Die Vereinbarung eines neuen Datenübertragungsabkommens mit den USA hat für die EU „hohe Priorität“, sagte Margrethe Vestager, Executive Vice President für digitale Strategie des Blocks, gestern, aber sie warnte auch vor einem Ersatz für das nicht mehr existierende EU-US-Datenschutzschild. Safe Harbor davor) ist angesichts des grundlegenden rechtlichen Konflikts zwischen europäischen Datenschutzrechten und US-Überwachung keineswegs ein abgeschlossenes Geschäft.
In den letzten Wochen deuteten einige Medienberichte an, dass ein neues Abkommen über transatlantische Datenübertragungen unmittelbar bevorstehe, so a politischer Bericht vom 3. Februar.
Die Botschaften von Kommissarin Vestager deuten jedoch auf etwas anderes hin.
„Dies ist ein Versuch mit hoher Priorität, eine solche Einigung mit den Amerikanern zu erzielen“, sagte er während einer Frage-und-Antwort-Sitzung auf einer Pressekonferenz zum neuesten Vorschlag der Kommission zum Datenaustausch (auch bekannt als Datengesetz). „Das ist nicht einfach, um es milde auszudrücken. Denn wir haben uns natürlich an die Leitlinien des [EuGH]-Gerichtshofs gehalten, der auf der Grundlage der Charta der Grundrechte entschieden hat, was wir nicht ändern können oder werden.“
„Also müssen wir einen Weg finden, mit Amerikanern zusammenzuarbeiten, die damit natürlich einverstanden sind, damit wir kein negatives Schrems-III-Urteil (Schrems-II-Compliance: Data Privacy Challenges and Solution) bekommen, wenn das der Fall ist. Aber es ist für uns eine Priorität, der Geschäftswelt zu ermöglichen, das Beste aus Daten herauszuholen, aber auch dies unter sicheren, klaren und transparenten Bedingungen, und deshalb treiben wir dies voran.
Der Grund, warum die Frage der Datenübertragung im Zusammenhang mit dem von Vestager selbst vorgeschlagenen Datengesetz auftauchte, bezieht sich hauptsächlich auf nicht personenbezogene Daten (während das Schrems-Urteil, das den Datenschutzschild und die Hafenversicherung ablehnte, sich auf den Export personenbezogener Daten nach außen bezieht der Block). ) – ist, dass der Gesetzentwurf eine Art „Schrems II für nicht personenbezogene Daten“ vorschlägt, wie es Datenschutzexperten schnell nannten.
Eine Begründung, die dem Entwurf des Datengesetzes vorangestellt ist, listet „Schutzmaßnahmen gegen die illegale Übertragung von Daten ohne Benachrichtigung durch Cloud-Diensteanbieter“ als eines seiner spezifischen Ziele auf und erklärt: „Dies liegt daran, dass Bedenken darüber geäußert wurden, was außerhalb der EU liegt/ Europäischer Wirtschaftsraum (EWR) illegaler staatlicher Zugriff auf Daten. Solche Sicherheitsvorkehrungen sollten das Vertrauen in die Datenverarbeitungsdienste, die die europäische Datenwirtschaft zunehmend untermauern, weiter stärken.“
Artikel 27 des Datenschutzgesetzes, der sich mit internationalem Zugriff und internationaler Übertragung befasst, legt außerdem Folgendes fest:
„Datenverarbeitungsdienstleister treffen alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen, einschließlich vertraglicher Vereinbarungen, um eine internationale Übermittlung oder einen staatlichen Zugriff auf nicht personenbezogene Daten, die in der Union gespeichert sind, zu verhindern, wenn eine solche Übermittlung oder ein solcher Zugang einen Konflikt mit der Union verursacht. oder den nationalen Rechtsvorschriften des betreffenden Mitgliedstaats“
Zusammenfassend sagte er laut einer mit der Angelegenheit vertrauten EU-Quelle: „Wir sagen, dass nicht personenbezogene Daten die EU nicht verlassen sollten, wenn sie wahrscheinlich in die Hände ausländischer Spione fallen“, und verglich es auch mit einem „ Schrems II für nicht personenbezogene Daten“.
