EU-US Datentransfer: Adäquanzentscheidung der EU-Kommission ist veröffentlicht. Und jetzt?
von , veröffentlicht am 10.07.2023Rechtsgebiete: VerwaltungsrechtWirtschaftsrechtDatenschutzrechtDatenschutz-Folgeabschätzung12|15023 Aufrufe
Etwas früher als erwartet hat die EU-Kommission heute ihre Adäquanzentscheidung im Nachgang zur EuGH Entscheidung Schrems II (im Blog u.a. hier) und der Biden Executive Order 14086 ("EO"- im Blog hier) veröffentlicht. Den Volltext der Entscheidung (137 Seiten) findet man hier.
Hier einige erste Beobachtungen als Q&A, wie es jetzt weitergeht, basiert auf dem Text der Entscheidung:
- Ist mit einer baldigen Einstweiligen Anordnung eines Gerichts gegen die Adäquanzentscheidung zu rechnen? Eher nicht: NOYB, die Organisation von Max Schrems, will nicht sehr überraschend lieber früher als später Klage einreichen. Aber das Verfahren dürfte geraume Zeit in Anspruch nehmen. Eine Hürde: Klagebefugnis von NOYB ist erforderlich. In der Adäquanzentscheidung führt die KOM aus (RZ 207): „Gemäß Art. 58 Abs. 5 DSGVO und wie der Gerichtshof in seinem Urteil in der Rechtssache Schrems ausgeführt hat, muss das nationale Recht einer nationalen Datenschutzbehörde, die die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Schutz der Privatsphäre und Datenschutz in Frage stellt, einen Rechtsbehelf zur Verfügung stellen, um diese Einwände vor einem nationalen Gericht vorzubringen, das gegebenenfalls ein Vorabentscheidungsersuchen an den Gerichtshof richten muss.“ -- Angesichts der neuen Entwicklungen zum US-Recht, auf die die KOM auf vielen Seiten eingeht, den Ipementierungszusgaen der US Regierung und der o.g. Biden- EO dürfte es für eine Einstweilige Anordnung auch materiellrechtlich schwierig werden. Wann der EuGH sich dazu äußern wird, ist unklar. NOYB geht sehr optimistisch davon aus, „dass das neue System in den nächsten Monaten von den ersten Unternehmen umgesetzt wird, was den Weg für eine Anfechtung durch eine Person ebnen wird, deren Daten im Rahmen des neuen Instruments übermittelt wurden. Es ist nicht unwahrscheinlich, dass eine Anfechtung bis Ende 2023 oder Anfang 2024 beim EuGH eingehen (!) wird.“
- Sind die Standartvertragsklauseln von 2021 (SCC) jetzt Rechtsgeschichte? Nein, die Entscheidung bezieht sich auf die nach dem Privacy Shield /DPF zertifizierten US-Unternehmen. Diese sind unter Ziff. 2.2.1, RZ 9 definiert. Vermutlich werden viele Datenexporteure schon aus Gründen der Vorsicht die SCC von 2021 weiter nutzen wollen oder gar müssen, weil der Empfänger nicht unter das DPF fällt.
- Können die Datenexporteure und -importeure ihre mit viel Mühe erstellten Data Transfer Impact Assessments (TIAs) jetzt für die USA in den Schredder schmeißen? Lieber nicht – siehe RZ 206:„Insbesondere die Übermittlung von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der Union an zertifizierte Organisationen in den Vereinigten Staaten erfolgen, ohne dass eine weitere Genehmigung eingeholt werden muss.“ – Den Text muss man wohl so lesen, dass nur die nach dem Privacy Shield/DPF zertifizierten Unternehmen keine TIA mehr brauchen.
- Kann eine nationale Datenschutz Behörde die Adäquanzentscheidung ignorieren oder abändern? Nein, siehe RZ 205: „Ein gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission ist für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich.“
- Was müssen Unternehmen jetzt tun, die bereits nach dem Privacy Shield zertifiziert sind? Die Lage der US-Unternehmen, die bereits nach dem Privacy Shield/DPF registriert sind oder das jetzt tun wollen, haben wir im Blog schon hier diskutiert.
