Nachdem die EU-Kommission einen Entwurf zu einem Angemessenheitsbeschluss zum Datentransfer in die USA, auch „EU-US Data Privacy Framework“ (DPF) genannt, veröffentlicht hatte (wir berichteten), hat nun der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme veröffentlicht (Opinion 05/2023).
Der EuGH mit Schrems I und Schrems II als Steine des Anstoßes
Zunächst stellt der EDSA klar, dass der EuGH in der Rechtssache Schrems I (C-362/14) festgestellt hat, dass das Schutzniveau in dem Drittland zwar dem in der EU garantierten Schutzniveau „der Sache nach gleichwertig“ sein müsse, aber das Drittland andere Mittel als die EU verwenden könne, um ein solches Schutzniveau zu erreichen. Einfach ausgedrückt: Das Drittland muss nicht die DSGVO übernehmen, sondern die Grundsätze müssen sich in deren Rechtsvorschriften wiederfinden.
Im Urteil zu Schrems II (C-311/18) hatte der EuGH festgestellt, dass Grundrechte der EU-Bürger, die in der Charta der Grundrechte der EU niedergelegt sind, durch Gesetze der USA im Hinblick auf die Geheimdienste unverhältnismäßig eingeschränkt wurden. Auch fehle ein wirksamer Rechtsbehelf für EU-Bürger, wie ihn Art. 47 der EU-Charta (GRCh) fordert.
Der EDSA erwartete nun, dass die Mängel des Privacy Shields, wie sie der EuGH festgestellt hatte, mit dem DPF behoben werden.
Um es vorauszuschicken: Der EDSA lehnt den Entwurf der EU-Kommission nicht ab, sondern begrüßt ausdrücklich Verbesserungen im Vergleich zum Privacy Shield. Dennoch kommt der Ausschuss nicht umhin, Kritik an einigen Stellen zu üben.
Rechte der betroffenen Personen eingeschränkt
Der EDSA bemängelt, dass insbesondere das Auskunftsrecht der betroffenen Personen gegenüber US-Unternehmen zu stark eingeschränkt wird. So bestehe nach dem Entwurf kein Recht auf Auskunft, wenn es öffentlich zugängliche Informationen gebe. Der EDSA betont, dass ein Auskunftsrecht immer bestehe, unabhängig von der Veröffentlichung. Außerdem solle das Auskunftsrecht bei jeder Art der Datenverarbeitung bestehen, nicht nur bei der Speicherung wie im DPF vorgesehen.
Außerdem verlangt der EDSA ein allgemeines Widerspruchsrecht aus zwingenden, schutzwürdigen Gründen, die sich auf die besondere Situation der betroffenen Person beziehen. Dieses Recht sollte nicht auf Verwendung der Daten für Direktmarketing beschränkt sein. Des Weiteren sieht der EDSA die Weiterverarbeitung der Daten zu anderen, nicht geschäftsbezogenen Zwecken kritisch, auch wenn es den Grundsatz der Benachrichtigung und der Wahlmöglichkeit der Datenverarbeitung (in Form eines Opt-outs) begrüßt.
Datenweitergabe an Drittländer als Umgehungsmöglichkeit?
Große Sorge hat der EDSA, dass bei einer Weitergabe der Daten von US-Unternehmen an Drittländer das EU-Datenschutzniveau untergraben wird. Daher drängt der Ausschuss darauf, dass die den US-Unternehmen auferlegten datenschutzrechtlichen Pflichten auch für die Empfänger in Drittländern gelten müssen, da sonst eine Absenkung des Datenschutzniveaus drohe. Damit soll eine Umgehung des DPF vermieden werden.
Transparenz beim Profiling und bei der automatisierten Entscheidungsfindung notwendig
Bei den Themen automatisierte Entscheidungsfindung und Profiling wünscht sich der EDSA konkrete Regeln, die sicherstellen sollen, dass betroffene Personen die jeweilige Logik, die den Prozessen zugrunde liegt, verstehen, um gegen die Verarbeitung vorgehen und ggf. auch eine menschliche Aufsicht über diese speziellen Datenverarbeitungsvorgänge verlangen zu können. Am aktuellen Beispiel der Schufa wissen wir bereits hierzulande, dass dies kein einfaches Thema ist.
Vorsichtig optimistisch bei der Verwendung personenbezogener Daten durch US-Behörden
Soweit es um den Zugang und die Verwendung von personenbezogenen Daten durch US-Behörden geht, ist zwischen der Strafverfolgung und der nationalen Sicherheit zu unterscheiden.
