Schlagwort: Transatlantische Datenübermittlung

Europäisches Parlament: Resolution zum US-EU Framework

15. Mai 2023

Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.

Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.

Erhebliche Bedenken

Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.

Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.

Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.

Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.

Fazit

Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.

Rahmenbedingungen des EU-US Privacy Shields festgelegt

3. Februar 2016

Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen  nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.