Damit ist die Analyse natürlich nicht abgeschlossen. Was halten Sie von der Entscheidung?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
12 Kommentare
Kommentare als Feed abonnierenDie neue Webseite des US Handelsministeriums zum DPF existiert zwar schon, aber scheint noch nicht so richtig zu funktionieren: https://www.dataprivacyframework.gov/s/
Zur weiteren Anwendung der SCC sei auf die Aussage von Bruno Gencarelli, Head of International Data Flows at the European Commission, kurz nach Veröffentlichung des Entwurfs am 13.12.22 hingewiesen:
The safeguards we negotiated governing [US government] access – the safeguards on necessity, proportionality, requests – have been negotiated so that they will be effective . . . and they will apply to any transatlantic transfer regardless of the mechanism used, including transfers on the basis of standard contractual clauses or binding corporate rules.
Nach meinem Verständis entfällt damit mit dem EU-US DPF nun das TIA nach Klausel 14 Abs. b) ii).
Vielen Dank. Ich bin gespannt, was die DSBs zu diesem Thema ausführen werden. Jedenfalls dürften die TIAs sehr viel kürzer werden. Die Norwegische Datenschutzbehörde schreibt z.B.:
"Kann ich jetzt personenbezogene Daten ungehindert an eine beliebige US-Organisation übermitteln?
Nein, das können Sie nicht.
Es ist wichtig zu wissen, dass der Angemessenheitsbeschluss nur für die selbstzertifizierten Organisationen auf dieser Liste gilt (dataprivacyframework.gov). Wie wir weiter unten erklären, ist es jedoch einfacher geworden, personenbezogene Daten auch an andere US-Organisationen zu übermitteln."
Quelle: https://www.datatilsynet.no/regelverk-og-verktoy/sporsmal-svar/overforin...
Ich schließe aus den bisherigen Stellungnahmen: Wenn ein Datenexporteur sich nicht (ausschließlich) auf das neue DPF verlassen will oder kann, muss er weiterhin eine Folgenabschätzung (TIA) für die Übermittlung durchführen, wie sie im Schrems-II-Urteil des EuGH gefordert wird. Es dürfte jedoch nunmehr einfacher sein, eine positive TIA zu rechtfertigen, da selbst die EU-Kommission der Ansicht ist, dass die EO 14086, wie sie in US-Recht umgesetzt wurde, die vom EuGH geäußerten Bedenken ausreichend berücksichtigt.
Gerade von der US Behörde NTIA veröffentlicht:
News From the
International Trade Administration
Important Privacy Shield Program UpdateOn behalf of the U.S. Department of Commerce, the International Trade Administration’s Privacy Shield Team would like to make you aware of important developments regarding the Privacy Shield program.
Advisory:
On July 10, 2023, the European Commission’s adequacy decision for the EU-U.S. Data Privacy Framework (EU-U.S. DPF) entered into force. The EU-U.S. DPF Principles entered into effect as of the same date. U.S. based organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles must comply with the EU-U.S. DPF Principles, including by updating their privacy policies by October 10, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the EU-U.S. DPF and may begin relying immediately on the EU-U.S. DPF adequacy decision to receive personal data transfers from the European Union / European Economic Area. The updating and renaming of the privacy principles under the EU-U.S. DPF does not change such an organization’s re-certification due date. Organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles, but do not wish to participate in the EU-U.S. DPF must complete in accordance with International Trade Administration (ITA) procedures the withdrawal process referred to in section (f) of the Supplemental Principle on Self-Certification.
