Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Kann auf Basis der derzeitigen Data Privacy Framework Prinzipien eine Angemessenheitsentscheidung ergehen?

Einleitung

In unserem ersten Artikel der kurzen Beitragsreihe vom 29.03.2023 sind wir bereits auf die Kritikpunkte des Europäischen Datenschutzausschusses („EDSA“) am Entwurf des Angemessenheitsbeschlusses („Data Privacy Framework“) eingegangen.

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und weitere aufgekommene Kritiken anderer Stellen vorstellen.

Kurzer Rückblick: was ist und soll das Data Privacy Framework?

Grundsätzlich sieht das Data Privacy Framework („DPF“) eine Vielzahl von Grundsätzen und Regeln vor, um ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogen Daten zu gewährleisten. Die neuen Grundsätze sind, ebenso wie die vorherigen Safe Harbor Prinzipien und die Privacy Shield Prinzipien, an der Datenschutz-Grundverordnung orientiert und sollen ein mit der EU vergleichbares Datenschutzniveau herstellen.

Die Grundsätze wurden in Absprache von der Europäischen Kommission, der Industrie und anderen Interessengruppen entwickelt und werden als die „Schlüsselkomponente“ („key component“) des DPF beschrieben.

Sie sollen einerseits einen „praktischen Regelungsmechanismus“ („ready-to-use mechanism“) für die Datenübermittlungen aus der EU an die USA bieten, andererseits sollen die so übermittelten personenbezogene Daten gemäß EU-Rechtsvorschriften gesichert und geschützt werden. Man könnte also sagen, dass es sich bei den Grundsätzen um eine „light“-Version der Rechte und Pflichten der DS-GVO handelt.

An den Grundsätzen gibt es jedoch durchaus berechtigte Kritik, vor allem von Seiten des EDSA sowie von Mitgliedern des Europäischen Parlaments (MdEPs).

Wenngleich der EDSA die zahlreichen Aktualisierungen der Grundsätze für die Verarbeitung personenbezogener Daten begrüßt, so stellt er doch auch fest, dass eine Reihe von Grundsätzen im Wesentlichen die gleichen geblieben sind wie sie es bereits bei Safe Harbor und dem Privacy Shield waren (Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision).

Aus diesem Grund bleiben auch weiterhin einige Kritikpunkte bestehen, die bereits bei Safe Harbor und Privacy Shield bestanden, wie z.B. die Ausnahmen vom Auskunftsrecht, das Fehlen von Schlüsseldefinitionen oder die mangelnde Klarheit darüber, wie die Grundsätze auf Auftragsverarbeiter anzuwenden sind.

Darüber hinaus fordert der EDSA die Kommission direkt auf, konkreter zu werden. Es soll unter anderem eine klare Begrenzung für Ausnahmen von der Pflicht zur Einhaltung der Grundsätze geben.

Weiterhin wird in der Stellungnahme auch betont, wie wichtig eine wirksame Aufsicht und Durchsetzung des Datenschutzschildes in den USA ist.

Auch kündigt der EDSA an, die Wirksamkeit der neu geschaffenen Rechtsbehelfe, die den betroffenen Personen zur Verfügung stehen, genau beobachten zu wollen.

Gleichzeitig bringt der EDSA auch eine gewisse Besorgnis zum Ausdruck, unter anderem über die mögliche Massenerfassung von Daten oder über die mangelnde Überwachung, wenn es um die Frage der Einhaltung der Anforderungen der DSGVO gehe.

Insgesamt sieht der EDSA aber noch Klärungsbedarf vor allem, was die praktische Umsetzung angeht.

Dieser durchaus kritischen Haltung haben sich nun auch die MdEP in ihrer im April erschienenen Stellungnahme (s. Pressemitteilung vom 13.04.2023 und Resolution vom 11.05.2023) angeschlossen. Sie teilten ebenfalls die Ansicht, dass das vorgeschlagene DPF zwar eine Verbesserung im Vergleich zu den früheren Mechanismen darstelle, aber nicht ausreicht, um eine Angemessenheitsentscheidung für die Übermittlung personenbezogener Daten zu rechtfertigen.

Sie haben mit ihren Äußerungen klar zum Ausdruck gebracht, dass die Europäische Kommission den USA auf dieser Basis keinen Angemessenheitsbeschluss erlassen solle.

Wie der EDSA weisen auch die MdEP darauf hin, dass die neue Verordnung keine ausreichenden Garantien für eine Übermittlung bietet.

Die Mitglieder schließen sich im Wesentlichen den bereits von der EDSA vorgetragenen Kritikpunkten an, wie der bestehenden Möglichkeit der massenhaften Sammlung personenbezogener Daten, der Möglichkeit des Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern oder dem Umstand, dass die Entscheidungen des mit der US Executive Order (14086) geschaffenen Gerichts für den Betroffenen oberflächlich und intransparent bleiben und somit das Recht auf Auskunft und Berichtigung verletzen.

