BREAKING NEWS 7.10.2022: President Biden unterzeichnet Executive Order zum EU-U.S. Data Privacy Framework
von , veröffentlicht am 07.10.2022Hier das Fact Sheet aus dem Weißen Haus!
Und hier die wesentlichen Inhalte aus dem Fact Sheet (englisch)
- Adds further safeguards for U.S. signals intelligence activities, including requiring that such activities be conducted only in pursuit of defined national security objectives; take into consideration the privacy and civil liberties of all persons, regardless of nationality or country of residence; and be conducted only when necessary to advance a validated intelligence priority and only to the extent and in a manner proportionate to that priority.
- Mandates handling requirements for personal information collected through signals intelligence activities and extends the responsibilities of legal, oversight, and compliance officials to ensure that appropriate actions are taken to remediate incidents of non-compliance.
- Requires U.S. Intelligence Community elements to update their policies and procedures to reflect the new privacy and civil liberties safeguards contained in the E.O. Creates a multi-layer mechanism for individuals from qualifying states and regional economic integration organizations, as designated pursuant to the E.O., to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was collected or handled by the United States in violation of applicable U.S. law, including the enhanced safeguards in the E.O.
- Under the first layer, the Civil Liberties Protection Officer in the Office of the Director of National Intelligence (CLPO) will conduct an initial investigation of qualifying complaints received to determine whether the E.O.’s enhanced safeguards or other applicable U.S. law were violated and, if so, to determine the appropriate remediation. The E.O. builds up the existing statutory CLPO functions by establishing that the CLPO’s decision will be binding on the Intelligence Community, subject to the second layer of review, and provides protections to ensure the independence of the CLPO’s investigations and determinations.
- As a second layer of review, the E.O. authorizes and directs the Attorney General to establish a Data Protection Review Court (“DPRC”) to provide independent and binding review of the CLPO’s decisions, upon an application from the individual or an element of the Intelligence Community. Judges on the DPRC will be appointed from outside the U.S. Government, have relevant experience in the fields of data privacy and national security, review cases independently, and enjoy protections against removal. Decisions of the DPRC regarding whether there was a violation of applicable U.S. law and, if so, what remediation is to be implemented will be binding. To further enhance the DPRC’s review, the E.O. provides for the DPRC to select a special advocate in each case who will advocate regarding the complainant’s interest in the matter and ensure that the DPRC is well-informed of the issues and the law with regard to the matter. The Attorney General today issued accompanying regulations on the establishment of the DPRC.
- Calls on the Privacy and Civil Liberties Oversight Board to review Intelligence Community policies and procedures to ensure that they are consistent with the Executive Order and to conduct an annual review of the redress process, including to review whether the Intelligence Community has fully complied with determinations made by the CLPO and the DPRC.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
20 Kommentare
Kommentare als Feed abonnierenHerzlichen Dank, Barbara Schmitz! Herr Schrems und NOYB haben sich dazu schon geäußert und sind, wie erwartet, gar nicht zufrieden. https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law
Es empfiehlt sich, die EO und das Memorandum zur PPD 28 erst einmal genau zu lesen.
Hier nochmal die nächsten Schritte auf EU Seite:
- Die EU-Kommission muss eine Angemessenheitsfeststellung als Entwurf verfassen.
- Der Europäische Datenschutzausschuss muss eine unverbindliche Stellungnahme abgeben (und kann weitere Dokumente anfordern).
- Das EU-Parlament kann eine formelle Stellungnahme abgeben.
- Ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, muss den Vorschlag mit qualifizierter Mehrheit billigen.
- Die EU-Kommission muss ihre Angemessenheitsbestimmung annehmen.
Dazu gibt es ein lesenswertes ZD Editorial von Prof. Roßnagel hier: https://rsw.beck.de/cms/?toc=ZD.20
In seinem Statement bemüht Max Schrems eine "europäische Definition" des Begriffs "verhältnismäßig" und kommt zu dem Schluss, dass die amerikanische Version (?) nur begrifflich gleich ist, aber eine andere Bedeutung hat und bedauert, dass " die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will."