Effective July 17, 2023, eligible organizations in the United States that wish to self-certify their compliance pursuant to the UK Extension to the EU-U.S. DPF may do so; however, they may not begin relying on the UK Extension to the EU-U.S. DPF to receive personal data transfers from the United Kingdom (and Gibraltar) before the date that the United Kingdom’s anticipated adequacy regulations implementing the data bridge for the UK Extension to the EU-U.S. DPF enter into force. Organizations that wish to participate in the UK Extension to the EU-U.S. DPF must also participate in the EU-U.S. DPF.
On July 17, 2023, the Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) Principles will enter into effect. Organizations that self-certified their commitment to comply with the Swiss-U.S. Privacy Shield Framework Principles must comply with the Swiss-U.S. DPF Principles, including by updating their privacy policies by October 17, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the Swiss-U.S. DPF; however, they may not begin relying on the Swiss-U.S. DPF to receive personal data transfers from Switzerland until the date of entry into force of the Swiss Federal Administration’s anticipated recognition of adequacy for the Swiss-U.S. DPF. The updating and renaming of the privacy principles under the Swiss-U.S. DPF would not change such an organization’s re-certification due date. Organizations that self-certified their commitment to comply with the Swiss-U.S. Privacy Shield Framework Principles, but do not wish to participate in the Swiss-U.S. DPF, must complete in accordance with ITA procedures the withdrawal process referred to in section (f) of the Supplemental Principle on Self-Certification.
On July 17, 2023, the ITA will launch the Data Privacy Framework (DPF) program website (www.dataprivacyframework.gov) to enable U.S.-based organizations to make initial self-certification submissions to participate in the EU-U.S. DPF and, as applicable, the UK Extension to the EU-U.S. DPF, and/or the Swiss-U.S. DPF and to enable participating organizations to make their annual re-certification submissions for the EU-U.S. DPF and, as applicable, the UK Extension to the EU-U.S. DPF, and/or the Swiss-U.S. DPF. The DPF program website will also provide a variety of guidance materials and related resources, including the text of the DPF Principles and the accompanying letters from the ITA regarding its administration and supervision of the DPF program. In addition, the ITA will continue to provide timely updates on the status of the UK Extension to the EU-U.S. DPF as a basis for transfers of UK personal data to the United States, as well as the status of the Swiss-U.S. DPF as a basis for transfers of Swiss personal data to the United States.
Please also be aware that the Privacy Shield program website (www.privacyshield.gov) is scheduled to be taken offline on July 14, 2023 at 9:00 pm EST to prepare for the launch of the DPF program website. The DPF program website is scheduled to be brought online by July 17, 2023 at 5:00 am EST. Individuals with active accounts that were used with regard to the Privacy Shield program website will be able to use their existing login credentials for those accounts on the DPF program website. In addition, effective July 17, 2023, e-mail messages to the ITA’s DPF Team should be sent to dpf.program@trade.gov (i.e., the privacyshield@trade.gov e-mail address will no longer be used).
Vielen Dank, für diese für die weitere Zeitleiste sehr hilfreiche Info.
Ich interpretiere diese DoC- Veröffentlichung derzeit so: Ein ordnungsgemäß nach dem Privacy Shield zertifiziertes US- Unternehmen muss zumindest seine geposteten Datenschutzhinweise ab dem 17. Juli bis zum 10. Oktober 2023 aktualisieren, aber es muss keine gesonderte Selbstzertifizierung vornehmen, um sich sofort auf die Angemessenheitsentscheidung des DPF stützen zu können. Ob noch mehr zu tun ist (z.b. zum Thema Dispute Resolution), werden die neuen DOC Regeln zum DPF nächste Woche zeigen.