Die MdEP empfehlen eine Rahmenregelung zu finden, die den rechtsicheren Datentransfer zwischen der EU und den USA gewährleistet. Insbesondere solle mehr Rechtssicherheit statt mehr Rechtsunsicherheit geschaffen werden. Ein auf wackligen Beinen aufgestelltes DPF würde Gefahr laufen, das Schicksal seiner Vorgänger zu erleiden.  

Auch nach Ansicht von NOYB („None Of Your Business“), dem Europäischen Zentrum für digitale Rechte, würde ein Angemessenheitsbeschluss in seiner jetzigen Form einer Überprüfung durch den EuGH nicht standhalten. Damit würde der Kreislauf der Verhandlungen über einen sicheren Datentransfer zwischen der EU und den USA erneut in Gang gesetzt.

Fazit

Somit bleibt die Frage offen, ob die Europäische Kommission die Angemessenheitsentscheidung für Datenübermittlungen auf der Grundlage des derzeitig in seiner gültigen Fassung vorliegenden DPF trotz der Kritiken von EDSA und MdEP erlassen wird.

Sofern der Angemessenheitsbeschluss ergeht, können sich die europäischen Unternehmen jedoch auf diesen berufen, um Daten in die USA zu übermitteln und dies ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der EDSA und das Trans-Atlantic Data Privacy Framework (1)

Trans-Atlantic Data Privacy Framework

Stellungnahme des EDSA zum Trans-Atlantic Data Privacy Framework

Trans-Atlantic Data Privacy Framework

Ist Die DS-GVO-konforme Datenübermittlung in die USA bald problemlos möglich? – Teil I

Einleitung

Im ersten Teil der Beitragsreihe wird ein Abstract der unverbindlichen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zu dem Entwurf des „Trans-Atlantic Data Privacy Framework“ – das neue Datenschutzabkommen zwischen der EU und den USA – dargestellt.  

In den folgenden Beiträgen werden die einzelnen Kritikpunkte mit den geforderten Nachbesserungsbedarf des EDSA detaillierter unter die Lupe genommen. 

Worum geht es? 

US-amerikanische Gesetze erlauben den US-Geheimdienst den Zugriff auf personenbezogene Daten, die aus der EU in die USA übermittelt bzw. dort verarbeitet werden. Personenbezogene Daten genießen in der EU jedoch ein höheres Schutzniveau als in den USA. Deshalb hat der EuGH das EU-US-Datenschutzschild 2020 („Privacy Shield“) im sog. Schrems ll-Fall für ungültig erklärt (Rechtssache C-3111/18). Nach „Safe Harbour“ war das „Privacy Shield“ das zweite Abkommen, welches als Absicherung für die Datenübermittlung in die USA diente. Für einen angemessenen Datenrechtsschutz musste nach dem Kippen dieses zweiten Abkommens also erneut eine neue Regelung her. Auf politischer Ebene einigte man sich daher auf ein neues, drittes Abkommen: das „Data Privacy Framework“, kurz „DPF“. 

Im Oktober 2022 erließ US-Präsident Biden als Ausfluss des neuen EU-US Abkommens eine Verordnung (US Executive Order (EO) 14086), die darauf abzielt, das Datenschutzniveau für alle von Überwachungsmaßnahmen betroffenen Personen zu erhöhen, um insbesondere die EU-Datenschutzanforderungen bei Datenübermittlungen in die USA zu erfüllen. Die EU-Kommission veröffentlichte daraufhin am 13.12.2022 den Entwurf eines Angemessenheitsbeschlusses, um die USA auf Basis der neuen US-Verordnung als sog. Sicheres Drittland zu deklarieren.   

Der Europäische Datenschutzausschuss (EDSA) wurde von der EU-Kommission um Stellungnahme zum Angemessenheitsbeschluss gebeten. Diese Stellungnahme veröffentliche der EDSA am 28.02.2023. In dieser Bewertung geht es insbesondere um die kommerziellen Aspekte als auch um den Zugang zu und um die Verwendung von personenbezogenen Daten aus der EU durch die öffentlichen US-Stellen.  

Obwohl die Bewertung kritische Aspekte aufzeigt, legt die EU-Kommission die Ablehnung des Beschlusses jedoch nicht nahe. Vielmehr empfiehlt der EDSA, dass die geltend gemachten Bedenken berücksichtigt und die Europäische Kommission die geforderten Klarstellungen vornimmt, um die Begründung ihres Entscheidungsentwurfes zu festigen. 

Wie schätzt der EDSA den Angemessenheitsbeschluss insgesamt ein? 

Der EDSA stellt insgesamt fest, dass der US-Rechtsrahmen aufgrund der erlassenen EO 14086 nun konkrete Zwecke benennt, wann Daten erhoben werden dürfen und dass Prinzipien der Verhältnismäßigkeit zu berücksichtigen sind. Aber es bedarf der genauen Überwachung, dass und wie die Anforderungen in der Praxis umgesetzt werden. Dazu gehört auch die Überprüfung der internen Strategien und Verfahren auf Behördenebene. 

Was kritisiert der EDSA am Beschlussentwurf?  

