Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Stefan Brink, hat sich in einer aktuellen Pressemitteilung kritisch zu der von US-Präsident Joe Biden erlassenen Anordnung zum Datentransfer geäußert.
Der Landesbeauftragte ist nicht die baden-württembergische Datenschutzbehörde, und seine Positionen spiegeln nicht unbedingt die der Behörde wider. Er ist jedoch die erste Datenschutzinstitution in Europa, die sich zu der Durchführungsverordnung geäußert hat, und seine Kritik ist es wert, berücksichtigt zu werden. Aber zunächst einmal brauchen wir etwas Kontext.
(Update: Offenbar ist auch das EU-Parlament nicht sonderlich angetan von der Executive Order. Im Mai 2023 stimmte die Institution in einer nicht bindenden Entschließung gegen den neuen Datentransferrahmen )
- Die Nachwehen von Schrems II
- Die neue Durchführungsverordnung
- Die Pressemitteilung des DSB
- Abschließende Überlegungen
Lass es uns herausfinden!
Die Nachwehen von Schrems II
Wir haben hier bereits ausführlich über die Datenübermittlung geschrieben, daher hier die Geschichte in Kurzform. Im Jahr 2020 erließ der EU-Gerichtshof sein bahnbrechendes Urteil Schrems II. Dieses Urteil machte die Datenübermittlung in die USA für EWR-Unternehmen aus mehreren Gründen schwierig.
Vor dem Urteil konnten personenbezogene Daten auf der Grundlage eines Datentransferrahmens namens Privacy Shield in die USA übermittelt werden. Der Gerichtshof hat diesen Rahmen in Schrems II für ungültig erklärt, so dass die Unternehmen gezwungen sind, für die rechtmäßige Ausfuhr ihrer Daten auf andere Instrumente zurückzugreifen.
Die meisten Unternehmen müssen sich auf Standardvertragsklauseln (SCC) stützen. Bei den Standardvertragsklauseln handelt es sich um eine Reihe von rechtsverbindlichen Klauseln, die von der Europäischen Kommission ausgearbeitet wurden und die in einen rechtsverbindlichen Vertrag mit dem Datenempfänger aufgenommen werden müssen. Die SCC sind jedoch für den Empfängerstaat nicht bindend. Dies ist problematisch: Die Überwachung durch die USA steht im Mittelpunkt des Falles Schrems, und die SCCs können den Zugriff der NSA auf europäische Daten nicht verhindern.
Das Urteil in der Rechtssache Schrems II befasste sich ebenfalls mit SCCs und untersuchte deren Gültigkeit als Mechanismus für die Datenübermittlung. Der Gerichtshof entschied, dass SCCs ein gültiger Mechanismus für Datenübermittlungen sind, selbst wenn es sich um "unsichere" Staaten handelt, unter der Voraussetzung, dass der für die Datenverarbeitung Verantwortliche wirksame zusätzliche Garantien zum Schutz der Daten einführt. In der Praxis ist dies schwer zu bewerkstelligen und bei bestimmten Arten von Übermittlungen völlig unmöglich. Daher hat der Gerichtshof die SCC im Wesentlichen "verschont", sie aber viel schwieriger gemacht.
Nach Schrems II haben die europäischen Datenschutzbehörden begonnen, härter gegen Datenübermittlungen vorzugehen. Fünf Datenschutzbehörden haben Google Analytics praktisch verboten (wir haben ausführlich darüber berichtet), und die irische Datenschutzbehörde kündigte den Entwurf eines Beschlusses an, die Datenübermittlung für Meta Platforms Ireland einzustellen. Diese Datenschutzbehörden verfolgen einen koordinierten Ansatz1, so dass die reale Möglichkeit besteht, dass andere ihrem Beispiel folgen und andere US-Dienstleister unter Beschuss geraten werden. Dies schafft ein Klima der Rechtsunsicherheit in Bezug auf US-Datenübermittlungen.
(Aktualisierung: Am 20. Mai 2022 verhängte die irische Behörde gegen Meta Ireland eine Geldstrafe in Rekordhöhe von 1,2 Milliarden und ordnete an, die US-Datenübermittlung für Facebook auszusetzen. Wir haben diese wichtige Entscheidung eingehend erörtert)
Die neue Durchführungsverordnung
Joe Bidens jüngste Durchführungsverordnung ist ein erster Schritt zu einem neuen Rahmenwerk, dem Trans-Atlantic Data Privacy Framework. Mit der Anordnung werden einige wesentliche Regeln zur Begrenzung des Umfangs der Überwachung eingeführt und ein kompliziertes System für die Bereitstellung von Rechtsbehelfen für Menschen in der EU2 geschaffen.