ABER: Die Unternehmen sollten die jüngsten Durchsetzungsmaßnahmen der Federal Trade Commission (FTC) in den USA mit der Zusage der FTC, die DPF ernsthaft durchzusetzen (siehe Erw. 63 des Angemessenheitsbeschlusses) und die diesbezüglichen Aufforderung der EU Kommission sehr ernst nehmen, selbst wenn sie nach dem Privacy Shield seit Jahren problemlos zertifiziert sind: Praktisch heißt das: sie müssen die Einhaltung der Grundsätze des DPF sorgfältig überprüfen. Eine bloße kosmetische Änderung der schon geposteten Datenschutzhinweise (Ersetzen der Worte "Privacy Shield" durch "DPF") reicht da nicht. Umfangreichere Änderungen können z.B. bei den Passagen zur Datenminimierung, Zweckbindung, Verhältnismäßigkeit erforderlich werden, denn die FTC (im Zusammenarbeit mit dem DoC) wird wahrscheinlich proaktiver als bisher einschreiten, wenn sie die Erklärung als irreführend, unvollständig oder unfair einstuft.
Die neue Webseite zum Data Privacy Framework des Department of Commerce (ITA) ist jetzt online:
https://www.dataprivacyframework.gov/s/program-overview
Von besonderer Relevanz für europäische Datenexporteure sind die detaillierten neuen FAQs, die – wie ich höre- weiter ergänzt werden:
FAQs – General
FAQs – Privacy Policy
FAQs – EU-U.S. Data Privacy Framework (EU-U.S. DPF)
FAQs – UK Extension to the EU-U.S. Data Privacy Framework (UK Extension to the EU-U.S. DPF)
FAQs – Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF)
Zum Beispiel heißt es zum Notice Prinzip, dass der Datenimporteur die Betroffenen zumindest über folgendes informieren muss.
„i. seine Teilnahme am EU-U.S. DPF und, falls zutreffend, an der UK Erweiterung zum EU-U.S. DPF, und/oder am Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) und Angabe eines Links oder der Webadresse für die Data Privacy Framework List,
ii. die Kategorien der erhobenen personenbezogenen Daten und die US-Gesellschaften und ggf. US-Tochtergesellschaften der Organisation, die sich ebenfalls an die DPF-Grundsätze halten,
iii. ihre Verpflichtung, alle personenbezogenen Daten, die sie aus der EU und gegebenenfalls aus dem UK (und Gibraltar) und/oder der Schweiz unter Berufung auf den/die relevanten Teil(e) des DPR-Programms erhält, den DPR-Grundsätzen zu unterwerfen
iv. die Zwecke, für die sie personenbezogene Daten über sie sammelt und verwendet,
v. wie man sich mit Anfragen oder Beschwerden an die Organisation wenden kann, einschließlich aller relevanten Niederlassungen in der Europäischen Union und gegebenenfalls im Vereinigten Königreich und/oder in der Schweiz, die auf solche Anfragen oder Beschwerden reagieren können,
vi. die Art oder Identität der Dritten, an die sie personenbezogene Daten weitergibt, und die Zwecke, für die sie dies tut,
vii. das Recht des Einzelnen auf Zugang zu seinen personenbezogenen Daten,
viii. die Möglichkeiten und Mittel, die die Organisation Einzelpersonen bietet, um die Verwendung und Weitergabe ihrer personenbezogenen Daten einzuschränken,
ix. die unabhängige Stelle zur Beilegung von Streitigkeiten, die für die Bearbeitung von Beschwerden und die Bereitstellung angemessener, für die betroffene Person kostenloser Rechtsbehelfe zuständig ist, und ob es sich dabei um (1) das von den Datenschutzbehörden der EU und gegebenenfalls dem britischen Information Commissioner's Office (ICO) (und der Regulierungsbehörde von Gibraltar (GRA)) und/oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingerichtete Gremium, (2) einen alternativen Streitbeilegungsanbieter mit Sitz in der Europäischen Union und gegebenenfalls dem UK und/oder der Schweiz oder (3) einen alternativen Streitbeilegungsanbieter mit Sitz in den USA handelt,
x. die Unterwerfung unter die Ermittlungs- und Durchsetzungsbefugnisse der Federal Trade Commission (FTC), des U.S.- Department of Transport oder anderer in den USA zugelassener gesetzlicher Organe,
xi. die Möglichkeit für den Einzelnen, unter bestimmten Bedingungen ein verbindliches Schiedsverfahren in Anspruch zu nehmen,
xii. das Erfordernis, personenbezogene Daten auf rechtmäßige Anfragen von Behörden hin offenzulegen, auch um Anforderungen der nationalen Sicherheit oder der Strafverfolgung zu erfüllen, und
xiii. seine Haftung im Falle der Weitergabe an Dritte.