Wer sich also die regionale Rechtsunsicherheit vorstellt, die (insbesondere) über US-basierten Cloud-Diensten seit Mitte 2020 schwebt, scheint nichts weiter als ein kleiner Nebel zu sein, der sich sicher auflösen wird, aber während er die EU-Datenübertragungen unheilvoll beeinflussen könnte.
Hier, im Entwurf des Datenschutzgesetzes, ist zu sehen, dass die Kommission Schrems II im Wesentlichen verdoppelt, anstatt nach Wegen zu suchen, das EuGH-Urteil zu umgehen, wie sie es nach Schrems I tat, indem sie sich beeilte, einen Shield of Privacy mit sehr offensichtlicher Akzeptanz zu akzeptieren rechtliche Mängel.
Die beiden Angriffe des Gerichtshofs der Europäischen Union (EuGH) in Folge in dieser Frage scheinen jeden ebenso oberflächlichen Versuch, grundlegende Rechtsmängel zu verschleiern, beendet zu haben.
Was wiederum bedeutet, dass die Rede von Segregation/Föderation von Diensten und zunehmender Datenlokalisierung in der EU sehr real ist, zumindest während größere Reformen des US-Überwachungsgesetzes scheitern.
Während der Pressekonferenz zum Datenschutzgesetz wies Vestager die Behauptung eines Journalisten zurück, dass das Datenschutzgesetz protektionistisch sei, und erklärte: "Es ist für Unternehmen von Vorteil, egal woher sie kommen, dass Daten fließen können."
Er stellte aber auch klar, dass das EU-Regelwerk bindend sei, also sei klar, dass ohne ein Ersatz-Datenübermittlungsabkommen zwischen der EU und den USA kein ungehinderter Datenfluss möglich sei.
Sogar scheinbar „nicht personenbezogene“ Daten. Dies erhöht den Einsatz noch weiter und riskiert, das Datenschutzgesetz selbst zu einer Art Verhandlungsinstrument für den Datenschutzschild zu machen, da ohne ein robustes neues Datenübertragungsabkommen zwischen der EU und den USA der Wechsel in Zukunft nur einfacher gemacht werden kann, wenn Daten von einem US-Anbieter zu einem EU-Anbieter übertragen wird, nicht umgekehrt.
„Der Punkt ist, dass wir natürlich verpflichtet sind, für einen datenschutzkonformen Ablauf zu sorgen; deshalb können wir diese Angemessenheitsentscheidungen treffen“, betonte Vestager. „Das geht über das Datengesetz hinaus. Im Moment ist es unser Kollege Didier Reynders [Justizkommissar]. Hauptakte der Verhandlungen mit den USA und die Überwachung des Schrems-II-Urteils.
„Das Data Act wird also nicht allein stehen. Wir werden diese Arbeit fortsetzen, indem wir Angemessenheitsentscheidungen mit Gerichtsbarkeiten von Drittländern treffen, wo wir sehen können, dass die Dinge so sind, wie sie sein sollten.“
Auch der für den Binnenmarkt zuständige Kommissar Thierry Breton wiederholte diesen Punkt gegenüber der Presse. „Das Ziel des Datengesetzes ist es, industrielle Daten zu öffnen und freizugeben“, sagte er. „Es ist wichtig, dass wir Regeln und Erklärungen geben, damit alle Unternehmen, ob europäisch oder nicht, genau wissen, welche Spielregeln im EU-Binnenmarkt gelten. Wir geben dieser Legitimität.“
„Für Cloud-Dienste müssen wir sicherstellen, dass Sicherheitsvorkehrungen getroffen werden, um personenbezogene Daten vor erzwungenem Zugriff durch Dritte zu schützen, beispielsweise durch eine ausländische Regierung, wenn es keinen Verfahrensschutz oder kein internationales Abkommen gibt, weshalb wir dies mit unserem besprechen Partner, um die Regeln festzulegen.
„Es verhindert sicherlich nicht die freiwillige Übermittlung von Daten, wenn das Unternehmen oder der Bürger dies wünscht“, fügte er hinzu. „Es ist offensichtlich, aber wir müssen uns daran erinnern. Dazu gehört selbstverständlich auch die internationale Zusammenarbeit zwischen Justizbehörden und Polizeibehörden.“
Bei den USA ist die Datenschutzsituation in Bezug auf die Gleichwertigkeit mit EU-Recht definitiv nicht dort, wo sie sein „sollte“. nicht wie.
