EU-US-Datenaustauschabkommen USA: Ist es beschlossene Sache?

EU-US-Datenaustauschabkommen USA: Ist es beschlossene Sache?

Die Tausenden von Unternehmen, die hoffen, dass bald ein neues Datentransferabkommen zwischen den USA und der EU in Kraft tritt und die mühsame rechtliche Arbeit erleichtert, die für den grenzüberschreitenden Datentransfer erforderlich ist, sollten keine Hoffnung haben. Die Durchführungsverordnung von US-Präsident Joe Biden zur Umsetzung der Regeln des Anfang des Jahres vereinbarten Transatlantic Data Policy Framework ist ein Schritt in die richtige Richtung, aber der neue Pakt wird erst im nächsten Frühjahr in Kraft treten, und selbst dann muss er sich mit rechtlichen Konsequenzen auseinandersetzen Herausforderungen, sagen Politik- und Rechtsexperten.

Die von Biden am 7. Oktober unterzeichnete Durchführungsverordnung führt neue Beschränkungen für die elektronische Überwachung durch US-Geheimdienste ein und gibt Europäern neue Möglichkeiten, Beschwerden einzureichen, wenn sie glauben, dass ihre persönlichen Daten von den Geheimdiensten illegal verwendet wurden. Amerikanischer Geheimdienst.

Die Entscheidung fällt zwei Jahre, nachdem der Europäische Gerichtshof im Jahr 2020 das vorherige Datenaustauschabkommen zwischen der EU und den Vereinigten Staaten, bekannt als Privacy Shield, gekündigt hat, mit der Begründung, dass die Vereinigten Staaten keinen angemessenen Schutz personenbezogener Daten gewährleisten. Daten, insbesondere im Zusammenhang mit staatlicher Überwachung.

Das neue Transatlantic Data Policy Framework zielt darauf ab, den Schutz der Privatsphäre in den Vereinigten Staaten zu verbessern, das Privacy Shield zu ersetzen und möglicherweise die Prüfung durch den Gerichtshof zu bestehen, wenn erwartete rechtliche Anfechtungen eingereicht werden. Doch obwohl die Biden-Regierung und die Europäische Kommission Erklärungen abgegeben haben, die den vorgeschlagenen neuen Datenpakt unterstützen, ist der Deal noch lange nicht abgeschlossen, so Jonathan Armstrong, Compliance- und Technologieanwalt beim britischen Compliance-Spezialisten Cordery.

„Das Weiße Haus und die Europäische Kommission können sagen, dass sie zuversichtlich sind, aber wir sind diesen Weg schon einmal gegangen, und beide Seiten sagten, dass Privacy Shield einer gerichtlichen Prüfung standhalten würde. Das ist es nicht“, sagte Armstrong.

Wie geht es mit dem transatlantischen Rahmen für die Datenpolitik weiter?

Erstens muss die EU bestätigen, dass die neuen Regeln, die durch die Durchführungsverordnung von Biden festgelegt wurden, angemessen sind, um die im transatlantischen Rahmen vereinbarten Standards zu erfüllen, der wiederum darauf ausgelegt war, einen Schutz der Privatsphäre zu gewährleisten, der der DSGVO (Datenschutz-Grundverordnung) gleichwertig ist EU. . .

In den kommenden Monaten wird die Europäische Kommission, das Exekutivorgan der EU, einen Entwurf für einen Angemessenheitsbeschluss vorschlagen und ein Annahmeverfahren einleiten, das die Konsultation des Europäischen Datenschutzausschusses (EDPB) und die Einholung der Genehmigung durch einen Ausschuss aus Vertretern von umfasst EU-Mitgliedstaaten, heißt es in einer Erklärung der Kommission.

Das Europäische Parlament werde das Abkommen wahrscheinlich auch vor seiner Ratifizierung überprüfen wollen, sagte Armstrong.

