im Lichte des EU-Rechts, der Rechtsprechung des EuGH und früherer Empfehlungen des Ausschusses bringen könnte, sorgfältig zu prüfen, sobald der EDPB alle unterstützenden Dokumente von der Europäischen Kommission erhält“, schrieb der Ausschuss.
„Der EDSA wird insbesondere analysieren, ob die Erhebung personenbezogener Daten für Zwecke der nationalen Sicherheit auf das unbedingt Notwendige und Verhältnismäßige beschränkt ist. Darüber hinaus wird der EDPB untersuchen, wie der angekündigte unabhängige Rechtsbehelfsmechanismus das Recht von EWR-Bürgern auf einen wirksamen Rechtsbehelf und ein faires Verfahren respektiert. Insbesondere wird der EDSA prüfen, ob eine neue Behörde, die Teil dieses Mechanismus ist, bei der Ausübung seines Auftrags Zugang zu relevanten Informationen, einschließlich personenbezogener Daten, hat und ob er Entscheidungen treffen kann, die für die Nachrichtendienste verbindlich sind. Der EDPB wird auch prüfen, ob es einen gerichtlichen Rechtsbehelf gegen die Entscheidungen oder Untätigkeit dieser Behörde gibt.“
Der EDPB warnte auch davor, dass das politische Abkommen noch keine rechtsgültige Vereinbarung sei – und betonte, dass Datenexporteure in der Zwischenzeit weiterhin die Rechtsprechung des obersten Gerichts des Blocks einhalten müssen; und insbesondere mit dem Urteil des EuGH vom Juli 2020, auch bekannt als Schrems II, das das letzte EU-US-Datenübertragungsabkommen (auch bekannt als EU-US-Datenschutzschild) zunichte gemacht hat.
Die Biden-Administration sprach über die im letzten Monat erzielte politische Einigung, um das nicht mehr existierende Privacy Shield zu ersetzen genannt Die USA haben sich verpflichtet, „neue Schutzmaßnahmen“ einzuführen, die sicherstellen würden, dass die Datenerfassungsaktivitäten der staatlichen Überwachungsbehörden „notwendig und verhältnismäßig“ und mit „definierten nationalen Sicherheitszielen“ verbunden sind.
Der Konflikt zwischen dem Primat der US-Überwachungsgesetze und robusten EU-Datenschutzrechten bleibt die grundlegende Spaltung – daher ist es schwer vorstellbar, wie ein neues Abkommen gegen neue rechtliche Herausforderungen bestehen kann, wenn es sich nicht dazu verpflichtet, US-Massenüberwachungsprogrammen harte Grenzen zu setzen.
Das Ersatzabkommen muss auch einen geeigneten Weg für EU-Bürger schaffen, um Wiedergutmachung zu verlangen und zu erlangen, wenn sie glauben, dass US-Geheimdienste sie rechtswidrig ins Visier genommen haben. Und das sieht auch schwierig aus.
Letzten Monat, vor der Bekanntgabe der politischen Einigung, Der Hügel berichtete über ein Urteil des Obersten US-Gerichtshofs in einem Fall im Zusammenhang mit der Überwachung durch das FBI, das die Chance auf eine Einigung erschwerte – da das Gericht das Privileg von Staatsgeheimnissen für Spionagefälle verstärkte, indem es feststellte, dass der Kongress dieses Privileg nicht abgeschafft hatte, als er Überwachungsreformen in Kraft setzte des Foreign Intelligence Surveillance Act (FISA).
„Obwohl das Gutachten die Möglichkeit offen ließ, dass Personen wie die Fazaga-Kläger dennoch Ansprüche auf der Grundlage öffentlicher Informationen über die Überwachung durch die Regierung geltend machen könnten, benötigen die meisten Menschen sensible Informationen von der Regierung, um zu beweisen, dass ihre Überwachung illegal war. Die Entscheidung könnte es der Regierung erleichtern, solche Informationen vor Richtern zu schützen, und es daher für die meisten Menschen, die die Überwachung anfechten, schwieriger machen, ihre Behauptungen zu beweisen und Gerechtigkeit vor Gericht zu erlangen“, berichtete die Veröffentlichung.