Aus diesem Grund haben Datenschutzbehörden in der gesamten EU in den letzten Monaten Durchsetzungsentscheidungen erlassen, die die Nutzung wichtiger in den USA ansässiger Dienste betreffen, aber sagen, dass die Nutzung der EU-Gesetzgebung entsprechen muss (und dies derzeit nicht der Fall ist) und dies daher möglicherweise der Fall ist notwendig, nach Alternativen zu suchen, da offensichtlich eine Lücke besteht.
Die französische Aufsichtsbehörde hat beispielsweise damit begonnen, Alternativen zu Google Analytics für die Messung und Analyse von Website-Zuschauern zu evaluieren, die möglicherweise von der Notwendigkeit der Einholung der Benutzereinwilligung ausgenommen sind.
Die Nutzung von Cloud-Diensten durch europäische öffentliche Stellen wird ebenfalls einer koordinierten Prüfung durch eine gemeinsame Durchsetzungsmaßnahme unterzogen, die Anfang dieses Monats begann und sich in ähnlicher Weise auf Bedenken hinsichtlich internationaler Datenübertragungen konzentriert.
Außerdem steht natürlich noch eine wichtige Entscheidung über die EU-US-Datenströme von Facebook bevor, die das ursprüngliche Ziel von Schrems im Jahr 2013 waren.
Eine Anordnung, sie zu suspendieren, könnte laut der Leiterin der irischen Datenschutzkommission (DPC), Helen Dixon, in einem Interview mit bereits im Mai kommen Reuters. Obwohl er auch klarstellte, dass die irische Regulierungsbehörde keine pauschalen Anordnungen auf der Grundlage dessen erteilen wird, was sie auf Facebook entscheidet.
„Die Entscheidung, die das DPC letztendlich in Bezug auf Facebook treffen wird, wird spezifisch für Facebook sein und sich nur an Facebook richten“, sagte er. „Die Folge der EuGH-Entscheidung ist, dass wir keine umfassendere und radikalere Schlussfolgerung ziehen können. Wir müssen Unternehmen für Unternehmen vorgehen“, wobei weiter darauf hingewiesen wird, dass es laut dem Reuters-Bericht „Hunderttausende von Unternehmen“ gibt, die möglicherweise unter die Lupe genommen werden müssten, beginnend mit anderen großen Internetplattformen.
Die DPC hat Facebook bereits kurz nach dem Schrems-II-Urteil des EuGH im September 2020 eine vorläufige Suspendierungsverfügung erteilt, aber der Technologieriese erhielt schnell eine Aussetzung, bevor er seine Anfechtung des Regulierungsverfahrens vor dem High Court of Ireland im Mai letzten Jahres verlor.
Und wie wir Anfang dieser Woche berichteten, hat die DPC jetzt einen überarbeiteten Entscheidungsentwurf an die Facebook-Muttergesellschaft Meta übermittelt und dem Unternehmen einen Monat Zeit gegeben, um darauf zu reagieren.
Danach haben die anderen EU-Datenwächter die Möglichkeit, den irischen Entscheidungsentwurf zu überprüfen und möglicherweise anzufechten, was den Entscheidungsprozess um weitere Monate verlängern könnte. Aber wenn es eine breite Zustimmung zu dem gibt, was Irland geschlossen hat, ist Dixons Linie, dass „der früheste Zeitpunkt, zu dem wir eine endgültige Entscheidung haben könnten, Ende Mai sein könnte“.
Irlands langsames Durchsetzungstempo bei Ermittlungen gegen Technologiegiganten bedeutet, dass es absolut keine Chance gibt, dass andere kurzfristige Entscheidungen in der Frage der Datenübertragung gegen Unternehmen wie Google getroffen werden.
In der gesamten EU sehen wir jedoch, dass andere Regulierungsbehörden dort tätig werden, wo sie über lokale Zuständigkeiten verfügen, sodass es möglicherweise zu einem „Tod durch Tausende von Beschwerden“ gegen Tools wie Google Analytics kommt, für die es tragfähige Alternativen gibt (Facebook tut dies nicht ist das einzige soziale Netzwerk, aber es ist aufgrund von Netzwerkeffekten und Herausforderungen bei der Datenübertragbarkeit verbindlicher).
