Die Europäische Union hat mit den USA ein neues transatlantisches Datenangemessenheitsabkommen geschlossen.
Die lang erwartete Entscheidung bedeutet, dass es eine sofortige Lösung für die Rechtsunsicherheit im Zusammenhang mit dem Export personenbezogener Daten von EU-Nutzern durch US-Unternehmen gibt, ein Problem, von dem in den letzten Jahren Tausende große und kleine Unternehmen betroffen waren, darunter Unternehmen wie Meta und Google , um nur einige hochkarätige zu nennen.
Während einer Pressekonferenz zur Bekanntgabe des Angemessenheitsbeschlusses zeigte sich EU-Justizkommissar Didier Reynders zuversichtlich, dass dieses Mal das dritte Abkommen dieser Art, das die EU-Exekutive den USA gewährt, endgültig sein wird.
„Mit der Annahme des Angemessenheitsbeschlusses können personenbezogene Daten nun ohne weitere Bedingungen oder Genehmigungen frei und sicher aus dem Europäischen Wirtschaftsraum in die Vereinigten Staaten fließen“, hieß es. „Der Angemessenheitsbeschluss garantiert daher, dass Daten zwischen der Europäischen Union und den USA auf der Grundlage eines stabilen und verlässlichen Abkommens übermittelt werden können, das Einzelpersonen schützt und Rechtssicherheit für Unternehmen bietet.“
Das politische Abkommen zwischen der EU und den USA zum Datenschutzrahmen (DPF) wurde im März 2022 bekannt gegeben, aber es hat mehr als ein Jahr gedauert, bis alle Details ausgearbeitet waren. Unterdessen wurde der bisherige Mechanismus zur Vereinfachung von Datenexporten auf dem Teich vor fast drei Jahren von EU-Richtern für ungültig erklärt. Somit beendet die Verabschiedung einer neuen Vereinbarung tatsächlich jahrelange Rechtsunsicherheit, unter der große US-amerikanische Cloud-Dienste und viele andere digitale Akteure litten.
Die große Frage für die DPF ist jedoch, wie dauerhaft dieses dritte Datenangemessenheitsabkommen zwischen der EU und den USA sein wird.
Reynders war in dieser Frage viel optimistischer als sonst und argumentierte, dass das Framework nicht einfach ein Copy-Paste früherer (fehlgeschlagener) Übertragungsmechanismen sei, sondern „ein ganz anderes System“, das seiner Meinung nach „eine sehr robuste Lösung“ sei. » zu einer tief verwurzelten rechtlichen Kluft.
Er wies auch darauf hin, dass die EU bei der Ausarbeitung eines Rahmens, der seiner Meinung nach „die vollständige Einhaltung der im höchsten Gerichtsurteil der EU festgelegten Bedingungen“ gewährleistet, aufmerksam auf das Feedback gehört habe.
„Das war mein Auftrag und mein Ansatz bei diesen Verhandlungen, und das spiegelt sich in den Lösungen wider, die wir erzielt haben. Sie gehen insbesondere auf die vom Gericht aufgestellten Anforderungen hinsichtlich der Notwendigkeit von Beschränkungen und Garantien für den Zugriff auf Daten durch US-Geheimdienste im Einklang mit den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit sowie der Notwendigkeit ein, eine wirksame Entschädigung für EU-Bürger zu gewährleisten.“
Es laufen jedoch bereits rechtliche Anfechtungen gegen den DPF. Beide früheren Abkommen (auch bekannt als Safe Harbor und Privacy Shield) wurden vom Obersten Gerichtshof der Union abgelehnt, nachdem Richter festgestellt hatten, dass exportierte personenbezogene Daten aufgrund der Risiken, die von weitreichenden US-Überwachungsbefugnissen und Datenschutzbefürwortern ausgehen, nicht im erforderlichen Rechtsstandard geschützt waren. Sie warnen davor, dass der neue Rahmen in einigen wenigen Fällen vor dem EuGH liegen könnte Monate.
Ein zentraler Punkt für Kritiker ist, dass wir seit dem Ende des Privacy Shield immer noch keine Reform der US-Überwachungsbefugnisse gesehen haben, ohne dass der Gesetzgeber die Notwendigkeit einer Reform der umstrittenen FISA 702-Bestimmung und der Verabschiedung von Schutzmaßnahmen für die Privatsphäre akzeptiert hat. Ausländerinformationen.