Der EuGH äußert sich im Urteil zu Schrems II zur Verhältnismäßigkeit im Rahmen der Prüfungsfrage zu 5b):
Sind die Einschränkungen, denen das Recht einer natürlichen Person auf einen gerichtlichen Rechtsbehelf nach dem Recht der Vereinigten Staaten im Kontext der nationalen Sicherheit der Vereinigten Staaten unterliegt, im Sinne von Art. 52 der Charta verhältnismäßig, und gehen sie nicht über das in einer demokratischen Gesellschaft für Zwecke der nationalen Sicherheit erforderliche Maß hinaus?
unter RZ 180 folgendes:
Demzufolge lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen. Genauso wenig ist erkennbar, dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese Vorschrift, wie der Generalanwalt in den Nrn. 291, 292 und 297 seiner Schlussanträge der Sache nach festgestellt hat, nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta – in ihrer Auslegung durch die in den Rn. 175 und 176 des vorliegenden Urteils wiedergegebene Rechtsprechung, wonach eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss – garantierten Niveau der Sache nach gleichwertig ist.
Schrems erklärt nun, dass diese (hier in fett gekennzeichneten Anforderungen des EuGH) nicht erfüllt seien, weill
Wie sehen Sie das? Hat sich nichts verändert? Kann ein neuer Angemessenheitsbeschluss auf der Grundlage der E.O. keinen Bestand vor dem EuGH haben?
Nur kurz soviel dazu: Herr Schrems kann als Einzelperson seine eigenen Meinung haben, aber die E.O. ist doch nicht aus der Luft gegriffen, sondern ist das Ergebnis von monatelangen Konsulationen mit der EU Kommission. Außerdem beruht die Faktenlage des Schrems 2-Urteils auf der Rechtslage von 2018, wobei nicht sicher ist, dass das Untergericht die Vorschriften von FISA 702 richtig verstanden hat. Die Entscheidungen des neuen Gerichts sind intern bindend.
Im übrigen geht es bei der Angemessenheitsprüfung gar nicht um Auslandsaufklärung nach FISA aus US-Sicht, sondern nur darum, ob EU-Daten, die in die USA gelangen, angemessen geschützt sind.
Interessant sind die EO-Regeln für eine Reziprozität des Beschwerdemechanismus (Sec. 2 (f)): Die Europäer müssen den Amerikanern ihrerseits Beschwerderechte bei ihrer Überwachung einräumen.
Eindruck von Washington: da ist jede Menge Arbeit und Verhandlung in dieses Dokument investiert worden.
Man wünscht nach der Lektüre, Magister Schrems würde sich mit demselben Elan gegen die Abhörschergen von Putin und Xi einsetzen, anstatt seinen persönichen Kreuzzug gegen die Amerikaner zu führen. Aber dafür wird Schrems ja bezahlt.
Und sein Herumnörgeln, dass dieser Data Protection Review Court gar kein Gericht sei, geht auch fehl. Die Richter stammen von außerhalb der Exekutive und sind nicht weisungsgebunden. Wie viele Beschwerden hat denn der Ombudsman aus Europa nach dem Privacy Shield erhalten? Meines Wissens keine einzige!
Guter Punkt: Wer zahlt Schrems?
Und GB möchte auch bei Datentransfer dabei sein. Vielleicht einigen sich GB und USA schneller, dann geht der Datenfluss halt aus der EU nach GB (Angemessenheit (+)) und von da aus schupp in die USA:
UK-US joint statement, including this on data flows:
"Since committing to deepening US.-UK dialogue on data flows last December, both countries have accelerated and broadened their discussions on ways in which the benefits of improved bilateral and globally-interoperable cross-border data flows can be promoted and realized.
In this context, we are also pleased to announce today significant progress on U.S.-UK data adequacy discussions. The UK welcomes the release of the Executive Order (EO) “Enhancing Safeguards for United States Signals Intelligence Activities” and intends to work expediently to conclude its assessment, with the aim of issuing an adequacy decision that will restore a stable and reliable mechanism for U.S.-UK data flows. The United States intends to work to designate the UK as a qualifying state under the EO, assuming the conditions for such designation can be satisfied, which would enable UK individuals who submit qualifying complaints to access the redress mechanism established under the EO."
https://www.commerce.gov/news/press-releases/2022/10/us-uk-joint-statement-new-comprehensive-dialogue-technology-and-data?
Hier noch die Q&As der EU Kommission zur E.O und zum weiteren Prozess:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045
Viele der Regeln in der EO sind deswegen erforderlich, weil das "standing" (in etwa Klagebefugnis) von europäischen Betroffenen in den USA problematisch. Wer an dieser Frage interessiert ist, sollte die exzellente Analyse des US-Fallrechts von Christakis/Propp/Swire (02/2022) lesen: https://europeanlawblog.eu/2022/02/16/eu-us-adequacy-negotiations-and-the-redress-challenge-how-to-create-an-independent-authority-with-effective-remedy-powers/
Eine weitere spannende Frage ist, wie sich die EO auf die bestehenden TIAs für die USA auswirkt. Der EDSA will sich wohl dazu äußern. Was meinen Sie?