Eine brennende Frage ist, ob es ein neues 'Datenschutzschild 2.0“ von der EU und den USA vereinbart, bevor Irland über den Datenfluss von Facebook entscheidet, vorausgesetzt, es gibt eine endgültige Entscheidung Irlands bis Ende Mai.
Selbst wenn es bis dahin eine grundsätzliche Einigung zwischen den beiden Parteien über den Inhalt einer neuen Vereinbarung gibt, scheint dieser Zeitplan knapp zu sein, und jeder neue Entwurf einer Angemessenheitsvereinbarung muss noch von der Kommission angenommen werden, die eine Stellungnahme der Kommission abwarten muss Europäische Datenschutzkommission (EDPB).
Das letzte Mal, nachdem Safe Harbor im Oktober 2015 für ungültig erklärt wurde, vergingen etwa sieben Monate zwischen der Veröffentlichung des Entwurfs des Privacy Shield-Abkommens (Februar 2016) und dem von der Kommission angenommenen Mechanismus und schließlich dem Umsetzungsmarsch für Unternehmen zur Selbstzertifizierung ( August 2016).
Obwohl insbesondere die Arbeitsgruppe 29, auch bekannt als das Gremium, das sich aus den Datenschutzbehörden der Mitgliedstaaten zusammensetzt und inzwischen zum EDPB geworden ist, zugestimmt hat, während des Analysezeitraums des Datenschutzschilds keine Übermittlungen einzustellen.
Meta setzt möglicherweise auf eine ähnlich großzügige Nachfrist für die Implementierung jedes neuen Datenschutzschilds, sodass es weiterhin einer Anordnung zur Unterbrechung des Datenverkehrs zwischen der EU und den USA ausweichen kann.
Allerdings ist nicht klar, ob der EDPB dieses Mal Lust dazu hätte, da bereits Anträge zum Thema Datenübermittlungen bearbeitet werden, ohne dass auf Irland gewartet werden muss.
Dafür haben die 101 Schrems-Beschwerden vom August 2020 gesorgt, die bewusst bei Agenturen in der ganzen EU eingereicht wurden, um Gruppenkäufen entgegenzuwirken.
Natürlich wird auch der EuGH jede Ersatz-Angemessenheitsvereinbarung, die die Fehler der Vergangenheit wiederholt, sehr negativ sehen. Und das Gericht hat gezeigt, dass es in der Lage ist, Beratungen zu beschleunigen, wenn es erhebliche Risiken für die Grundrechte wahrnimmt. Während Privacy Shield also vier Jahre lang hinkte, kann jeder fehlerhafte Ersatz – nennen wir es einen „Datenschutzschirm“ – eine noch kürzere Lebensdauer haben, bevor er hoffnungslos explodiert.
Vielleicht der Clou: Ein dritter Schlag des EuGH wäre eine große Blamage für die Kommission, was Vestagers starke Warnsignale so weit erklärt, dass er ausdrücklich „kein negatives Schrems-III-Urteil“ will.
Ob die Kommission wieder freiwillig illegale Meta-Datenströme übernehmen wird, ist eine besonders interessante Frage.
Es ist nicht dieselbe Wesenheit, die das ganze letzte Mal durchgemacht hat. Darüber hinaus hat es eine ehrgeizige technologiepolitische Agenda auf den Weg gebracht, von der das Data Act nur das letzte Puzzleteil ist, zusammen mit weitreichenden neuen Plänen, um die Marktmacht von Technologiegiganten zu zähmen, E-Commerce-Regeln zu aktualisieren und einen Rahmen dafür zu definieren „Vertrauenswürdige KI“. will neben vielen anderen legislativen Maßnahmen die digitale Wirtschaft und die europäische Gesellschaft umgestalten, um die EU-Wirtschaft anzukurbeln.
Daher ist von einer großen Bewegung der „digitalen Souveränität“ die Rede.
Der Appetit der EU, herauszufinden, was digitale Souveränität in der Praxis bedeutet, könnte jedoch bald auf der kommerziellen Seite von Dutzenden unterbrochener Datenströme auf die Probe gestellt werden.