Die Notwendigkeit tiefergehender Reformen von FISA war eine zentrale Forderung von Kritikern früherer EU-US-Datenübertragungsabkommen (vor dem Datenschutzschild gab es Safe Harbor – das 2015 vom EuGH niedergeschlagen wurde).
Letzten Monat sagte das Weiße Haus, die grundsätzlich vereinbarte Einigung würde es EU-Bürgern ermöglichen, „Rechtsschutz bei einem neuen mehrschichtigen Rechtsbehelfsmechanismus zu beantragen, der ein unabhängiges Datenschutzprüfungsgericht umfasst, das aus Personen bestehen würde, die von außerhalb der US-Regierung ausgewählt wurden und die Vollmacht hätten Befugnis, über Ansprüche zu entscheiden und erforderlichenfalls Abhilfemaßnahmen zu leiten“.
Der rechtliche Status dieses „Überprüfungsgerichtshofs“ wird jedoch von entscheidender Bedeutung sein – wie die Erklärung des EDPB unterstreicht.
Wenn der Oberste Gerichtshof der USA eine andere Ansicht vertritt, die im Wesentlichen jede Einigung außer Kraft setzt, verspricht die Biden-Regierung, dass sie es EU-Bürgern unmöglich macht, die Informationen zu erhalten, die sie benötigen, um eine Klage gegen die US-Regierung erheben zu können, die ihre Fähigkeit untergraben würde der EU-Bürger zu eigentlich Wiedergutmachung zu erlangen … Und nun ja, der EuGH hat unmissverständlich klargestellt, dass EU-Bürger, die in einem Drittland rechtswidrig überwacht werden, eine echte und sinnvolle Möglichkeit haben müssen, Rechenschaft abzulegen.
Die Erklärung des EDPB verdeutlicht genau diese Bedenken – wobei der Vorstand darauf hinweist, dass jede „neue Behörde“, die mit dem Anspruch auf Abhilfe geschaffen wird, „Zugang zu relevanten Informationen, einschließlich personenbezogener Daten“, benötigen wird, um dieser Mission gerecht werden zu können; und müssen auch Entscheidungen treffen können, die für die Nachrichtendienste bindend sind.
Es sei daran erinnert, dass das im Privacy Shield getestete „Ombudsperson“-Regime des Datenschutzschilds die Musterung beim EuGH nicht bestanden hat – beides aus Gründen der Unabhängigkeit und wegen der Unfähigkeit der Ombudsperson, Entscheidungen zu treffen, die für die Nachrichtendienste bindend sind.
Wie anders ein „Datenschutzprüfungsgericht“ in dieser Hinsicht wäre, bleibt abzuwarten.
Max Schrems, der EU-Datenschutzaktivist, der die letzten beiden Datenübertragungsabkommen zwischen der EU und den USA erfolgreich zu Fall gebracht hat, bleibt skeptisch, dass die neueste „Korrektur“ etwas wesentlich anderes bietet – kürzlich hat er eine weitere auffällige visuelle Metapher getwittert, um seine frühe Einschätzung zu veranschaulichen …
Ohne eine echte Überwachungsreform in den USA kann es durchaus sein, dass die Quadratur des Kreises der Datenübertragungen eine ebenso große Herausforderung ist, wie es die letzten beiden Male um den Block bewiesen hat. Aber selbst wenn die politische Notwendigkeit innerhalb der EU, eine Einigung zu erzielen, offensichtliche Rechtslücken außer Kraft setzt – wie es der Fall war, als die letzte Kommission Bedenken ignorierte und den Datenschutzschild annahm – bedeutet dies nur, dass beide Seiten Zeit kaufen, bis der nächste EuGH zuschlägt.
Wahrscheinlich auch nicht viel Zeit.
Während Safe Harbor 15 Jahre bestand, hielt Privacy Shield nur vier Jahre – und Schrems hat vorgeschlagen, dass eine neue Anfechtung eines weiteren fehlerhaften Ersatzes „innerhalb von Monaten“ nach einer endgültigen Entscheidung, es anzunehmen, schnell beim EuGH eingereicht werden würde. EU-Gesetzgeber sind also gewarnt.