Schlagwort: USA Datenschutz
17. Februar 2023
Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.
Rechtsverletzungen und zu große Unsicherheit
In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.
Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.
Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.
Fazit und Ausblick
Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.
Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.
11. Juli 2018
Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine “Premium EU Ad-Free Subscription” ohne Werbung und Third-Party-Cookies für Europäer an.
Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.
Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.
Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.
17. Oktober 2017
Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz “Stored Communications Act” nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.
Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.
Einen Termin für die mündliche Anhörung des Falls, der offiziell “In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation” heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.
6. Juni 2016
Am 02.06.2016 haben Vertreter der EU und der USA ein lange verhandeltes Rahmenabkommen unterzeichnet, welches datenschutzrechtliche Regelungen bei der transatlantischen Zusammenarbeit in Strafsachen enthält („Umbrella Agreement“).
Gegenstand des Abkommens ist der gesamte Datenaustausch zwischen sämtlichen Justiz- und Strafverfolgungsbehörden der USA und aller EU-Mitgliedsstaaten zum Zwecke der Gefahrenabwehr, Ermittlung und Strafverfolgung. Gleichzeitig stärkt das Rahmenabkommen die Rechte von EU-Bürgern, indem diese – hinsichtlich der Möglichkeit gegen US-Behörden gerichtlich vorzugehen – US-Bürgern gleichgestellt werden. Weiterhin enthält das Abkommen Regelungen, die Aufbewahrungsfristen für die Datenspeicherung vorsehen. Darüber hinaus soll die Datennutzung lediglich auf die genannten Zwecke limitiert werden.
EU-Vertreter erhoffen sich von dem Rahmenabkommen nicht nur ein besseres Schutzniveau personenbezogener Daten für EU-Bürger. Auch die justizielle Zusammenarbeit, insbesondere die Bekämpfung des internationalen Terrorismus, soll durch das Abkommen verbessert werden.
In einem nächsten Schritt wird nun das Abkommen dem Europäischen Parlament zur Abstimmung vorgelegt.