Auf der #DPI22 hat sich die BayLDA wohl dazu geäußert: https://twitter.com/DSGVO_Portal/status/1580211861014052864?t=vnjaaP6kOK...
Wo ist eigentlich der Link zwischen dem neuen EO und Section 702 FISA? Der neue EO gilt nur für "signals intelligence", was nicht definiert wird, auch nicht im PPD-28, auf den alles zurück geht. Wir haben nur dann eine Lösung, wenn der neue EO auf alle Collections nach Section 702 FISA Anwendung findet, auch die "at-rest" Collections in den USA. Sonst gibt es eine Lücke. Und offenbar deckt "signals intelligence" nicht alle Collections nach Section 702 FISA ab, vgl. etwa Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities (fas.org) Seite 4 in der Mitte betr. das FBI. Hat jemand eine Quelle, die autoritativ festlegt, was genau unter "signals intelligence" fällt? Der Begriff kann unterschiedlich verstanden werden. Entscheidend ist aber die hier rechtlich relevante Definition.
Vielen Dank. Das ist eine wichtige Überlegung.
Im PPD-28 und im zur neuen E.O. flankierenden PPD-28 Memorandum ist die Rede von „signals intelligence activities“. In der deutschen Fassung des EuGH Urteils zu Schrems II wird dieser Begriff mit „signalerfassende Aufklärung“ übersetzt.
Grundsätzlich verstehe ich es so, dass FISA 702 der US-Regierung die Überwachung unter den dort aufgeführten Bestimmungen erlaubt. Der InfoGraphic zu Section 702 Overview ist in der Folie zum Prozessablauf unter den Prozessschritten 7a und 7b zu entnehmen, dass ein Upstream Collection nur für die NSA möglich sein soll und ein Downstream Collection für „all agencies“. Unter letzerem werden dann neben CIA und NSA auch das FBI aufgeführt. Vor diesem Hintergrund ist dann auch der Report zu PPD-28 zu verstehen.
Entscheidend scheint mir aber doch zu sein, dass alle Behörden, die Maßnahmen nach FISA 702 vornehmen, sich an den Vorgaben nach PPD-28 zu richten haben. Das versteht mE auch der EuGH im Schrems II -Urteil so, denn dort heißt es unter Rz. 181
„müssen die auf Section 702 des FISA gestützten Überwachungsprogramme zwar unter Beachtung der aus der PPD-28 folgenden Anforderungen durchgeführt werden. (…) hat die amerikanische Regierung jedoch auf eine Frage des Gerichtshofs eingeräumt, dass die PPD-28 den betroffenen Personen keine Rechte verleihe, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten. Folglich ist die PPD-28 nicht geeignet, ein Schutzniveau zu gewährleisten,
An dieser Stelle sei auch nochmal auf das 2020 Whitepaper der US- Administration (DoC/DoJ) verwiesen, in dem die Anforderungen des National Intelligence Priorities Framework (“NIPF”) zur Signal-/Massenüberwachung auf Seite 19 beschrieben werden und nach meinem Verständnis damit die Abhängigkeit der FISA/12.333 Maßnahmen von PPD-28 festgestellt werden.
Darüber hinaus sollte mE der Hinweis auf die „tatsächliche“ Praxis der geheimdienstlichen Offenlegungsanordnungen und Zugriffen aus dem Whitepaper nicht gänzlich ungehört bleiben:
"Indeed, the overwhelming majority of companies have never received orders to disclose data under FISA 702 and have never otherwise provided personal data to U.S. intelligence agencies. Neither would such companies have any indication that a U.S. intelligence agency has sought to obtain their data unilaterally outside the United States under the authority of EO 12333. The theoretical possibility that a U.S. intelligence agency could unilaterally access data being transferred from the EU without the company’s knowledge is no different than the theoretical possibility that other governments’ intelligence agencies, including those of EU Member States, or a private entity acting illicitly, might access the data. Moreover, this theoretical possibility exists with respect to data held anywhere in the world, so the transfer of data from the EU to the United States in particular does not increase the risk of such unilateral access to EU citizens’ data."
Vielen Dank, Barbara Schmitz. @David: Ich verstehe nicht, wo jetzt das Problem mit der PPD-28 liegen soll. Da steht doch klar drin in FN 3:
"Unless otherwise specified, this directive shall apply to signals intelligence activities conducted in order to collect communications or information about communications, except that it shall not apply to signals intelligence activities undertaken to test or develop signals intelligence capabilities.”
