Dieser Artikel befasst sich mit drei Bereichen, in denen der EDPB Probleme mit dem Entscheidungsentwurf der Europäischen Kommission sieht:
die Grundsätze, der Rechtsbehelfsmechanismus und das nationale Sicherheitsrecht der USA
.
Die Stellungnahme des EDSB ist nicht bindend, aber seine Analyse ist wichtig.
Viele der Kritikpunkte des EDSB könnten vom Gerichtshof der Europäischen Union (EuGH) geteilt werden.
-und jedes Unternehmen, das plant, sich auf die DPF zu verlassen, sollte darauf vorbereitet sein, dass sie scheitern könnte.
EU-US-DPF-Grundsätze
Die Grundsätze und ergänzenden Grundsätze der DPF (zusammen „die DPF-Grundsätze“) sind die Anforderungen, die zertifizierende Unternehmen bei der Verarbeitung von aus der EU importierten personenbezogenen Daten erfüllen müssen.
Die DPF-Prinzipien sind im Wesentlichen dieselben wie die des Privacy Shield. Die Grundsätze wurden nicht geändert, da sie in Schrems II nicht kritisiert wurden.
Nichtsdestotrotz,
steht der EDPB den Grundsätzen der DPF recht kritisch gegenüber.
Da die DPF-Grundsätze seit dem Privacy Shield unverändert sind, hält sich der EDPB weitgehend an die
Stellungnahme zum Privacy Shield
die von der Artikel-29-Datenschutzgruppe (WP29) angenommen wurde.
Der EDPB hält seine Bedenken aufrecht:
- Zu weit gefasste Ausnahmen vom Recht auf Zugang.
- Zeitpunkt und Modalitäten“ für das Widerspruchsrecht.
- Unklarheit darüber, wie die Grundsätze auf die Verarbeiter anzuwenden sind.
- Die weitreichende Ausnahme für öffentlich zugängliche Informationen.
- Fehlende Garantien für die Weitergabe von personenbezogenen Daten.
- Fehlende Regeln für die automatisierte Entscheidungsfindung.
Aber wie bereits erwähnt, ging es in Schrems II nicht um die Grundsätze, so dass diese Kritik wohl eher akademisch ist.
Die wichtigeren Themen sind Wiedergutmachung und nationale Sicherheit.
Gerichtlicher“ Rechtsbehelf
Den betroffenen Personen stehen im Rahmen der EU-US-DSGVO zunächst sieben Rechtsbehelfe zur Verfügung, darunter eine EU-Datenschutzbehörde (DPA), eine unabhängige Streitbeilegungsstelle oder die US-amerikanische Federal Trade Commission (FTC).
Am wichtigsten ist jedoch, dass Personen, die möglicherweise von US-Geheimdiensten überwacht wurden, „Rechtsmittel“ zur Verfügung stehen.
Nach EU-Recht
hat jeder das Recht auf einen „wirksamen Rechtsbehelf vor einem Gericht“.
Das Fehlen eines wirksamen Rechtsbehelfs war einer der Hauptgründe, warum der EuGH das Privacy Shield in Schrems II für ungültig erklärte.
Damit die EU-US-DSGVO erfolgreich sein kann, muss der Rahmen ein Rechtsmittel bieten, das besser ist als die Ombudsperson des Privacy Shield, die laut EuGH „kein Gericht“ nach den Standards des EU-Rechts ist.
Der Rechtsbehelfsmechanismus der EU-US-DSGVO besteht aus zwei Ebenen:
- Einreichung einer Beschwerde beim Civil Liberties Protection Officer des Office of the Director of National Intelligence (ODNI CLPO oder CLPO).
- Einspruch beim Datenschutz-Überprüfungsgericht (DPRC).
Nach der Entscheidung der DPRC ist kein weiterer Rechtsbehelf möglich.
Wiedergutmachung: Das Gute
Positiv zu vermerken ist laut EDPB, dass der neue Rechtsbehelfsmechanismus:
- ist im Vergleich zum Privacy Shield Ombudsmann „deutlich verbessert“.
