Die Europäische Kommission hat angekündigt ein Entscheidungsentwurf über die Angemessenheit der USA, der den Weg für ein Ersatzabkommen zwischen der EU und den USA für die Datenübertragung im nächsten Jahr ebnet.
Der Entwurf des Angemessenheitsbeschlusses für das EU-US Data Privacy Framework (DPF), wie es genannt wird, kann sein hier heruntergeladen.
Der Entwurf der Kommission ist ein wichtiger Schritt in einem jahrelangen, gewundenen bilateralen Prozess, von dem das Exekutivorgan der EU und die US-Kollegen hoffen, dass er endlich Rechtssicherheit für den transatlantischen Export von personenbezogenen Daten aus der EU bringen wird – die in Gefahr gehüllt waren, nachdem frühere Abkommen von der Spitze des Blocks für ungültig erklärt wurden Gericht, bereits im Juli 2020 und Oktober 2015, wegen der rechtlichen Trennung zwischen europäischen Datenschutzrechten und US-Überwachungsbefugnissen.
Die Auflösung dieses Schismas war – und bleibt – der wichtigste Knackpunkt für die Datenübertragung zwischen der EU und den USA. Dies bedeutet, dass jedes neue Abkommen über transatlantische Datenübertragungen zweifellos rechtlichen Herausforderungen ausgesetzt sein wird, um zu prüfen, ob dieser grundlegende Konflikt wirklich gelöst wurde.
Aber selbst nur auf dem Papier einen Ersatz zu finden, nachdem die letzten beiden Deals vom Gerichtshof der EU (EuGH) zerrissen wurden, war eine große Anstrengung und Herausforderung.
Gestern sagte der EU-Justizkommissar Didier Reynders a Politisch Event, dass er hoffte, dass der neue Pakt vor Juli nächsten Jahres abgeschlossen sein würde – und er gab ihm eine Chance von 7 oder 8 von 10, einer rechtlichen Anfechtung standzuhalten. Selbst die Kommission ist also nicht zu 100 % davon überzeugt, dass dies überlebt.
In einer Erklärung, die der heutigen Bekanntgabe des Entscheidungsentwurfs beigefügt war, sagte Reynders:
Der heutige Entscheidungsentwurf ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen mit den USA, die ich zusammen mit meinem US-Amtskollegen, Handelsminister Raimondo, geführt habe. In den vergangenen Monaten haben wir den durch die Executive Order vorgesehenen US-Rechtsrahmen in Bezug auf den Schutz personenbezogener Daten bewertet. Wir sind nun zuversichtlich, mit dem nächsten Schritt des Adoptionsverfahrens fortzufahren. Unsere Analyse hat gezeigt, dass in den USA jetzt starke Sicherheitsvorkehrungen getroffen wurden, um die sichere Übertragung personenbezogener Daten zwischen den beiden Seiten des Atlantiks zu ermöglichen. Der künftige Rahmen wird zum Schutz der Privatsphäre der Bürger beitragen und gleichzeitig Rechtssicherheit für Unternehmen schaffen. Wir warten nun auf das Feedback des Europäischen Datenschutzausschusses, der Sachverständigen der Mitgliedstaaten und des Europäischen Parlaments.
In einer weiteren unterstützenden Erklärung fügte Věra Jourová, Vizepräsidentin der Kommission für Werte und Transparenz, hinzu:
Unsere Gespräche mit den USA haben zum Vorschlag eines Rahmens geführt, der die Sicherheit personenbezogener Daten von Europäern, die in die USA übermittelt werden, weiter verbessern wird. Es baut auf unserer guten Zusammenarbeit und den Fortschritten auf, die wir im Laufe der Jahre gemacht haben. Der künftige Rahmen ist auch gut für Unternehmen und wird die transatlantische Zusammenarbeit stärken. Als Demokratien müssen wir uns für Grundrechte, einschließlich Datenschutz, einsetzen. Dies ist in der zunehmend digitalisierten und datengetriebenen Wirtschaft eine Notwendigkeit, kein Luxus.
Eine Reihe von Technologiegiganten werden die Entwicklungen genau beobachten – darunter Meta, dem das Risiko droht, dass eine Aussetzungsanordnung für seine Datenübertragungen zwischen der EU und den USA verhängt wird, nachdem eine lang andauernde Beschwerde vorliegt, die sich immer noch durch die EU-Datenschutz-Grundverordnung (DSGVO) zieht. Durchsetzungsverfahren (es ist also ein Wettlauf gegen die Zeit, um zu sehen, was zuerst eintrifft); Google, dessen Analyseprodukt von Datenschutzbehörden aus dem gesamten Block wegen illegaler Übertragung personenbezogener Daten gewarnt wurde; und Microsoft, dessen Cloud-basierte Produktivitätssuite 365 von deutschen Datenschutzbehörden einer DSGVO-Prüfung unterzogen wird, die durch das Problem der Datenübertragung noch komplizierter wird, um nur drei hochkarätige Beispiele zu nennen.