Die Liste ist lang und es lässt sich daraus ableiten, wie der Entwurf einzuschätzen ist. Die wesentlichen Kritikpunkte sind: 

  • Fehlen von detaillierten Informationen über den rechtlichen Kontext in den USA zum besseren Verständnis der DPF-Grundsätze, wie z.B. die fehlende Beschreibung der nach US-Recht geltenden Verpflichtungen zum Schutz der Privatsphäre. 
  • Nach der Verordnung besteht die Möglichkeit, die Pflicht zur Einhaltung der im DPF-genannten Grundsätze einzuschränken. Ohne die vollständige Kenntnis des US-Rechts sowohl auf Bundes- als auch auf Staatsebene, ist der Umfang der Einschränkungsmöglichkeiten im DPF nicht klar erkenntlich, sodass zur Klarstellung des Anwendungsbereichs die Einschränkungen im Beschlussentwurf aufgenommen werden müssen.  
  • Unstrukturierte Anhänge erschweren das Auffinden und Nachschlagen von Informationen. 
  • Uneinheitliche Verwendung von Begriffen wie „Verarbeitung“, kann zu Rechtsunsicherheiten führen. 
  • Es bedarf einer Klarstellung des Umfangs des Auskunftsrechts betroffener Personen sowie die Forderungen dies im Haupttext des Angemessenheitsbeschlusses und nicht nur als ergänzende Erläuterung in den Fußnoten aufzunehmen. 
  • Keine Erläuterungen zur Ausübung des Widerspruchsrecht. 
  • Befreiung von der Vertragspflicht für gruppeninterne Übermittlungen, sodass Weiterübermittlungen von Daten nicht nur für begrenzte und spezifizierte Zwecke auf der Grundlage eines Vertrags zwischen der DPF-Organisation und dem Dritten bzw. einer vergleichbaren Vereinbarung innerhalb einer Unternehmensgruppe erfolgen darf, wenn auch der Dritte zur Einhaltung des Schutzniveau verpflichtet ist.  
  • Fehlende spezifische Schutzmaßnahmen bzgl. der rasanten Entwicklungen im Bereich der automatisierten Entscheidungsfindung und des Profilings – zunehmend mit Hilfe von KI-Technologie. 
  • Überprüfungen der Einhaltung der DPF-Grundsätze beschränken sich auf formale Anforderungen (z.B. ausbleibende Reaktion von benannten Kontaktstellen), obwohl die Überprüfung der Einhaltung der materiellen Anforderungen entscheidend ist.  
  • Fehlende nähere Erläuterung, ob Rechtsbehelfe es der betroffenen Person ermöglichen, Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten oder die Berichtigung oder Löschung dieser Daten zu erwirken. 
  • Fehlende nähere Erläuterungen zu den Grundsätzen und Garantien für die Weiterverwendung von Daten, insbesondere in Bezug auf geltenden Vorschriften und Schutzmaßnahmen für die Weiterübermittlung, Weiterverwendung und Offenlegung personenbezogener Daten, die zu Strafverfolgungszwecken in den USA erhoben und anschließend in Drittländer, auch im Rahmen internationaler Abkommen, übermittelt werden. 
  • Fehlende Definition des Begriffs „Signals Intelligence“Informationen, die durch die Erfassung und Analyse der elektronischen Signale und Kommunikationen eines bestimmten Ziels gewonnen werden – in der EO 14086. 
  • Fehlende Abhängigkeit der Annahme des Beschlusses von der Annahme aktualisierter Strategien und Verfahren zur Umsetzung von der EO 14086 durch alle US-Geheimdienste. 
  • Fehlende Klarheit über die Bewertung von geltenden Aufbewahrungsvorschriften für personenbezogene Daten von US-Personen, die so nicht als Maßstab für EU-Personen herangezogen werden können. 
  • Die Möglichkeit in der EO 14086, dass der Präsident der Vereinigten Staaten weitere Ziele in Bezug auf die Verordnung in die Liste aufnehmen kann. 
  • Mangelnde Überprüfung, ob internationale Abkommen mit Drittländern oder internationalen Organisationen bestehen, die besondere Bestimmungen für die internationale Übermittlung personenbezogener Daten durch Nachrichtendienste an Drittländer vorsehen könnten. 

Fazit zur Stellungnahme des EDSA 

Insgesamt nimmt der EDSA positiv zur Kenntnis, dass die EO 14086 im Vergleich zum vorherigen 

Rechtsrahmen wesentliche Verbesserungen bietet, insbesondere im Hinblick auf die Einführung der 

Grundsätze der Notwendigkeit und Verhältnismäßigkeit von datenschutzrechtlichen Eingriffen und des individuellen Rechtsbehelfs für betroffene Personen in der EU.  

In Anbetracht der oben dargestellten Kritikpunkte schlägt der EDSA vor, dass die Bedenken ausgeräumt werden und die EU-Kommission die geforderten Klarstellungen liefert. Dies würde die Begründung des Beschlussentwurfs festigen und eine genaue Überwachung der konkreten Umsetzung dieses neuen Rechtsrahmens, insbesondere der darin vorgesehenen Garantien, in den künftigen gemeinsamen Überprüfungen sicherstellen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!