Zu den verschiedenen Voraussetzungen des DPF, die der Datenimporteur in der Privacy Policy erklären muss, gibt es z.T. in den FAQ detaillierte neue Formulierungshilfen.
FAZIT: wie schon gesagt, bloße kosmetische Änderungen der bestehenden unter dem Privacy Shield geposteten Privacy Policy der Datenimporteure reichen vermutlich nicht aus. Die betroffenen Datenexporteure in Europa werden sich überlegen müssen, wie sie auf den DPF in ihren Datenschutzerklärungen verweisen und welche Compliance Massnahmen hinsichtlich des konkreten Datenimporteurs erforderlich sind.
Mehr Details zum Privacy Shield findet man in den Buchkapiteln hier: https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fforgohelfric... und https://beck-online.beck.de/?vpath=bibdata%2Fkomm%2FBusscheVoigtHdbKonzD...
Danke für die Information zu dieser Webseite. Hier werden umfassende Informationen gegeben für
Zu der wesentlichen Anforderungen Rechtsbehelfsmechanismus gibt es umfangreiche Informationen für die Betroffenen. Unter anderem wird (sinngemäß übersetzt) ausgeführt:
Europäische Bürger, die sich in einem qualifizierten Staat gemäß Executive Order 14086 aufhalten (z.B. EU/EWR-Staaten), können sich an einen neuen mehrstufigen Rechtsbehelfsmechanismus wenden.
Auf der ersten Stufe wird der Beauftragte für den Schutz der Bürgerrechte ("Civil Liberties Protection Officer", CLPO) im Büro des Direktors des Nationalen Nachrichtendienstes (Director of National Intelligence) eine erste Untersuchung qualifizierter Beschwerden durchführen, um festzustellen, ob ein Verstoß gegen die erweiterten Sicherheitsvorkehrungen der Executive Order oder gegen andere geltende Gesetze vorliegt, und um gegebenenfalls geeignete Abhilfemaßnahmen zu bestimmen, die von den Nachrichtendiensten zu ergreifen sind.
Als zweite Kontrollebene wird ein unabhängiger und unparteiischer Datenschutzbeauftragter die Entscheidungen der CLPO überprüfen und verbindliche Entscheidungen darüber treffen, ob ein Verstoß vorliegt, und gegebenenfalls die Nachrichtendienste anweisen, Abhilfemaßnahmen zu ergreifen. Die Richter der Datenschutzbehörde werden von außerhalb der US-Regierung ausgewählt, verfügen über einschlägige Qualifikationen, genießen Immunität, um ihre Unabhängigkeit zu gewährleisten, und prüfen die Fälle frei von jeglicher Einflussnahme.
Der EuGH hat in Schrems II folgendes ausgeführt (RZ. 65):
Was den gerichtlichen Rechtsschutz anbelange, verfügten Unionsbürger nicht über dieselben Rechtsbehelfe wie amerikanische Staatsbürger, um sich gegen die Verarbeitung personenbezogener Daten durch amerikanische Behörden zu wehren, da der Vierte Zusatzartikel zur Constitution of the United States (Verfassung der Vereinigten Staaten), der im amerikanischen Recht den wichtigsten Schutz vor illegaler Überwachung darstelle, nicht für Unionsbürger gelte. Den übrigen Rechtsbehelfen, über die sie verfügten, stünden erhebliche Hindernisse entgegen, insbesondere die übermäßig schwer zu erfüllende Obliegenheit, ihre Klagebefugnis nachzuweisen. Zudem unterlägen die auf die E.O. 12333 gestützten Tätigkeiten der NSA keiner gerichtlichen Überwachung und könnten nicht Gegenstand eines gerichtlichen Rechtsbehelfs sein. Schließlich sei, da die Ombudsperson des Datenschutzschilds kein Gericht im Sinne von Art. 47 der Charta sei, davon auszugehen, dass das amerikanische Recht den Unionsbürgern kein Schutzniveau gewährleiste, das dem Niveau, das durch das in diesem Artikel niedergelegte Grundrecht garantiert werde, der Sache nach gleichwertig sei.
