EU-US Datentransfer- der Europäische Datenschutzausschuss meint: möglich, aber halte ein Auge drauf
von , veröffentlicht am 01.03.2023Die mit einiger Spannung erwartete Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zum Entwurf des Angemessenheitsbeschlusses zum EU/US-Datenschutzrahmen (DPRC) wurde gestern Abend in Englisch veröffentlicht: https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en - 54 Seiten.
Die wohl wichtigste Feststellung des EDSA lautet übersetzt:
"Insgesamt nimmt der EDSA positiv zur Kenntnis, dass die Executive Order [von US-Präsident Biden vom 07.10.22] im Vergleich zum vorherigen Rechtsrahmen wesentliche Verbesserungen bietet, insbesondere im Hinblick auf die Einführung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit und den individuellen Rechtsbehelfsmechanismus für betroffene Personen in der EU. In Anbetracht der geäußerten Bedenken und der geforderten Klarstellungen schlägt der EDSA vor, dass diese Bedenken ausgeräumt werden und die Kommission die geforderten Klarstellungen liefert, um die Grundlage für den Entscheidungsentwurf zu festigen und eine genaue Überwachung der konkreten Umsetzung dieses neuen Rechtsrahmens, insbesondere der darin vorgesehenen Garantien, in den künftigen gemeinsamen Überprüfungen zu gewährleisten."
= S. 6 - Hervorhebungen hinzugefügt.
Einige erste Anmerkungen zu dem langen Dokument:
- Der Hamburger DSB hat wohl recht mit seiner Zusammenfassung des Dokuments: “ Im Zuge der Verhandlungen haben die USA bisher nicht dagewesene Zugeständnisse gemacht und ihr nationales Sicherheitsrecht an europäische Grundrechtsmaßstäbe angepasst. Der Beschluss kann jedoch kein Freibrief sein. Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen.“
- Auch die erste Stellungnahme des BfDI ist positiv: „Die im Vergleich zur Vorgängerübereinkunft, dem sog. Privacy Shield, erzielten Fortschritte adressieren erkennbar die Kritikpunkte des EuGH aus dem Schrems II-Urteil." Ähnlich Schleswig-Holstein für den DSK.
- Die Analyse des EDSA ist weitaus detaillierter als die Pauschalkritik des LIBE-Ausschusses des Europäischen Parlaments. Dazu mehr im Blogeintrag von Barbara Schmitz hier.
- Viele Aussagen im Dokument enthalten rechtliche Munition für beide Seiten, aber – um es klar zu sagen - die Stellungnahme des EDSA ist rechtlich nicht bindend.
- Die Frage muss erlaubt sein: Woher nimmt der EDSA die Expertise, sich zu einem so schwierigen und neuen US-Dokument wie die nach langen Diskussionen mit den Europäern erlassene Biden Executive Order im eh schon opaken Bereich „Signals Intelligence“ auf 54 Seiten so detailliert zu äußern und dessen Auswirkungen auf die Praxis in den USA (!) zu beurteilen?
- Oder auf einer anderen Ebene: Was heißt eigentlich „Angemessenheit des gebotenen Schutzniveaus“ (Art. 45 DS-GVO) in diesem Zusammenhang? "Angemessenheit" ist trotz der Kriterien in Abs. 2 ein sehr dehnbarer Begriff. Welche Rolle für das Schutzniveau spielt z.B. die Praxis der "Signals Intelligence" in EU-Staaten in diesem Bereich?
Aber was meinen Sie?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
8 Kommentare
Kommentare als Feed abonnierenDiesen Punkt möchte ich gerne aufgreifen: Ist die "Angemessenheit des gebotenen Schutzniveaus" in Art. 45 Abs. 2 DS-GVO in Bezug auf Signals Intelligence überhaupt gerichtlich überprüfbar? Und auf welcher Grundlage findet ein Vergleich statt? Werden dann europäische "Signals Intelligence"-Methoden als Maßstab genommen?