Aber das Transferproblem betrifft natürlich Tausende von Unternehmen, die auf den Export personenbezogener Daten aus der EU in die USA angewiesen sind und seit dem Ende des Datenschutzschilds in der rechtlichen Schwebe sind.
Die Verhandlungen zwischen der EU und den USA, um das zuletzt nicht mehr gültige Privacy-Shield-Abkommen zu ersetzen, dauerten bis März dieses Jahres, um zu einer politischen Einigung zu gelangen, und bis Oktober, bevor US-Präsident Joe Biden eine Executive Order (EO) zur Umsetzung des Ersatzdatenübermittlungsabkommens unterzeichnete.
Die Unterzeichnung des EO übergab den Stab an die Kommission zurück – und jetzt hat sie einen Entwurf einer Angemessenheitsvereinbarung erstellt, wie der Block solche Geschäfte nennt, basierend auf dem von der US-Regierung unterzeichneten Text (und den begleitenden Vorschriften, die vom US-Generalstaatsanwalt Merrick Garland herausgegeben wurden). ), mit dem das im März von der EU und den USA unterzeichnete Grundsatzabkommen in US-Recht umgesetzt wurde.
Die nächste Phase des Prozesses ist eine Überprüfung des Entscheidungsentwurfs durch andere EU-Institutionen, einschließlich des Europäischen Datenschutzausschusses (EDPB) und eines Ausschusses der EU-Mitgliedstaaten, zusammen mit einer Prüfung durch Mitglieder des Europäischen Parlaments. Die endgültige Entscheidung über die Angemessenheit liegt jedoch allein bei der Kommission – daher markiert der heutige Entscheidungsentwurf einen bedeutenden Schritt auf dem Weg zum Abschluss eines neuen Abkommens.
„US-Unternehmen können dem EU-US-Datenschutzrahmenwerk beitreten, indem sie sich verpflichten, eine detaillierte Reihe von Datenschutzverpflichtungen einzuhalten, beispielsweise die Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind , und um die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden“, schreibt die Kommission. „EU-Bürger profitieren von mehreren Rechtsbehelfen, wenn ihre personenbezogenen Daten unter Verletzung des Rahmens behandelt werden, darunter kostenlos vor unabhängigen Streitbeilegungsmechanismen und einem Schiedsgericht.
„Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Beschränkungen und Garantien in Bezug auf den Zugriff auf Daten durch US-Behörden vor, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Dazu gehören die neuen Regeln, die durch die US-Executive Order eingeführt wurden, die die vom Gerichtshof der EU im Schrems-II-Urteil aufgeworfenen Probleme angeht: Der Zugriff auf europäische Daten durch US-Geheimdienste wird auf das zum Schutz notwendige und verhältnismäßige Maß beschränkt nationale Sicherheit; EU-Bürger werden die Möglichkeit haben, in Bezug auf die Erfassung und Nutzung ihrer Daten durch US-Geheimdienste Rechtsbehelfe vor einem unabhängigen und unparteiischen Rechtsbehelfsmechanismus zu erwirken, zu dem auch ein neu geschaffener Datenschutz-Überprüfungsgerichtshof gehört. Der Gerichtshof wird Beschwerden von Europäern unabhängig untersuchen und beilegen, unter anderem durch die Annahme verbindlicher Abhilfemaßnahmen.“
„Europäische Unternehmen können sich auf diese Garantien für transatlantische Datenübertragungen verlassen, auch wenn sie andere Übertragungsmechanismen wie Standardvertragsklauseln und verbindliche Unternehmensregeln nutzen“, fügte die Kommission hinzu.
Alles in allem bleibt abzuwarten, wie lange der erneuerte Deal dauern wird.
Der EU-US-Datenschutzschild überlebte weniger als vier Jahre, bevor der EuGH ihn niederschlug. Und eine dritte Anfechtung zum gleichen Thema dauert möglicherweise nicht so lange, um zu einer rechtlichen Bewertung auf hoher Ebene zu gelangen.
In einer Erklärung zum Entscheidungsentwurf der Kommission prognostiziert noyb, die von Max Schrems gegründete gemeinnützige Interessenvertretung für Datenschutz und digitale Rechte – dessen Nachname zum Synonym für erfolgreiche Anfechtungen von EU-US-Datenübertragungsabkommen geworden ist – ein Scheitern des DPF vor dem EuGH.