Das bedeutet, dass die DPF im Grunde immer noch denselben grundlegenden rechtlichen Konflikt zwischen EU-Datenschutzrechten und US-Überwachungsbefugnissen verbirgt und unweigerlich mit der gleichen Beurteilung der Unzulänglichkeit konfrontiert werden könnte, sobald die EU-Richter die Details analysieren.
In den letzten Monaten haben mehrere andere EU-Institutionen Bedenken hinsichtlich der geplanten Ablösung der Kommission geäußert es mangelt an Klarheit, was auch darauf hindeutet, dass die Anpassungen des oben genannten Ansatzes möglicherweise nicht die erforderliche wesentliche Gleichwertigkeit im Datenschutz gewährleisten. Obwohl auch Organisationen wie der Europäische Datenschutzrat anerkannt haben, dass das DPF über das hinausgeht Transfervereinbarungen aus früheren Daten. Die Frage ist, ob es weit genug geht, um den EuGH-Standard zu erfüllen.
Die Entscheidung der Kommission selbst bedeutet nicht viel, da sie allein für die Angemessenheitsentscheidungen der EU verantwortlich ist, und Reynders räumte ein, dass das heutige grüne Licht im Wesentlichen eine „einseitige“ Entscheidung der EU-Exekutive sei, so dass die Gesetzgeber des Blocks in der Lage seien, dies zu erreichen wieder einmal ihre eigenen Hausaufgaben zu machen, obwohl sie in der Vergangenheit genau diese Gleichungen falsch gemacht haben.
Die Datenschutzkampagnengruppe noyb, dessen Gründer und Vorsitzender Max Schrems hinter der ursprünglichen Beschwerde gegen Facebooks Datenübermittlungen zwischen der EU und den USA stand, steht dem Rahmen weiterhin kritisch gegenüber.
Als Reaktion auf die heutige Bekanntgabe des Angemessenheitsbeschlusses der Kommission noyb bestätigte, dass es einen rechtlichen Antrag einreichen wird, und sagte, dass es „Optionen dafür“ habe, die bereit seien, an die Aufsichtsbehörden weitergeleitet zu werden, und erwarte, dass die Angelegenheit Anfang nächsten Jahres erneut vor den EuGH gebracht werde.
Wir sind also „Partner“ der USA, aber die USA sagen weiterhin, dass EU-Bürger „zweite Klasse“ seien und keine Grundrechte hätten (gemäß dem 4. Verfassungszusatz). #TADPF —Max Schrems (@maxschrems) Juli 10 2023
Wenn der geplante Zeitplan von noyb eingehalten wird, müsste das EU-Gericht noch Monate (oder sogar Jahre) darüber beraten. Ein endgültiges Urteil zum DPF könnte also Jahre dauern. (Zum Vergleich: Rechtsfragen im Zusammenhang mit dem Vorgänger des DPF, dem Privacy Shield, wurden im Mai 2018 vor Gericht verwiesen – wobei das EuGH-Urteil im Juli 2020 den Mechanismus für nichtig erklärte.)
Schrems und noyb argumentieren vorerst, dass das neue Rahmenwerk weitgehend mit dem Privacy Shield übereinstimmt, das die EU-Richter nicht bestanden hat, und lehnen die großen Änderungen ab, die von den EU- und US-Teams hervorgehoben wurden, die an der Aushandlung des Ersatzabkommens beteiligt waren, wie beispielsweise die scheinbaren USA Akzeptanz des EU-Rechtsgrundsatzes der „verhältnismäßigen“ Datennutzung. Dieses Theater der Verhältnismäßigkeit, wie noyb es nennt, wird durch die Tatsache begründet, dass die USA dem Begriff nicht die gleiche Definition zuordnen, die EU-Richter in der dem DPF beigefügten Executive Order verstehen würden, in der die USA nun die Überwachung von Ausländern versprechen wird „verhältnismäßig“ sein.