Rz. 194:
(...) nach den Anforderungen, die sich aus Art. 47 der Charta und der in Rn. 187 des vorliegenden Urteils wiedergegebenen Rechtsprechung ergeben, von dem Grundsatz ausgehen, dass Einzelne über die Möglichkeit verfügen müssen, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken.
Was meinen Sie, erfüllt das EU US DPF die Anforderungen aus Schrems II?
Die Rolle der neuen DPF-Richter als Administrative Judges wird die europäischen Gerichte und nach Vorlage den EuGH 2024/2025 als Thema beschäftigen, aber es fällt schon ins Auge, dass der Ombudsmann nach dem Privacy Shield in fünf Jahren meiner Kenntnis nach kein einziges Verfahren zu betreuen hatte. Weisungsunabhängige Administrative Judges gibt es in den USA in einigen Rechtsbereichen.
Ich lese jetzt schon mehrfach, die automatische Überführung gestern von rd. 2600 US-Unternehmen durch das US-Handelsministerium vom Privacy Shield in das DPF zeige, dass es „keine wesentlichen Änderungen“ bei EU-US Datentransfer gegeben habe:
Diese Behauptung (“neuer Wein in alten Schläuchen") ist ein Trugschluss: Vgl. FAQ 2 (übersetzt) :
“Es ist wichtig, darauf hinzuweisen, dass sich die Entscheidung des EuGH in der Rechtssache Schrems II ausschließlich auf den staatlichen Zugriff auf Daten bezog. Der EuGH hat nicht den Schutz in Frage gestellt, den der EU-US-Privacy Shield den EU-Bürgern im kommerziellen Bereich bietet. Die Verpflichtungen der USA im Rahmen des EU-US-DSGVO in Bezug auf die Signalaufklärung sind in der Executive Order und den Verordnungen zur neuen DPRC enthalten.”
Durch Executive Order 14086 und diversen Entwicklungen in den letzten Jahren hat sich einiges geändert. Ob diese Änderungen dem EuGH im Endergebnis ausreichen, wird sich weisen
Das Ergebnis, dass die besagte Executive Order 14086 ALLE Datenflüsse aus der EU nach den USA erfasst, hat jetzt auch der Europäische Datenschutzausschuss (EDSA) bestätigt:
In einer engl. Erklärung vom 18.07.23 mit dem Titel "Informationsvermerk über Datenübermittlungen nach der Datenschutz-Grundverordnung in die USA nach der Annahme des Angemessenheitsbeschlusses am 10. Juli 2023" unterstreicht der Europäische Datenschutzausschuss (EDPB) ebenfalls, "dass alle Garantien, die von der US-Regierung im Bereich der nationalen Sicherheit eingeführt wurden (einschließlich des Rechtsbehelfsmechanismus), für alle in die USA übermittelten Daten gelten, unabhängig von dem verwendeten Übermittlungsinstrument. Daher sollten Datenexporteure bei der Bewertung der Wirksamkeit des gewählten Übermittlungsinstruments nach Art. 46 DSGVO die von der Kommission im Angemessenheitsbeschluss vorgenommene Bewertung berücksichtigen."
Quelle: https://edpb.europa.eu/our-work-tools/our-documents/other/information-no...
https://www.morganlewis.com/pubs/2023/07/how-to-comply-with-the-new-eu-u...