Unterdessen hat Max Schrems, der österreichische Aktivist und Anwalt, dessen Klagen gegen Facebook wegen Verstößen gegen die DSGVO zum Scheitern des Privacy Shield und seines Vorläuferabkommens Safe Harbor führten, bereits erklärt, dass er das Abkommen mit seiner Lobbygruppe NOYB anfechten könne.

„Auf den ersten Blick scheint es, dass die zugrunde liegenden Probleme nicht gelöst wurden und früher oder später vor den EuGH zurückkehren werden“, sagte Schrems in einer von NOYB veröffentlichten Stellungnahme.

Kritiker der Datenübermittlung verweisen auf Massenüberwachung

Ein großes Problem mit Bidens Durchführungsverordnung und dem Transatlantic Data Policy Framework selbst besteht laut Schrems und anderen Kritikern darin, dass sie die Massenüberwachung durch US-Geheimdienste nicht angemessen berücksichtigt.

In der Durchführungsverordnung heißt es, dass nachrichtendienstliche Aktivitäten der USA nur dann durchgeführt werden dürfen, wenn dies zur Förderung einer validierten Geheimdienstpriorität erforderlich ist, und nur in dem Umfang und in einer Weise, die mit dieser Priorität vereinbar ist. Doch während das EU-Recht ebenfalls eine verhältnismäßige Überwachung vorschreibe, gebe es keine Anzeichen dafür, dass sich die Massenüberwachung in den USA in der Praxis ändern werde, sagte NYOB.

Darüber hinaus verlangt Bidens Anordnung zwar, dass das US-Justizministerium ein Datenschutzüberprüfungsgericht zur Bearbeitung von Überwachungsbeschwerden einrichten muss, es handelt sich dabei jedoch nicht um ein „echtes Gericht“, sondern eher um eine juristische Zweigstelle der US-Regierung, so NYOB.

NYOB stellte außerdem fest, dass eine Durchführungsverordnung kein Gesetz, sondern eine Anweisung des US-Präsidenten an die Bundesregierung sei.

Die Lobby der American Civil Liberties Union (ACLU) stimmt dem zu.

„Die Probleme mit dem US-Überwachungsregime können nicht mit einer einzigen Verordnung gelöst werden“, sagte Ashley Gorski, Senior Counsel beim ACLU National Security Project, in einer ACLU-Erklärung. „Um unsere Privatsphäre zu schützen und transatlantische Datenübertragungen auf eine solide rechtliche Grundlage zu stellen, muss der Kongress eine sinnvolle Überwachungsreform verabschieden. Bis das geschieht, werden amerikanische Unternehmen und Privatpersonen weiterhin den Preis zahlen.

Es sei unwahrscheinlich, dass der Deal die Anforderungen einer Angemessenheitsvereinbarung erfülle, sagte Tash Whitaker, globaler Direktor für Daten-Compliance bei Whitaker Solutions. „Insbesondere die Massenüberwachung wird wahrscheinlich unverändert weitergehen, unabhängig von Änderungen am Wortlaut der neuen Durchführungsverordnung. Darüber hinaus ist für die Betroffenen nach nationalem Recht ein gerichtlicher Rechtsbehelf erforderlich. Die Durchführungsverordnung schlägt dies vor, indem sie sich auf ein „Datenschutz-Überprüfungsgericht“ bezieht.

Warum Unternehmen ein neues Privacy Shield wollen

Die Unternehmen wollen, dass ein neues Datenübermittlungsabkommen in Kraft tritt, um die langwierigen rechtlichen Verhandlungen zu verkürzen, die derzeit für die Durchführung transatlantischer Datenübermittlungen erforderlich sind, um sicherzustellen, dass sie dies auf eine Weise tun, die den EU-Industriestandards entspricht, und um EU-Durchsetzungsmaßnahmen zu vermeiden, so Lartease Tiffith , Executive Vice President of Public Policy bei der in New York ansässigen Handelsgruppe Interactive Advertising Bureau (IAB), Datenschutzbehörden (DPAs), unabhängige öffentliche Behörden, die sich mit Beschwerden im Zusammenhang mit Verstößen gegen die EU-DSGVO befassen.