Sie sind auch unbeeindruckt von einem Versuch des DPF, ein anderes Problem zu überarbeiten, das den EuGH dazu veranlasste, das Privacy Shield im Zusammenhang mit der Reparatur aufzuspießen. Anstelle der entsprechenden Figur des Ombudsmanns bietet die DPF daher einen Beauftragten für den Schutz bürgerlicher Freiheiten und ein sogenanntes „Tribunal“ an. Dabei handelt es sich aber, wie sie betonen, nicht wirklich um ein Gericht; Vielmehr handele es sich um ein „teilweise unabhängiges Exekutivorgan“, weshalb sie die Änderungen lediglich als „geringfügige Verbesserungen“ zusammenfassen.
„Sie sagen, dass die Definition von Wahnsinn darin besteht, immer wieder das Gleiche zu tun und ein anderes Ergebnis zu erwarten. „Wie auch ‚Privacy Shield‘ basiert das jüngste Abkommen nicht auf materiellen Änderungen, sondern auf politischen Interessen“, argumentierte Schrems in einer Stellungnahme. „Wieder einmal scheint die derzeitige Kommission zu glauben, dass das Chaos das Problem der nächsten Kommission sein wird. FISA 702 soll dieses Jahr von den USA verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jegliche Macht verloren, eine FISA 702-Reform durchzusetzen.“
Im Vorgriff auf die wichtigsten Angriffslinien nahm sich Reynders die Zeit, in seinen Kommentaren auf beide Bereiche einzugehen und erläuterte, warum die Kommission der Ansicht ist, dass diese Vereinbarung anders ist und Bestand haben wird.
„Wir haben erhebliche Änderungen am US-Rechtsrahmen vorgenommen, um diesen beiden Anforderungen gerecht zu werden“, schlug er vor. „Dieses neue Rahmenwerk unterscheidet sich wesentlich vom EU-US-Datenschutzschild. als Ergebnis der Executive Order, die Präsident Biden letztes Jahr im Anschluss an unsere Verhandlungen erlassen hat. Notwendigkeits- und Verhältnismäßigkeitsanforderungen werden nun durch verbindliche und durchsetzbare Schutzmaßnahmen im US-Rechtssystem klar dargelegt.
„In der Praxis bedeutet dies, dass bei der Entscheidung, ob und in welchem Umfang US-Geheimdienste auf Daten zugreifen sollen, dieselben Faktoren abgewogen werden müssen, die auch die Rechtsprechung des Gerichtshofs der EU verlangt.“ Zu diesen Faktoren gehören die Art der Daten, die Schwere der Bedrohung oder die möglichen Auswirkungen auf die Rechte des Einzelnen. Auf dieser Grundlage hat jeder US-Geheimdienst seine internen Regeln und Verfahren überprüft, um diese neuen Anforderungen auf operativer Ebene umzusetzen.“
Zum überarbeiteten Rechtsbehelfsmechanismus beschrieb Reynders ihn als „ein unabhängiges und unparteiisches Gericht, das befugt ist, Beschwerden von Europäern zu untersuchen und verbindliche Abhilfeentscheidungen zu treffen“, und wies darauf hin, dass das Gremium befugt ist, die Löschung von Daten anzuordnen, die unter Verstoß erhoben wurden die Anforderungen der Notwendigkeit oder Verhältnismäßigkeit.
Darüber hinaus betonte er, dass die Kommission auf die Zugänglichkeit des Rechtsbehelfs geachtet habe, und wies darauf hin, dass der Mechanismus „benutzerfreundlich“ gestaltet sei, und wies darauf hin, dass es für Menschen aus der EU kein Hindernis gebe, eine Beschwerde einzureichen. die vorsah, dass sie dies in ihrer eigenen Sprache über ihre örtliche Datenschutzbehörde tun können, die die Beschwerde dann für sie an die zuständigen Behörden weiterleitet.
„Es werden sehr niedrige Zulassungsvoraussetzungen gelten“, betonte er. „Insbesondere muss der Whistleblower nicht nachweisen, dass US-Geheimdienste auf seine Daten zugegriffen haben. Dies ist sehr wichtig und entscheidend, um einen effektiven Zugang zu Reparaturen in einem von Natur aus geheimen Bereich zu gewährleisten.