In den kommenden Monaten wird mit ziemlicher Sicherheit ein Angemessenheitsbeschluss der Europäischen Kommission folgen, mit dem die USA als "sicheres" Land für Datenübermittlungen anerkannt werden. Dies wird es europäischen Unternehmen ermöglichen, personenbezogene Daten zu übermitteln, ohne dass sie SCCs und zusätzliche Sicherheitsvorkehrungen einführen müssen.
Unternehmen auf beiden Seiten des Ozeans hoffen, dass der neue Rahmen Rechtssicherheit schafft und problemlose Datenübermittlungen ermöglicht. Die künftige Angemessenheitsentscheidung wird jedoch sicherlich vom Europäischen Gerichtshof überprüft werden. Die nichtstaatliche Datenschutzorganisation noyb kritisierte den neuen Rahmen und wird ihn wahrscheinlich vor dem Gerichtshof anfechten.
Die Pressemitteilung des DSB
In den kommenden Monaten wird der EDPB eine Stellungnahme zu dieser Angelegenheit als Teil des Entscheidungsverfahrens für die Angemessenheitsentscheidung abgeben. Die Stellungnahme des Ausschusses ist zwar nicht bindend, wird uns aber einen besseren Einblick in die Kernfragen von Schrems III geben.
In der Zwischenzeit hat der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit einige Bedenken gegen die neue Durchführungsverordnung geäußert. Interessanterweise wurden einige der vom Landesbeauftragten aufgeworfenen Fragen auch von noyb in einer kürzlich veröffentlichten Pressemitteilung hervorgehoben (dieselbe, die wir oben verlinkt haben):
- Personen, die eine Beschwerde einreichen, erhalten nur sehr wenige Informationen über die Entscheidung. Dies kann dazu führen, dass Entscheidungen in der Praxis nur schwer angefochten werden können.
- Das Datenschutzprüfungsgericht (das bei jeder Überwachungsbeschwerde das letzte Wort hat) ist ein Zweig der Exekutive und nicht Teil des US-Justizsystems. Es ist unklar, ob der EuGH dieses Gericht als unabhängig ansehen wird.
- Die Tatsache, dass in der Durchführungsverordnung von Verhältnismäßigkeit die Rede ist3, bedeutet nicht, dass das US-Überwachungssystem tatsächlich verhältnismäßig ist, da der Begriff der Verhältnismäßigkeit vom Datenschutzprüfungsgericht und vom EU-Gerichtshof unterschiedlich ausgelegt werden kann.
Der Kommissar äußerte auch andere Bedenken. So können Durchführungsanordnungen vom Präsidenten nach Belieben widerrufen werden, was sie für den Schutz der Rechte des Einzelnen ungeeignet macht. Und es ist noch unklar, wie die Durchführungsverordnung mit den bestehenden Überwachungsvorschriften zusammenwirken wird.
Abschließende Überlegungen
Die Durchführungsverordnung ist sehr komplex, und es wird eine Weile dauern, bis die Datenschutzgemeinschaft alles ausgepackt hat. Es ist schwer zu sagen, wie ein "Schrems III"-Fall ausgehen wird, aber es ist bereits klar, dass der neue Rahmen unter mehreren Aspekten potenziell problematisch ist. Insgesamt ist die Zukunft der US-Datenübermittlung noch unklar.
Wir, Simple Analytics, werden Sie in unserem Datenschutz-Newsletter über das Thema auf dem Laufenden halten. Wenn Sie auf der sicheren Seite sein wollen, gibt es datenschutzfreundliche und GDPR-konforme Alternativen zu Google Analytics. Wir sind eine davon. Schauen Sie sich ruhig an, was wir hier aufbauen. Im Gegensatz zu Google glauben wir an die Schaffung eines unabhängigen, besucherfreundlichen Webs. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Die Entscheidungen gegen Google Analytics stehen im Zusammenhang mit 101 Beschwerden, die von der Nichtregierungsorganisation noyb wegen Datenübertragungen eingereicht wurden. Der EDPB hat eine Task Force eingerichtet, um das Vorgehen der Datenschutzbehörden auf europäischer Ebene zu koordinieren [^2]: Das System wird für alle EU-Bürger zugänglich sein, da sie unabhängig von ihrer Staatsangehörigkeit die Datenschutzrechte gemäß der Datenschutz-Grundverordnung genießen [^3]: Die Verhältnismäßigkeit ist ein spezifischer Begriff des EU-Rechts und spielte in der Entscheidung Schrems II eine wichtige Rolle. In diesem Zusammenhang und als Faustregel kann man eine Maßnahme (wie z. B. staatliche Überwachung) als verhältnismäßig betrachten, wenn sie für einen rechtmäßigen Zweck erforderlich und nicht übermäßig ist. Siehe Art. 52(1) der Charta der Grundrechte der Europäischen Union.