Also: Keine Beschränkung nur auf das FBI oder Ausnahmen für "collection at rest" etc in der PPD-28.
Der Begriff signals intelligence stammt aus der Zeit vom 2. WK: „NSA is responsible for providing foreign signals intelligence (SIGINT) to our nation's policy-makers and military forces. SIGINT plays a vital role in our national security by providing America's leaders with critical information they need to defend our country, save lives, and advance U.S. goals and alliances globally. SIGINT is intelligence derived from electronic signals and systems used by foreign targets, such as communications systems, radars, and weapons systems that provides a vital window for our nation into foreign adversaries' capabilities, actions, and intentions.”
https://www.nsa.gov/Signals-Intelligence/Overview/
Es geziemt es sich im diesem Zusammenhang nochmal dezent darauf hinzuweisen, das der Ombudsmann unter dem Privacy Shield bis Schrems 2 meines Wissens keine einzige Beschwerde aus Europa zu bearbeiten hatte.
@Axel: Du hast mich missverstanden. Es geht nicht darum, ob es Formen von Signals Intelligence gibt, die nicht erfasst sind, sondern ob es Zugriffe nach dem problematischen Section 702 FISA gibt, die keine Signals Intelligence sind. Formal gilt der neue EO nur für Signals Intelligence. Es geht um die Frage einer Regelungslücke.
Wir können in der Diskussion hier die Kabel- oder Funkaufklärung, wie die Upstream-Überwachung im Fachjargon auf Deutsch übersetzt wird, gleich weglassen. Sie wird durch moderne Verschlüsselung mehr oder weniger ausgeschlossen und ist nicht das Problem in der Praxis.
Das Problem sind die Zugriffe auf lagernde Daten durch einen ECSP in den USA, wenn sie einem Selektor zugeordnet werden können (Downstream). Diese Überwachung ist das, was Section 702 FISA auch erlaubt, und das ist in den allermeisten Fällen in der Praxis das, was wir in einem TIA im Restrisiko beurteilen müssen und uns so viele Mühen bereitet, jedenfalls wenn wir dem Null-Risiko-Ansatz der Datenschutzbehörden folgen.
Darum ist entscheidend, dass der neue EO für alle Collections von Daten gilt, die nach Section 702 FISA erfolgen. In dem von mir zitierten Bericht des PCLOB gehen die "Überwacher" der Aktivitäten unter Section 702 FISA (das ist ja deren Aufgabe) davon aus, dass es ein Delta gibt. Vielleicht haben sie das auch alles falsch verstanden. Darum meine Frage. Nun ist es zwar so, dass die Behörden, die in den USA nach 702 Daten erheben, sich "freiwillig" an PPD-28 halten. Aber das war ja bisher gerade ein Teil des Problems.
Oder anders gefragt: Haben sich die US intelligence authorities bei allen collections von Personendaten nach Section 702 FISA an den neuen EO zu halten? Und ist klar, dass der neue indirekte Beschwerdemechanismus (wie wir ihn übrigens auch ähnlich im Schweizer Nachrichtendienstgesetz haben) auf alles anwendbar, was nach Section 702 FISA geschieht?
@Barbara Schmitz: Ich stimme völlig zu, dass wir hier in vielen Bereichen von theoretischen Risiken reden. Ich habe ja eine Methode entwickelt, wie man diese theoretische Eintrittswahrscheinlichkeit ausweisen kann. Ich habe auch gezeigt, dass selbst unter FISA 702 ganz viele Fälle, die allgemein als erfasst gelten, es in Wirklichkeit gar nicht sind. Siehe auch meine ausführliche FAQ zu FISA 702 und meiner Methode. https://www.rosenthal.ch/downloads/Rosenthal-LA-method-FAQ.pdf Wenn wir allerdings über die Frage sprechen, ob dem EuGH genügen wird, was in EO steht, müssen wir die Sache in einem anderen Licht sehen. Freilich wird der Entscheid des EuGH in Schrems III wohl ein politischer sein.
David: Danke. Ich bin jetzt auch nicht der FISA Spezialist, aber vielleicht hilft uns das Gutachten von Prof Vladeck weiter, dass die deutschen DPAs für teures Geld eingekauft haben: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/Vlade...
Dort heisst es z.B.: "The text of the statute does not speak to the specific types of data subject to acquisition under section 702. But we know that the FISA Court has authorized the collection of both metadata and content of communications pursuant to section 702 under at least some circumstances. . . Section 702 has been applied to both data in transit and data at rest. The in-transit collection is known as “upstream” collection, and the at-rest collection is often described as “downstream” collection."