„Bevor es vor Gericht geht, wird die Beschwerde des Whistleblowers von einem Spezialanwalt vertreten, wiederum kostenlos mit den erforderlichen Sicherheitsfreigaben.“ Diese Verfahren beinhalten ein gewisses Maß an Geheimhaltung. Bei einem Sonderanwalt trifft das Gericht seine Entscheidung erst nach Anhörung beider Parteien. Schließlich wird die Funktionsweise dieses Rechtsbehelfsmechanismus, einschließlich der Aspekte eines ordnungsgemäßen Verfahrens und der Einhaltung der Entscheidungen des neuen Gerichts, von einer unabhängigen Stelle überwacht, die speziell für den Datenschutz zuständig ist, dem Privacy and Civil Liberties Oversight Board.
„Die Grundsätze des Datenschutzrahmens sind stark und ich bin davon überzeugt, dass wir erhebliche Fortschritte gemacht haben, die den Anforderungen des Gerichtshofs entsprechen“, sagte Reynders und wies die US-Behörden darauf hin, dass sie ihren Verpflichtungen tatsächlich nachkommen müssen.
„Gleichzeitig wird die Kommission der Umsetzung dieses neuen Rechtsrahmens besondere Aufmerksamkeit widmen und nicht zögern, bei Problemen oder Problemen zu reagieren“, betonte er.
Zyniker könnten sagen, dass die ganze EU-US-Saga lediglich eine Möglichkeit für die Gesetzgeber auf beiden Seiten einer unauflöslichen Rechtsspaltung ist, sich durch wiederholtes Anstoßen des kritischen Punktes ein paar weitere Jahre Gnade zu erkaufen (und die Räder des Handels am Laufen zu halten). der Weg. – Die EU-Regulierungsbehörden und Gerichte müssen mit den daraus resultierenden Konsequenzen belastet werden (und die Unternehmen stehen vor einem weiteren kostspieligen rechtlichen Durcheinander, wenn das Abkommen erneut gescheitert wird).
Diese Sichtweise ist ziemlich glaubwürdig, wenn man bedenkt, dass Meta, gegen das eine Beschwerde wegen seiner Datenübermittlungen zwischen der EU und den USA eingelegt wurde, einen Verstoß gegen die Datenexportanforderungen des Blocks bestätigt hat. Das hat es noch nie gegeben die Übermittlung von Daten an Europäer einzustellen, obwohl sich herausstellte, dass die Exporte illegal waren.
Im Mai wurde dem Technologieriesen eine Frist von rund sechs Monaten eingeräumt, um der Anordnung zur Datensperre nachzukommen. Jetzt, ein paar Wochen nach dieser Anordnung, haben wir einen neu ratifizierten hochrangigen Übertragungsmechanismus, an den sich das Unternehmen halten muss, was bedeutet, dass Sie die immer noch offene Stoppanordnung einfach ignorieren können, indem Sie Ihre geltend gemachte Rechtsgrundlage für den Export von Daten ändern die DPF und vermeiden die Aussetzung des Datenflusses, wodurch im Wesentlichen eine strikte Durchsetzung umgangen wird (allerdings mit einer Rechnung von etwa 1.3 Milliarden US-Dollar).
Dieser scheinbar endlose Tanz, der noyb nennt frustrierendes „legales Ping-Pong“ und verdeutlicht, wie schwierig es für EU-Bürger ist, die gesetzlich vorgesehenen Datenschutzrechte zum Schutz ihrer Informationen auszuüben, selbst wenn Technologiegiganten mit lukrativen Data-Mining-Geschäftsmodellen weiterhin die Rechte der Menschen wie üblich mit Füßen treten. solange sie genügend Gewinn erwirtschaften, um die Strafzahlungen als Geschäftskosten abschreiben zu können.
Dennoch warnte Reynders auch die US-amerikanischen Technologiegiganten: „Unternehmen müssen nachweisen, dass sie die DSGVO [Datenschutz-Grundverordnung] vollständig einhalten.“
Und zumindest an dieser Front hat Meta zunehmend Kopfschmerzen, da EU-Regulierungsbehörden und in jüngerer Zeit auch der EuGH die Rechtsgrundlage in Frage gestellt haben, die das Unternehmen für die Verarbeitung personenbezogener Daten für die Anzeigenausrichtung angibt. Auch wenn der Ad-Tech-Riese jetzt nicht gezwungen ist, alle seine Datenströme zwischen der EU und den USA zu unterbrechen, scheinen einige strenge Reformen der Art und Weise, wie er sein Geschäft mit verhaltensbasierter Werbung in der EU betreibt, nun unvermeidlich.