„Der EuGH verlangte (1), dass die US-Überwachung ist verhältnismäßig im Sinne von Artikel 52 der Charta der Grundrechte (GRCh) und (2) zu denen Zugang besteht gerichtlicher Rechtsbehelf, wie nach Artikel 47 CFR erforderlich. Das aktualisierte US-Gesetz (Executive Order 14086) scheint beide Anforderungen nicht zu erfüllen, da es die Situation gegenüber der zuvor geltenden PPD-28 nicht wesentlich ändert. Es gibt eine kontinuierliche „Massenüberwachung“ und ein „Gericht“, das kein wirkliches Gericht ist. Daher wird jede „Angemessenheitsentscheidung“ der EU, die auf der Executive Order 14086 basiert, den EuGH wahrscheinlich nicht zufriedenstellen“, sagte noyb in einer Pressemitteilung.
Seine Analyse des Grundsatzabkommens zwischen den beiden Seiten, basierend auf dem Text des US EO, ist, dass die Änderungen „eher minimal erscheinen“ und das Abkommen „hinterhältig ist, wenn es um den Schutz von Nicht-US-Personen geht“, wie heißt es – daher prognostiziert es, dass der dritte Deal auch vor dem EuGH nicht bestehen wird.
In einer Erklärung fügte Schrems hinzu: „Wir werden den Entscheidungsentwurf in den nächsten Tagen im Detail analysieren. Da der Entscheidungsentwurf auf der bekannten Executive Order basiert, kann ich mir nicht vorstellen, wie dies eine Anfechtung vor dem Gerichtshof überstehen würde. Es scheint, dass die Europäische Kommission immer wieder ähnliche Entscheidungen erlässt – in eklatanter Verletzung unserer Grundrechte.“
Dennoch ist nicht jeder, der sich intensiv mit dem Datenschutz befasst, so niedergeschlagen über diesen „drittmal weniger unglücklichen“ Versuch, ein EU-US-Datenübertragungsabkommen abzuschließen.
Hamburgs Datenschutzbeauftragter klang etwas positiv Aussage über den Inhalt der EO im letzten Monat – begrüßt, dass die US-Geheimdienstaktivitäten zum ersten Mal einem „Proportionalitätsvorbehalt“ unterliegen würden – und begrüßt auch die scheinbare Bereitschaft der USA, den Umfang der Regierungsdaten (zumindest) einzuschränken Sammlung – und schlug gleichzeitig auf das ein, was es als „reflexartige“ Kritik an der Vereinbarung bezeichnete.
Gleichzeitig betonte sie jedoch, dass eine gründliche Prüfung des Deals erforderlich sei, um festzustellen, ob entscheidende Elemente – wie etwa die Auslegung der US-Geheimdienste mit „Verhältnismäßigkeit“; und die Arbeitsweise des Datenschutzgerichts – tatsächlich den Anforderungen des EuGH genügen oder nicht. Als „problematisch“ wurde insbesondere auch die Tatsache bezeichnet, dass die US-Sammelsammlung (alias „das Instrument der Massenüberwachung“) ausdrücklich beibehalten wird.
Es wird sicherlich interessant sein zu sehen, was das EDPB aus dem DPF macht.
Ein Daumen nach unten vom Vorstand – der von der Kommission bestätigt wurde, dass er seinen Entscheidungsentwurf erhalten hat, sodass er nun mit der Arbeit an seiner Stellungnahme beginnen kann – wäre ein deutliches Zeichen für bevorstehende rechtliche Probleme. Aber ein positiveres Urteil des EDPB wäre natürlich eine ganz andere Geschichte.
Eine Sprecherin des Vorstands teilte uns mit, dass er in diesem Stadium des Verfahrens keine Stellungnahme abgeben werde.
Sie sagte auch, der Zeitrahmen für die Annahme einer Stellungnahme des EDPB zum Entscheidungsentwurf sei nicht klar. „Im Moment können wir nicht sagen, wann das sein wird. Die DSGVO sieht keine Frist vor, aber die Europäische Kommission kann beschließen, eine Frist festzulegen“, fügte sie hinzu.
noyb seinerseits sagte, es erwarte nicht, dass der neue Pakt vor dem Frühjahr 2023 abgeschlossen wird. Sobald dies geschehen ist, stellt es fest, dass die Benutzer den DPF vor nationalen und europäischen Gerichten anfechten können – und damit eine neue Uhr für neue Vorschriften tickt Risiko.
Die Kommission wird auch das Funktionieren des EU-US-Datenschutzrahmens überwachen – durch einen Prozess „regelmäßiger Überprüfungen“, den sie selbst mit Beiträgen der europäischen Datenschutzbehörden und zusammen mit den zuständigen US-Behörden durchführt.
„Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis effektiv funktionieren“, stellte sie fest.
Die Kommission hat auch einen Kurzfilm produziert Fragen und Antworten nähere Angaben zu seinem Entscheidungsentwurf machen.