Bei der Datenverarbeitung zur Strafverfolgung hat der EDSA keine großen Einwände. Er will lediglich geklärt haben, welche rechtlichen Möglichkeiten EU-Bürger haben, Rechtsmittel gegen die Datenverarbeitung einzulegen und inwieweit sie die Möglichkeit des Datenzugriffs und der Löschung bzw. Korrektur ihrer Daten haben. Insgesamt sieht der EDSA das System der Ermittlungsmaßnahmen der Strafverfolgungsbehörden in den USA an den Erfordernissen der Notwendigkeit und Verhältnismäßigkeit (necessity and proportionality) in Bezug auf die Achtung des Privatlebens und des Datenschutzes ausgerichtet.
Wenn es um die Datenverarbeitung zu nachrichtendienstlichen Zwecken geht, hebt der EDSA hervor, dass die Executive Order (EO) 14086 eine erhebliche Verbesserung zur EO 12333 sei. Der EDSA möchte aber, dass die Annahme des Angemessenheitsbeschlusses davon abhängig gemacht wird, dass die in der EO formulierten Verpflichtungen der Nachrichtendienste auch tatsächlich umgesetzt worden sind.
Der EDSA begrüßt, dass die Grundsätze der „Notwendigkeit und Verhältnismäßigkeit“ Eingang in das DPF gefunden haben, fordert die Kommission aber auf, die Umsetzung in der Praxis zu bewerten und zu überwachen, was durch die Nachrichtendienste geschehen soll.
Ebenso begrüßt der EDSA, dass die gezielte Sammlung von Daten Vorrang vor der Massenerhebung haben soll (Notwendigkeit und Verhältnismäßigkeit) und weist dabei noch darauf hin, dass der EuGH in der Rechtssache Schrems II eine Massenerhebung auch nicht grundsätzlich ausgeschlossen hat.
Besorgt ist der EDSA allerdings darüber, dass es keine eindeutige Zweckbindung bei der Erhebung und Verarbeitung der gewonnenen Daten gibt. So könnten Daten, die durch Nachrichtendienste im Rahmen einer Massenerhebung gewonnen wurden, an andere US-Behörden zur strafrechtlichen Ermittlung weitergeleitet werden. Hier sieht der EDSA die Kommission in der Pflicht, diesen Umstand noch einmal zu bewerten.
„Datenschutzbeauftragter“ der USA hat Überwachungsfunktion
Das Privacy and Civil Liberties Oversight Board (PCLOB), ein unabhängiges Aufsichtsgremium, das befugt ist, die Strategien der Exekutive und ihre Umsetzung im Hinblick auf den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu überprüfen, hat nunmehr eine wichtige Rolle bei der Umsetzung der EO und ist ein wichtiger Baustein für das DPF.
Ausdrücklich begrüßt der EDSB, dass dem PCLOB eine umfassende Aufsicht über die Umsetzung der EO übertragen wurde und hebt die Unabhängigkeit und seine Aufsicht über die Nachrichtendienste hervor, die insbesondere darin zum Tragen kommt, dass die Nachrichtendienste Empfehlungen des PCLOB befolgen und übernehmen müssen.
Data Protection Review Court ist ausreichend unabhängig
Die EO 14086 sieht einen zweistufigen Rechtsbehelfsmechanismus vor. In der zweiten Stufe kann ein Datenschutzverstoß durch den Data Protection Review Court (DPRC) überprüft werden. Allerdings könnten Zweifel an der Unabhängigkeit aufkommen, da die Exekutive den DPRC einberuft.
Im Grundsatz sieht der EDSA den DPRC nicht als „per se unzureichend“ an, obwohl es innerhalb der Exekutive und nicht als unabhängiges Gericht eingerichtet ist. Er verweist dazu auf den EuGH, der in der Sache Schrems II vertrat, dass ein wirksamer gerichtlicher Schutz gegen derartige Eingriffe nicht nur durch ein Gericht, sondern auch durch eine Einrichtung gewährleistet werden kann, die Garantien bietet, die den in Art. 47 der GRCh geforderten im Wesentlichen entsprechen. Der EDSA fordert daher die Kommission auf, fortlaufend zu überwachen, ob die Unabhängigkeit des DPRC vollständig eingehalten wird.
