Der Europäische Datenschutzausschuss (EDPB) begrüßte mit Vorbehalt den neuen Datenschutzrahmen, der den rechtlichen Rahmen für den transatlantischen Datenverkehr schaffen soll.
Der Ausschuss, der die EU-Datenschutzbehörden versammelt, wurde gemäß der Datenschutz-Grundverordnung (DSGVO) eingerichtet, um Leitlinien bereitzustellen und Streitigkeiten im Zusammenhang mit der grenzüberschreitenden Durchsetzung beizulegen.
Zu seinen Aufgaben gehört auch die Beratung der Europäischen Kommission zu Entscheidungen über die Angemessenheit von Daten, einem Instrument, das die Datenschutzregelungen einer ausländischen Gerichtsbarkeit als den EU-Datenschutzstandards angemessen anerkennt.
„Obwohl wir anerkennen, dass die am US-Rechtsrahmen vorgenommenen Verbesserungen erheblich sind, empfehlen wir, auf die geäußerten Bedenken einzugehen und die geforderten Klarstellungen bereitzustellen, um sicherzustellen, dass die Angemessenheitsentscheidung Bestand hat“, sagte die EDPB-Vorsitzende Andrea Jelinek in einer Erklärung am Dienstag (28 Februar).
„Aus dem gleichen Grund sind wir der Meinung, dass nach der ersten Überprüfung des Angemessenheitsbeschlusses weitere Überprüfungen mindestens alle drei Jahre stattfinden sollten, und wir verpflichten uns, dazu beizutragen.“
Datenschutz-Framework
Im Dezember verabschiedete die EU-Exekutive den Entwurf einer Angemessenheitsentscheidung zu den Vereinigten Staaten und bestätigte damit den EU-US-Datenschutzrahmen, der das Ergebnis monatelanger Verhandlungen zwischen der Europäischen Kommission und der US-Regierung war.
Im März 2022 gaben US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen eine grundsätzliche Einigung zur Wiederherstellung eines transatlantischen Rahmens für Datenströme bekannt, eine Vereinbarung, die der EU-Gerichtshof anschließend zweimal für ungültig erklärte.
Das Abkommen wurde mit Bidens Unterzeichnung einer Durchführungsverordnung im Oktober umgesetzt, um Schutzmaßnahmen für personenbezogene Daten von Personen zu treffen, die der Gerichtsbarkeit der EU unterliegen, insbesondere durch die Einschränkung des Zugangs von Geheimdiensten und die Einrichtung eines Rechtsbehelfsmechanismus.
Der EU-Gerichtshof hat den vorherigen Privacy Shield im wegweisenden Schrems-II-Urteil für ungültig erklärt, da die US-Geheimdienste, wie Edward Snowden enthüllte, unverhältnismäßigen Zugriff auf personenbezogene Daten der EU hatten, ohne dass die EU-Bürger die Möglichkeit hatten, Rechtsbehelfe einzulegen.
Die Exekutivverordnung schreibt vor, dass die Datenerfassungsaktivitäten der US-Geheimdienste nur gegen vordefinierte nationale Sicherheitsziele und unter Beachtung des Grundsatzes der Verhältnismäßigkeit, der Privatsphäre und der bürgerlichen Freiheiten durchgeführt werden dürfen.
Die Rolle des Civil Liberties Protection Officer (CLPO) wurde im US-Büro des Director of National Intelligence eingeführt, um diese Maßnahmen durchzusetzen, Beschwerden zu prüfen und verbindliche Entscheidungen zu treffen.
Darüber hinaus wurde innerhalb des Attorney General Office, dem US-Äquivalent des europäischen Justizministeriums, ein Data Protection Review Court eingerichtet. Dieses Gericht soll eine unabhängige rechtliche Überprüfung der Entscheidungen der CLPO ermöglichen.
Stellungnahme des EDSA
Obwohl nicht rechtlich bindend, könnte die Meinung des Ausschusses großen Einfluss haben, da das Datenschutz-Rahmenwerk mit ziemlicher Sicherheit vor Gericht angefochten werden wird, da Max Schrems, der österreichische Aktivist, der die beiden vorherigen Vereinbarungen zu Fall gebracht hat, bereits einen neuen Rechtsstreit angekündigt hat.
Die europäischen Behörden wiesen auf Bedenken hinsichtlich einiger Rechte betroffener Personen, der Weiterleitung an Drittländer, des Umfangs der Ausnahmen vom Auskunftsrecht, der vorübergehenden Massenerfassung von Daten und der Funktionsweise des Rechtsbehelfsmechanismus in der Praxis hin.
Zum letzten Punkt stellte Schrems auch die Unabhängigkeit des Datenschutzprüfungsgerichts in Frage, da es technisch gesehen unter der Marke der Exekutive stehen werde. Seiner Ansicht nach handelt es sich bei dieser Regelung lediglich um eine Neuauflage der Ombudsperson, die der EU-Gerichtshof nach dem vorherigen Urteil als unzureichend erachtete.
Im Gegensatz dazu hält der EDPB die neue Regelung für eine erhebliche Verbesserung gegenüber der vorherigen, da sie mehr Garantien für EU-Bürger einführt und wirksamere Befugnisse zur Abhilfe bei Verstößen bietet.
Die europäischen Behörden betonten jedoch, dass das praktische Funktionieren des Rechtsbehelfs genau überwacht werden müsse, zusammen mit der Anwendung der neu eingeführten Grundsätze der Notwendigkeit und der Verhältnismäßigkeit.
Darüber hinaus bat der Vorstand um mehr Klarheit in Bezug auf die vorübergehende Massenerfassung, die die Executive Order ohne Gerichtsbeschluss zulässt, und die Aufbewahrung und Verbreitung wahllos erfasster Daten.
Die europäischen Datenschutzbeauftragten stellten auch die Ähnlichkeit des neuen Datenschutzrahmens mit dem vorherigen Datenschutzschild fest und betonten, dass einige Bedenken hinsichtlich des Fehlens kritischer Definitionen und der mangelnden Klarheit darüber bestehen, wie der Rahmen auf Organisationen angewendet werden würde, die personenbezogene Daten verarbeiten.
Als besorgniserregende Punkte wurden auch die weitreichende Ausnahme vom Recht auf Zugang zu öffentlich zugänglichen Informationen, das Fehlen spezifischer Vorschriften zur automatisierten Entscheidungsfindung und Profilerstellung und das Risiko einer Aushöhlung der Datenschutzgarantien durch Übermittlungen an Drittländer genannt.
Für den Vorstand sollte die Annahme der Angemessenheitsentscheidung von einigen zusätzlichen Richtlinien und Verfahren zur Umsetzung der Durchführungsverordnung abhängig sein. Die Kommission wird ersucht, diese aktualisierten Richtlinien zu bewerten und ihre Bewertung dem EDSA mitzuteilen.
[Edited by Nathalie Weatherald]