In Ermangelung eines Privacy Shield oder einer ähnlichen Vereinbarung nutzen Unternehmen laut Tiffith sogenannte Standardvertragsklauseln, um zu bestätigen, dass Datenübermittlungen im Einklang mit der DSGVO erfolgen. „Das Problem dabei ist, dass sie sehr arbeitsintensiv sind. Ich würde sie nicht einmal als Standardvertragsbedingungen bezeichnen, weil man sie irgendwie einzeln aushandeln muss, daher ist die Bezeichnung „Standardvertrag“ wahrscheinlich eine Fehlbezeichnung.“

Fast 70 % der mehr als 5000 US-amerikanischen Unternehmen, die sich dem Privacy Shield angeschlossen haben, sind kleine Unternehmen, die nicht über die Ressourcen verfügen, mehrere Verträge mit all ihren Datenanbietern auszuhandeln, und das stellt auch für große Unternehmen eine Belastung dar. . sagte.

Die Idee hinter Privacy Shield und dem neuen Rahmenwerk besteht darin, dass Unternehmen, sobald sie sich selbst bestätigen, dass sie genehmigte Richtlinien einhalten, nicht mehr mit jedem Anbieter individuelle Datenschutzverträge abschließen müssen, sagte Tiffith.

„Die andere Überlegung ist, dass Unternehmen auch bei Standardvertragsklauseln der Anwendung des DPA unterliegen, wenn sie feststellen, dass es keine ausreichende Klausel enthält oder nicht alles abdeckt, was es sollte“, sagte Tiffith.

Rechtliche Anfechtungen der Datenübertragungsregeln werden erwartet

Tiffith sagte, Bidens Executive Order sei ein Schritt in die richtige Richtung und ebne den Weg für eine endgültige Einigung, und betonte, dass Datenflüsse für die gemeinsame Entwicklung von Medizintechnik, Cybersicherheit und anderen Technologien sowie Medien, Werbung und Konsumgütern von entscheidender Bedeutung seien . . .

Angesichts der frühen Kritik an der Anordnung werde es dennoch „rechtliche Anfechtungen“ der Vereinbarung geben, räumte Tiffith ein.

Armstrong, der Compliance-Anwalt von Cordery, stimmte zu und warnte Unternehmen, die ermutigenden Worte US-amerikanischer und europäischer Beamter nicht ernst zu nehmen. „Es steht zu viel auf dem Spiel, als dass Unternehmen sich auf diese beruhigenden Worte verlassen könnten, insbesondere angesichts der offenen Probleme bei der Datenübertragung und potenziellen Herausforderungen“, sagte Armstrong.

Aufgrund des EU-Genehmigungsverfahrens und potenzieller Herausforderungen werde sich das neue Programm wahrscheinlich verzögern und die Anordnung werde voraussichtlich frühestens im Spätfrühling 2023 in Kraft treten, sagte Armstrong. Selbst dann, so sagte er, werden die meisten Organisationen es immer noch als vorübergehende Vereinbarung betrachten wollen, während sie weiterhin an anderen Compliance-Maßnahmen arbeiten, insbesondere einer doppelten Due-Diligence-Prüfung der Organisationen, an die sie Daten senden, und der in dieser Gerichtsbarkeit geltenden Maßnahmen. .

„Insgesamt ist es möglich, dass die USA dadurch eine gewisse Anpassung seitens der EU erhalten, aber diese wird wahrscheinlich nur von kurzer Dauer sein, da Lobbyisten sie schneller vor Gericht anfechten werden, als man sagen kann, DSGVO“, sagte Whitaker.

(Zusätzlicher Bericht von Marc Ferranti)

Copyright © 2022 IDG Communications, Inc.