- Bietet „mehr Garantien“ für die Unabhängigkeit.
- Sie beinhaltet „wirksamere Befugnisse zur Beseitigung von Verstößen“.
- Kann den Nachrichtendiensten verbindliche Entscheidungen auferlegen.
Zur Unabhängigkeit stellt der EDSB fest, dass
der DPRC nicht dem Generalstaatsanwalt der USA unterstellt ist
und unterliegt nicht der „alltäglichen Aufsicht“ des Generalstaatsanwalts (allerdings gibt es hier einen Vorbehalt – siehe unten). Diese Faktoren stellen „eine erhebliche Verbesserung gegenüber dem Privacy Shield“ dar.
Wiedergutmachung: Das Schlechte
Auf der negativen Seite ist der EDPB besorgt über:
- Die „Standardantwort“, die die DPRC im Anschluss an eine Beschwerde geben wird (mehr dazu weiter unten).
- Die Tatsache, dass die Entscheidungen der DPRC nicht angefochten werden können.
- Die Ernennung und Entlassung der DPRC-„Richter“.
Der EDSB stellt fest, dass
das DPRC immer noch innerhalb der US-Exekutive angesiedelt ist
. Dies wirft die Frage auf, ob die Stelle wirklich unabhängig ist.
Der EDSB ist auch besorgt über die Bedeutung der „täglichen Überwachung“. Bedeutet dies, dass die DPRC-„Richter“ einer anderen Form der Aufsicht durch den Generalstaatsanwalt unterliegen werden? Dies sollte klargestellt werden.
Wiedergutmachung: Das Hässliche
Das vielleicht größte Problem für den EDSB ist die „Standardantwort“, die betroffenen Personen, die sich an den DPRC wenden, gegeben wird.
Die DPRC wird weder bestätigen noch dementieren, dass eine Person überwacht wurde.
Jeder erhält eine Standardantwort: „
Bei der Überprüfung wurden entweder keine erfassten Verstöße festgestellt oder das Datenschutzprüfungsgericht hat eine Entscheidung getroffen, die angemessene Abhilfemaßnahmen erfordert
„.
Der EDSB stimmt zu, dass ein Gleichgewicht zwischen dem „allgemein legitimen Zweck“ der Wahrung des Staatsgeheimnisses gefunden werden muss. Der Ausschuss ist jedoch besorgt darüber, dass es keine Ausnahmen von dieser allgemeinen Regel gibt.
Der EDPB sagt, dass die Entscheidungen des DPRC „begründet“ sind. Aber
der EDSB ist eindeutig nicht beeindruckt von der Standardantwort an die betroffenen Personen
in Verbindung mit der Tatsache, dass gegen Entscheidungen des DPRC kein Rechtsmittel eingelegt werden kann.
Nationale Sicherheit
Im Rahmen seiner Stellungnahme bewertete der EDSB die Vorschriften der USA über den Zugang zu und die Verwendung von personenbezogenen Daten für Zwecke der nationalen Sicherheit.
Der EDPB beurteilt das nationale Sicherheitssystem der USA durch die Brille der
Europäischen Grundgarantien
: vier Grundsätze, die eingehalten werden müssen, um einen ausreichenden Standard des Schutzes der Privatsphäre und des Datenschutzes zu gewährleisten.
Selbst unter Berücksichtigung der neuen Schutzmaßnahmen hat der EDPB Bedenken, ob die USA diese Garantien erfüllen.
Klare, präzise und zugängliche Regeln
Jeder Eingriff in die Grundrechte auf Privatsphäre und Datenschutz muss auf klaren, präzisen und zugänglichen Regeln beruhen.
Der EDSB stellt fest, dass die Überwachungsmaßnahmen (oder „signals intelligence“) der US-Behörden auf der Grundlage einer Reihe von Gesetzen und Anordnungen erfolgen, die der Öffentlichkeit zugänglich sind.
Allerdings,
ist der EDPB besorgt über die mangelnde Klarheit der Definitionen und des Anwendungsbereichs einiger dieser Rechtsinstrumente.