EDSA will nicht im Weg stehen
Die Stellungnahme weist an vielen Stellen auf Verbesserungsmöglichkeiten des DPF und auf Mängel der EO 14086 hin, hebt gleichzeitig aber auch die Verbesserungen zur Vorgängerregelung hervor. Es wird deutlich, dass der EDSA den Prozess durchaus positiv begleiten will.
Der Entwurf wird nun dem zuständigen Ministerrat vorgelegt. Soweit keine großen Änderungswünsche vom Ministerrat formuliert werden, ist Mitte 2023 mit der endgültigen Angemessenheitsentscheidung der Kommission zu rechnen.
Die Anzeichen verdichten sich daher, dass nach einer jahrelangen Hängepartie nun wieder für Unternehmen und Bürger in der EU ein Stück Rechtssicherheit gewonnen wird.
11. April 2023 @ 11:24
Das politisch-moralische Dilemma ist für die EU offensichtlich. Einerseits hat sie mit der DSGVO einen Standard gesetzt, der sich überhaupt nicht mit den US-Regelungen zum Geheimdienstzugriff in Deckung bringen lässt. Anderseits muss eine „Wertegemeinschaft“ mit den USA gefeiert werden. Aus geostrategischen Interessen wegen des Wettbewerbs mit vor allem
China und wegen der technologischen Abhängigkeit der EU von den USA. Das führt zu diesen für niemanden nachvollziehbaren „PrivacyShields“, die sich am Ende immer als rechtswidrig erweisen. Jedenfalls solange die Judikative in der EU ihren Job macht. Eigentlich leidtragender dieses Irrsinns sind die Anwender in der EU, die keine Rechtssicherheit erlangen. Peinlich.
12. April 2023 @ 13:17
Deshalb wäre die EU auch gut beraten, sich endlich dem Datenschutzniveau der USA anzunähern. Dannkönnte endlich ein gemeinsamer Werte- und Datenraum für die westlichen Demokratien geschaffen werden. Der reflexhafte Antiamerikanismus, den die Europäer im Datenschutz mit der DSGVO geradezu institutionalisiert haben und den Sie mit ihrem Kommentar das Wort reden, muss endlich aufhören. Oder um es einfacher auszudrücken: der Feind ist nicht Facebook, sondern TikTok. Wir Europäer können den technologischen Rückstand sowieso nicht mehr aufholen. Wenn schon abhängig, dann doch lieber von unseren amerikanischen Freunden, als von autokratischen Mächten wie China. Beim Gas haben haben wir es doch auch geschafft uns erfolgreich aus der Abhängigkeit der Russen zu befreien. Ist zwar teuer, aber so ist das nunmal mit der Freiheit. Die gibts nicht billig oder mit übertriebenem europäischen „Datengeiz“.
13. April 2023 @ 11:04
„… dem Datenschutzniveau der USA anzunähern.“ — NEIN!
Dieselbe haltlose Argumentation hatten wir schon bei TTIP.
Nein, wir wollen unsere Errungenschaften nicht aufgeben und uns auf das unterirdisch niedrige Niveau der USA begeben, nur damit wir Reibereien vermeiden. Wir wollen unsere Standards für Umwelt- und Verbraucherschutz nicht für eine Pseudo-Harmonie aufgeben. Wir wollen keine in Chlor gebadeten Brathähnchen, und wir wollen unseren mühsam erkämpften Datenschutz (wenig genug) nicht opfern.
6. April 2023 @ 11:35
„… ein Stück Rechtssicherheit gewonnen wird.“ — ?
Korrekte Formulierung: „… ein neues vorübergehendes Feigenblatt gebastelt wird.“
Und täglich grüßt das Privacy Shield, oder wie immer das Tier gerade genannt wir. Es wird so ablaufen wie immer:
Die EU lässt sich über den Tisch ziehen und akzeptiert Vorgaben aus USA als ausreichend (was sie nicht sind und niemals sein können: https://www.bundestag.de/resource/blob/796102/ea53ffe8e08a9ab11e270719263d8c53/WD-3-181-20-pdf-data.pdf). Max Schrems mit noyb wird klagen und mit dem Urteil Schrems III Recht bekommen. Die verantwortlichen Politiker und Funktionäre werden betreten zu Boden schauen. Währenddessen haben die amerikanischen Datensauger wieder mehrere Jahre gewonnen, in denen sie hierzulande ungehindert Daten abschöpfen konnten.