Angenommen, die EU-Kommission erlässt einen Angemessenheitsbeschluss in Bezug auf einen Drittstaat und nun möchte der EuGH überprüfen, ob der dortige Datenschutzstandard wirklich angemessen ist. Für einen Richter in Europa ist es vielleicht noch möglich, sich entsprechende Expertise in Bezug auf die USA einzukaufen. Aber ich halte es für schwerlich möglich, dass dies für jeden Drittstaat möglich ist - gerade auf dem Gebiet "Signals Intelligence".
Der EuGH würde wohl davon ausgehen, dass die "Angemessenheit" ein Rechtsbegriff ist, der der vollständigen gerichtlichen Kontrolle unterliegt. Man könnte aber sicher auch gut argumentieren, dass Art. 45 Abs. 2 DS-GVO der EU-Kommission eine Einschätzungsprärogative gibt. Denn sicherlich gibt es auch Drittstaaten, die ihre Geheimdienstaktivitäten nicht durch Gerichte - und schon gar nicht durch Gerichte der Europäischen Union - überprüft sehen wollen. Der EuGH müsste also - in einem bislang fiktiven Fall - den Angemessenheitsbeschluss auf der Grundlage kippen, dass er die notwendigen Informationen für die gerichtliche Kontrolle, gerade zu Signals Intelligence, nicht erlangen kann, wenn er denn an seiner Auffassung festhält.
Vielen Dank für die Zusammenfassung und die Verweise auf die Stellungnahmen und PMs.
Mit Blick auf die Überlegungen der EU-Kommission für die Entscheidung zum Angemessenheitsbeschluss für den Datentransfer ins Vereinigte Königreich nachfolgend eine Gegenüberstellung der Ausführungen der Kommission zum Entwurf des UK-Angemessenheitsbeschluss und des EDPB zum US-Angemessenheitsbeschluss:
Pressemitteilung EU-Kommission zum Entwurf eines Angemessenheitsbeschlusses für UK v. 19.2.2021 (Hervorhebung durch Verfasserin):
Das Vereinigte Königreich hat sich ferner verpflichtet, weiterhin Vertragspartei der Europäischen Konvention zum Schutz der Menschenrechte und der Konvention Nr. 108 des Europarats, dem einzigen bindenden multilateralen Datenschutzinstrument, zu bleiben. Das Vereinigte Königreich bleibt also trotz seines Austritts aus der EU Mitglied der europäischen „Datenschutzfamilie“. Für die Stabilität und Beständigkeit der vorgeschlagenen Angemessenheitsbeschlüsse ist es von besonderer Bedeutung, dass es Vertragspartei derartiger internationaler Übereinkommen bleibt.
EDPB Opinion 5/2023 zum Entwurf des EU-US-DPF:
Rn. 23:
The US is a party to several international agreements that guarantee the right to privacy, such as the International Covenant on Civil and Political Rights (Article 17), the Convention on the Rights of Persons with Disabilities (Article 22) and the Convention on the Rights of the Child (Article 16). Furthermore, the US, as an OECD member, adheres to the OECD Privacy Framework, in particular the Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data. On 14 December 2022, the OECD ’Declaration on Government Access to Personal Data held by Private Sector Entities’ was adopted by Ministers and high-level representatives of OECD Members and the European Union. The US is also a party to the Budapest Convention on Cybercrime.
Rn. 25:
The EDPB also takes note of the participation of the US as Observer State in the work of the Consultative Committee of the Council of Europe Convention 108.
Could work!
