EU-US Privacy Agreement
7. Oktober 2022 19:05 Uhr | Dr. Ulrich Kampffmeyer | Permalink
US-Präsident Joe Biden unterschrieb heute am Freitag eine Executive Order „On Enhancing Safeguards For United States Signals Intelligence Activities“, die den Umfang des Datenzugriffs durch US-Behörden auf persönliche und personenbezogene Daten aus der Europäischen Union einschränkt. Dies ist zwar keine vollständige Umsetzung eines Datenschutzgesetzes wie die GDPR der EU, waren jedoch Grundvoraussetzung für die Datenübermittlung zwischen EU und USA nach dem ablehnenden Gerichtsentscheid des EUGH „Schrems II“ zum „Privacy Shield“ im Jahr 2020.
So folgt das Dekret auch den Forderungen des Urteils, Daten europäischer Bürger besser zu schützen.
Im März diesen Jahres hatte es bereits eine grundsätzliche Einigung zwischen der EU und den USA gegeben. Details gibt es dazu im „Fact Sheet“ auf der Webseite des White House. Eine ausführlichere Beschreibung nebst FaQ befindet sich auf der EU-Webseite zum EU-U.S. Data Privacy Framework. Auf Basis des Dekrets wird nun die Europäische Kommission ihrerseits eine entsprechende Entschließung zur Datenübermittlung vorbereiten und die Übernahmeprozedur einleiten.
Nach dem sich bereits Kalifornien an den europäischen Datenschutzrichtlinien mit seiner Gesetzgebung (CPRA) orientiert hatte, ist nun auch die USA auf Ebene der Föderation auf dem Weg zu einem modernen Datenschutzrecht.
Die Meinungen gehen auseinander ...
Die Meinungen der Datenschutzbehörden gehen in Bezug auf den Vorstoß der Amerikaner mit der U Executive Order „On Enhancing Safeguards For United States Signals Intelligence Activities“ auseinander.
Pro
Der HmbBfDI Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Datenschutz in den USA – aktuelle Lage
https://datenschutz-hamburg.de/pages/executiveorder/
Kontra
Baden-Württemberg, das LfDI B-W, Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, spricht sich gegen die Regelung aus:
USA-EU: Datentransfer nach der Durchführungsverordnung des US Präsidenten
https://www.baden-wuerttemberg.datenschutz.de/usa-eu-datentransfer-durchfuehrungsverordnung-us-praesident/www.baden-wuerttemberg.d…
Aber zunächst einmal ist dies eine europäische Angelegenheit. Am 7.10.2022, dem Tag der Verabschiedung des neuen Vorschlags der USA, nahm die EU wie folgt Stellung: https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045.
„4. Why does the Commission think that the Court of Justice of the EU will not strike down the agreement again?
The objective of the Commission in these negotiations has been to address the concerns raised by the Court of Justice of the EU in the Schrems II judgment and provide a durable and reliable legal basis for transatlantic data flows. This is reflected in the safeguards included in the Executive Order, regarding both the substantive limitation on US national security authorities‘ access to data (necessity and proportionality) and the establishment of the new redress mechanism.“
Die EU führt in ihrer Mitteilung die nächsten Schritte auf. Es wird also noch eine Weile dauern.
Europäische Position zum Transatlantic Data Privacy Framework (TDPF)
Die Europäische Kommission hat eine Stellungnahme zur US Adequancy decision veröffentlicht: Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US (https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631). Darin sind auch die nächsten Schritte für das weitere Vorgehen beschrieben:
<Zitat> Today, the European Commission launched the process towards the adoption of an adequacy decision for the EU-U.S. Data Privacy Framework, which will foster safe trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020.Today’s draft decision follows the signature of a US Executive Order by President Biden on 7 October 2022, along with the regulations issued by the US Attorney General Merrick Garland. These two instruments implemented into US law the agreement in principle announced by President von der Leyen and President Biden in March 2022.The draft adequacy decision, which reflects the assessment by the Commission of the US legal framework and concludes that it provides comparable safeguards to those of the EU, has now been published and transmitted to the European Data Protection Board (EDPB) for its opinion. The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.Key elementsUS companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations, for instance, the requirement to delete personal data when it is no longer necessary for the purpose for which it was collected, and to ensure continuity of protection when personal data is shared with third parties. EU citizens will benefit from several redress avenues if their personal data is handled in violation of the Framework, including free of charge before independent dispute resolution mechanisms and an arbitration panel.In addition, the US legal framework provides for a number of limitations and safeguards regarding the access to data by US public authorities, in particular for criminal law enforcement and national security purposes. This includes the new rules introduced by the US Executive Order, which addressed the issues raised by the Court of Justice of the EU in the Schrems II judgment:
European companies will be able to rely on these safeguards for trans-Atlantic data transfers, also when using other transfer mechanisms, such as standard contractual clauses and binding corporate rules.Next stepsThe draft adequacy decision will now go through its adoption procedure. As a first step, the Commission submitted its draft decision to the European Data Protection Board (EDPB). Afterwards, the Commission will seek approval from a committee composed of representatives of the EU Member States. In addition, the European Parliament has a right of scrutiny over adequacy decisions. Once this procedure is completed, the Commission can proceed to adopting the final adequacy decision.The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, which will be carried out by the European Commission, together with European data protection authorities, and the competent US authorities. The first review will take place within one year after the entry into force of the adequacy decision, to verify whether all relevant elements of the US legal framework have been fully implemented and are functioning effectively in practice. </Zitat>
Weitere Quellen zum Thema:- Draft Adequancy Decision – Factsheet – Transatlantic Data Privacy Framework- Joint Statement on Trans-Atlantic Data Privacy Framework– Questions & Answers: Executive Order, EU-U.S. Data Privacy Framework – EU-US data transfers | European Commission– Data protection | European Commission
Kommentare
Auf Linkedin findet sich ein interessanter Post: „Nothing about #SchremsX: What should companies do while EU bodies discuss the draft US adequacy decision?“ https://www.linkedin.com/pulse/nothing-schremsx-what-should-companies-do-while-eu-bodies-odia-kagan/. Hier werden die Positionen des US-Vorschlags (US adequacy draft opinion https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf) im Lichte der SCHREMS III Entscheidung von Odia Kagan- nicht – diskutiert.Die Grundlage des US-Vorschlags entspricht den GDPR, in Deutschland die DSGVO. Beim Thema Transparenz geht es um die Ergänzung von Privacy-Erklärungen. Hier besteht Handlungsbedarf.Beim „Purpose“ herrscht weite Offenheit, die entsprechend durch die Unternehmen geprüft und umgesetzt werden muss. Sensitive Information, z.B. im Gesundheitsbereich, wird wie unter den GDPR behandelt. Beim Thema Verantwortung wird diese auf den Datenbereitsteller und die Plattform, auf der die Daten bereitgestellt werden, ausgedehnt. Hier müssen entsprechende Verträge abgeschlossen werden. Auch beim Thema Schutz von persönlichen Daten sind weitere Maßnahmen erforderlich.Die Rechte von Betroffenen, also Menschen, die Auskunft zu Ihren Daten und deren Nutzung verlangen können, sind durch das Verhältnis europäischer und US-basierter Dienstleister nicht einfach zu lösen. Dies gilt besonders auch für HR-Daten.Abschließende Regeln betroffen die Compliance, die Umsetzung und Strafmaßnahmen bei Nicht-Compliance.
Offenbar ist es noch ein weiter Weg, bis ein solcher Vertrag zum Datenaustausch und Datenschutz mit den USA abgeschlossen werden kann.
Die offizielle Position der EU
Der Entwurf der Stellungnahme der EU vom 13.12.2022 findet sich hier: Pressemitteilung Commission publishes draft adequacy decision for the EU-US (europa.eu); das Entwurfs-Dokument https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en.
Datenschutz: Microsoft rollt EU Data Boundary aus und aktuelle Entwicklungen zur EU-"ePrivacy"-Richtlinie
Zum 1.1.2023 rollt Microsoft seine „EU Data Boundary Cloud“ Services aus, die mit den europäischen Richtlinien, auch Deutschlands, zum Datenschutz konform gehen sollen. Da auch wir MS 365 & Teams intern nutzen kann sich dies als nützlich erweisen.
https://blogs.microsoft.com/eupolicy/2022/12/15/eu-data-boundary-cloud-rollout/
Die aktuellen Empfehlungen von 1&1 IONOS zur Umsetzung des Datenschutzes entsprechend GDPR dürften dann auch überholt sein: SKW Schwarz Rechtsanwälte & 1&1 IONOS Cloud SE https://ce1.uicdn.net/shopsfar/pdf/ionos-white-paper-eu-dsgvo-de.pdf. Die aktuellen Entwicklungen fasst IONOS (Hoster auch unserer Webseite) zusammen und geht auch auf die Kritik an der ePrivacy-Richtlinie ein: https://www.ionos.de/digitalguide/websites/online-recht/eprivacy-verordnung/.
Die ePrivacy-Verordnung und ihr großer Schatten: Womit müssen Sie rechnen?
Die Europäische Union versucht nun schon seit Jahren einheitliche Regeln im digitalen Binnenmarkt zu schaffen, um so Verbraucher und Rechteinhaber besser zu schützen. Immer noch diskutiert wird in diesem Kontext die ePrivacy-Verordnung. Damit möchte die Europäische Union verbindliche Datenschutzregeln formulieren, die EU-weit gelten. Zusätzlich zu dieser Verordnung gibt es aber bereits die Datenschutz-Grundverordnung (DSGVO) und seit Dezember 2021 ein neues Stammgesetz, das die Regelungen der DSGVO, des Telemediengesetzes und des Telekommunikationsgesetzes zusammenführen soll. Fakt ist: Bisher steht noch nicht fest, wann das Gesetz zur ePrivacy der EU in Kraft treten wird und welche konkreten Vorgaben damit für die Digitalbranche verbunden sein werden.