EO 14086
Die im Lichte von Schrems II erlassene Durchführungsverordnung, mit der die Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten verbessert werden sollen, soll klären, wann nachrichtendienstliche Tätigkeiten stattfinden können.
Die Anordnung enthält eine Liste von 12 Zielen, zu deren Erreichung die Nachrichtendienste auf personenbezogene Daten zugreifen können. Der EDSB stellt fest, dass einige dieser Ziele „allgemein“ (sprich: „vage“) sind, wie z. B. die „globale Sicherheit“.
Der EDSB empfiehlt außerdem, dass die Kommission ihren Angemessenheitsbeschluss nicht annehmen sollte
nur dann annehmen sollte, wenn die USA das EO 14086 in eine Reihe von Strategien und Verfahren für die US-Nachrichtendienste umwandeln.
Erforderlichkeit und Verhältnismäßigkeit
Einschränkungen des Rechts auf Privatsphäre und Datenschutz müssen zur Verfolgung legitimer Ziele notwendig und verhältnismäßig sein.
Der EDSB stellt fest, dass EO 14086 den Nachrichtendiensten angeblich Anforderungen an die „Verhältnismäßigkeit“ und „Notwendigkeit“ auferlegt.
Der Ausschuss kritisiert jedoch die Art und Weise, wie EO 14086 die „Massenerfassung“ behandelt, d. h. die wahllose Erfassung personenbezogener Daten zu nachrichtendienstlichen Zwecken.
Der EDSB befürwortet die Art und Weise, in der das EO 14086 der gezielten Überwachung Vorrang vor der Massenerfassung einräumt. Außerdem sieht die Anordnung begrenzte Gründe vor, auf deren Grundlage Geheimdienste Massenerhebungen durchführen können.
Allerdings,
Der EDSB beanstandet mehrere Aspekte der Art und Weise, wie EO 14086 die Massenerfassung behandelt
und zwar:
- Es können immer noch große Datenmengen gesammelt werden.
- Der Präsident kann die Liste der zulässigen Gründe für eine Massenabholung ergänzen.
- Für die Massenabholung ist keine unabhängige Vorabgenehmigung erforderlich, und sie unterliegt auch keiner unabhängigen Überprüfung.
- Die Regeln für die Aufbewahrung von personenbezogenen Daten, die in großen Mengen gesammelt werden, sind unklar.
- Es gibt keine angemessenen Beschränkungen dafür, wie Nachrichtendienste massenhaft (oder anderweitig) gesammelte Daten verbreiten oder weitergeben können.
Hält der EDPB den DPF für gut oder schlecht?
Der EDPB bewertet den DPF nicht mit einer Note von zehn. Die Stellungnahme ist recht ausgewogen, aber auch recht kritisch.
Der Vorstand sieht eindeutig Verbesserungen gegenüber Privacy Shield. In der Stellungnahme werden viele Aspekte des neuen Rahmens „begrüßt“, andere (wie die Grundsätze) werden eher widerwillig akzeptiert.
Allerdings,
gibt es einige grundlegende Probleme mit der DPF, die der EDSB nicht ignorieren kann
Dazu gehören die „Standardantwort“, die das DPRC den betroffenen Personen anbietet, die fehlende Aufsicht über die Massenerhebung und die ungenauen Definitionen bestimmter wichtiger Begriffe.
Die Stellungnahme des EDSB zum Entwurf der Angemessenheitsentscheidung enthält einige Empfehlungen an die Kommission. Der EDPB kann jedoch kein Veto gegen die Annahme der Angemessenheitsentscheidung einlegen.
Unabhängig davon, ob die Angemessenheitsentscheidung erfolgreich ist oder nicht, ist die Analyse des EDSB eine hilfreiche Erinnerung an die Probleme, die zur Nichtigerklärung der Entscheidung durch den EuGH führen könnten.
Unternehmen, die planen, sich bei der Übermittlung personenbezogener Daten auf die DSGVO zu stützen, sollten in Erwägung ziehen, einen Notfallplan für den Fall zu haben, dass der Rahmen versagt.
Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!