Vielleicht beantwortet das zumindest einen Teil deiner Frage.
Danke!
Naja, Prof Vladeck scheint mir nicht wirklich ein Experte in dieser Materie zu sein; ich kenne sein Gutachten natürlich. Auf wichtige Fragen antwortet er nicht einmal, ist teils sehr undifferenziert oder vage. Das ist schade. Ich hatte mir mehr erwartet. Da ist meine FAQ wesentlich konkreter, und die erhebt gar nicht den Anspruch, ein Gutachten zu sein.
Die von Dir zitierte Stelle betrifft die Art der Daten, nicht die Art der Datenerhebung. Dass Section 702 auch die At-Rest-Erhebung umfasst, ist klar. Auch, dass es um Metadaten und Inhalte geht (die Downstream-Überwachung läuft so, dass die NSA zu Deinem Provider geht und sagt: Gib mir den ganzen Kontoinhalt von "osama.jr@gmail.com". Bei der traditionellen Kabelaufklärung werden hingegen Übertragungen im Internet nach Mails von und nach "osama.jr@gmail.com" gesammelt, während jedoch der gesamte Verkehr gescannt wird (das ist das, was sie als eine "bulk"-Erhebung bezeichnen).
Mein Punkt ist die Frage, ob auch der neue EO die At-Rest-Erhebung von Daten erfasst oder wir hier eine Schutzlücke haben. Haben wir eine Lücke, ist der EO nicht mehr viel wert, sobald jemand das bemerkt. Der EO hätte auch sagen können: Was in diesem Dekret steht gilt für alle Erhebungen von Daten, die nach Section 702 oder EO 12333 or PPD-28 erfolgen oder dass "signals intelligence" alles mitmeint, was Section 702 abdeckt. Aber gerade das tut er nicht. Er definiert diesen zentralen Begriff nicht einmal.
Bis jetzt konnte diese Frage niemand beantworten. Auch US-Anwälte, die in genau diesem Bereich aktiv sind, nicht ...
Hat nicht der frz. Conseil d'Etat letztens die massenweise Sammlung von Daten in Frankreich gebilligt?
https://edri.org/our-work/frances-highest-court-validates-mass-surveillance-in-the-long-term/
Und da was NOYB mucksmäuschenstill. Das ist doch so was von unglaubwürdig.
Congressional Research Service vom 24.10.2022: The EU-U.S. Data Privacy Framework: Background, Implementation, and Next Steps
"If the CJEU determines that U.S. surveillance as authorized by Section 702 of FISA does not satisfy EU data protection law, even with the EO’s safeguards in place, ensuring the legality of EU-U.S. data flows may require amending FISA.
Section 702 of FISA is scheduled to expire at the end of 2023. As discussed in this Legal Sidebar, Members of Congress have used past FISA reauthorizations to propose broader reforms to the law."
Dr. Sebastian Kraska (IITR) verweist in seinem DatenschutzCafé zum Thema EU-US-Datentransfer auf eine möglicherweise langfristige Lösung im Rahmen von völkerrechtlich verbindlichem Datentransfer-Verträgen, die die Datenschutzbehörden der G7-Mitgliedsländer unter dem Vorsitz des deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, in einem Communiqué vom 8. September 2022 im Zusammenhang mit "Data Free Flow with Trust (DFFT)" beschrieben haben.
Dort heißt es unter Punkt 8:
We recognize adequacy decisions among G7 member countries as a tool to enable free and trustworthy flows of personal data with high data protection standards and we encourage the US government and the European Commission to intensify their efforts for a new, solid Trans-Atlantic Data Privacy Framework.
…unter Punkt 7:
With respect to transfer instruments, we recognize the importance of discussions about several current approaches in different regions of the world, which should be inclusive and not exclusive. We therefore commit to continue working towards elements of convergence of these tools to foster future interoperability, where possible, in order to achieve a high level of data protection and facilitate data free flow with trust and create options for businesses to choose cross-border transfer tools, suitable for their business needs. In that regard, we support the ongoing work undertaken by the Global Frameworks and Standards Working Group of the GPA and by the OECD on the comparison of cross-border transfer mechanisms and commit to exchange our experience and best practices in this regard, both, within the GPA and amongst G7 DPAs.
Auch die anderen Punkte und Übereinkommen sind wichtig und lassen auf eine Lösung zum Datentransfer für Weltbürger hoffen.
Update: HmbBfDI am 29.11.2022 zur Executive Order 7 10 22:
Vielen Dank. Das ist nuancierter als die Aussagen manch anderer europäischer Kommentatoren.