Vielen Dank. Und die US Seite hat prompt reagiert:
FAQ on „EU–U.S. Data Privacy Framework Updates“ by the U.S. Department of Commerce
Wesentlich: Der EU-US-Datenschutzrahmen wird keine neuen materiellen Verpflichtungen für die teilnehmenden Organisationen in Bezug auf den Schutz personenbezogener Daten in der EU schaffen. Die Datenschutzgrundsätze und das Verfahren zur Selbstzertifizierung und jährlichen Neuzertifizierung bleiben im Wesentlichen gleich (wie beim EU-US-Privacy Shield). Organisationen, die sich nach den Grundsätzen des EU-US-Privacy Shields selbst zertifiziert haben und am EU-US-Datenschutzrahmen teilnehmen möchten, müssen die Grundsätze des EU-US-Datenschutzrahmens einhalten, sobald diese in Kraft treten. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update
Update: PM DSK vom 1.3.2023 - Auszug:
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unterstützt die Position des EDSA ausdrücklich. Dr. h. c. Marit Hansen, die Vorsitzende der DSK: „Die Daten vieler EU‐Bürgerinnen und EU‐Bürger werden in die USA übermittelt. Für einen umfassenden Grundrechtsschutz ist es wichtig, dass das Schutzniveau auch in diesen Fällen gleichwertig mit dem in der EU garantierten Datenschutzniveau ist. Der Europäische Datenschutzausschuss hat unter Beteiligung deutscher Aufsichtsbehörden das in dem EU‐U.S. Data Privacy Framework beschriebene Schutzniveau sorgfältig geprüft. Ich begrüße den erzielten Fortschritt und hoffe, dass die verbliebenen offenen Punkte, die wir gemeinsam aufgezeigt
haben, nun ebenfalls geklärt werden.“
Der Beschlussentwurf der Europäischen Kommission folgt auf Maßnahmen, die die US‐Regierung im Oktober 2022 ergriffen hat. Hierzu gehört insbesondere die Exekutivverordnung über die Verbesserung der Garantien für USSignalspionagetätigkeiten
(Executive Order (EO) 14086). Durch diese Maßnahmen sollten die beiden im Schrems II‐Urteil genannten Hauptprobleme gelöst werden, nämlich die fehlende Verhältnismäßigkeit und das Fehlen wirksamer Rechtsbehelfe in den USA in Bezug auf Überwachungsmaßnahmen. Der EDSA sieht in diesen Punkten erhebliche Verbesserungen durch die Executive Order (EO) 14086. Die EO führt die Konzepte der Notwendigkeit und Verhältnismäßigkeit in Bezug auf die nachrichtendienstliche Sammlung von Daten durch die USA (Signals Intelligence) ein. Außerdem schafft der neue Rechtsbehelfsmechanismus Rechte für EU‐Bürgerinnen und –Bürger und unterliegt der Überprüfung durch das Privacy and Civil Liberties Oversight Board (PCLOB).
Danke für das Posting. Wenn die Kommission den Angemessenheitsbeschluss für den Privacy Shield 2.0 trifft, stellt sich die Frage ob die TIAs für die USA dann noch für die Standardsvertragsklauseln idF von 2021 (SCC) erforderlich sind. Ein Argument gegen die TIAs könnte sein: Die SCC bieten ein midestens genau so hohes Schutzniveau wie die Regeln des Privacy Shield idF der EU-US DPF Principles.
Ja – so sieht das wohl auch Bruno Gencarelli, Leiter des Bereichs International Data Flows bei der Europäischen Kommission, nach der Veröffentlichung des Entwurfs EU-U.S.-DPF:
“The safeguards we negotiated governing [US government] access – the safeguards on necessity, proportionality, requests – have been negotiated so that they will be effective . . . and they will apply to any transatlantic transfer regardless of the mechanism used, including transfers on the basis of standard contractual clauses or binding corporate rules.”
Ist tatsächlich auch nur eine Person hier ernsthaft der Meinung, das sich die Rechtsposition von EU-Bürgern auch nur ein haarbreit verbessern wird? Oder reicht ein bisschen Privacy-Theater auf dem Papier?
Lesenswerte rechtsvergleichende Analyse zur Biden Executive Order. https://digitalcommons.wcl.american.edu/research/99/