Die Saga des transatlantischen Datentransfers geht mit Schrems III weiter und wirft kritische Fragen zu den Themen Datenschutz Datensicherheit und grenzüberschreitenden Datenflusses auf.
Wenn wir uns mit den komplexen Nuancen der Datenbeziehung zwischen der EU und den USA befassen, ist es wichtig, den Transatlantic Data Protection Framework (TADPF) zu verstehen, den jüngsten Versuch, einen zuverlässigen Rahmen für transatlantische Datentransfers zu schaffen. Der TADPF ist nicht der erste Versuch, einen Rahmen für den Datentransfer zwischen der EU und den USA zu entwickeln. In der Vergangenheit wurden bereits "Safe Harbor" (2000) und "Privacy Shield" (2016) umgesetzt, um den Datentransfer zwischen den beiden Regionen zu erleichtern.
Erhebliche Diskrepanzen und Unstimmigkeiten führten allerdings dazu, dass der Datenschutzaktivist und Rechtsanwalt Max Schrems beide Rahmenwerke vor Gericht brachte und sie für ungültig erklären ließ. Diese Fälle wurden als Schrems I (für den Safe Harbor) und Schrems II (für den Privacy Shield) bekannt.
Können Datenübermittlungsabkommen zwischen den USA und der EU den Datenschutz wirklich Datenschutz gewährleisten?
Um die Komplexität dieses Themas zu verstehen, muss man zunächst den nachvollziehen. FISA 702 erlaubt es den US-Geheimdiensten, massenhaft Daten von Anbietern elektronischer Kommunikation (wie Cloud-Diensten) ohne Durchsuchungsbefehl zu sammeln, solange die Daten als Trägern von Informationen über ausländische Nachrichtendienste eingestuft werden.
Diese umfassende Befugnis bedeutet, dass die US-Geheimdienste alle ausländischen Daten und Informationen überwachen können, die sie für Spionagezwecke als nützlich erachten, einschließlich der Daten von EU-Bürgern. Dies stellt eine große Herausforderung für den Datenschutz dar, da es den US-Geheimdiensten erlaubt, Daten von EU-Bürgern ohne deren Einwilligung oder Wissen zu verarbeiten.
Noch beunruhigender ist die Tatsache, dass der Vierte Verfassungszusatz diese Praxis für verfassungswidrig erklärt, wenn sie auf US-Bürger angewandt wird. Deshalb erlaubt sie nur die Überwachung von Ausländern und ausländischen Informationen. Dies stellt nicht nur eine Herausforderung für die Überwachung von EU-Bürgern dar, sondern wirft auch ernsthafte Fragen hinsichtlich der Diskriminierung und Fairness solcher Datenübermittlungsabkommen auf.
Selbst mit Datenübermittlungsvereinbarungen wie TAPDF ermöglichen US-amerikanische Überwachungsgesetze wie FISA der US-Regierung die Überwachung aller Daten, die aus der EU in die USA übermittelt werden.
Selbst wenn ein amerikanisches Unternehmen einen Vertrag zur Einhaltung der DSGVO und des neuen TAPDF-Rahmens unterzeichnet, können die Daten aufgrund von FISA immer noch in einer Weise überwacht und verarbeitet werden, die gegen die Datenschutzgrundverordnung verstößt. Egal wie viele Zusicherungen wir erhalten, die Rechtsdokumente sagen etwas anderes.
"Sie versichern uns, dass es keine willkürliche oder massenhafte Überwachung gibt, aber die Kommission hat nie gesagt, dass sie das nicht tun. Es ist, als hätte man China versichert, dass die Menschenrechte in China großartig sind." - Max Schrems.
Die Anhänge des Privacy Shield erlaubten sogar die Massenerfassung von Daten aus sechs Gründen, darunter vorübergehende kriminelle Bedrohungen. Dies ist besorgniserregend, da die US-Definition von "Massenüberwachung" nur die Aufbewahrung des gesamten Datensatzes umfasst, nicht aber das Durchsuchen und anschließende Löschen.
Dies stellt eine große Bedrohung für europäische Bürger und Unternehmen dar, deren Daten nicht mehr geschützt sind. Dies war einer der Gründe, warum der höchste europäische Gerichtshof zugunsten von Schrems entschied und das Privacy Shield auflöste.
Transatlantischer Datenschutzrahmen (TADPF) - Das neue Schrems III
Der Krieg in der Ukraine hat die Diskussionen über transatlantische Datentransfers neu entfacht, und zu einem neuen Rahmenwerk, dem TADPF, geführt.
Oberflächlich betrachtet scheint der TADPF eine Kopie des früheren Privacy Shields mit nur geringfügigen Änderungen zu sein. Eine Vergleichsstudie hat ergeben, dass die einzigen Änderungen darin bestehen, dass das Wort "USA" zweimal und eine kleine Fußnote auf einer der Seiten hinzugefügt wurden und der Rahmen die Möglichkeit einer Durchsetzungsstelle eröffnete.
"Das Geschäftsprinzip, also das, was ein Unternehmen mit den Daten machen kann, ist genau das gleiche wie das Prinzip des Privacy Shields, was wiederum genau das gleiche wie das Safe Harbour-Prinzip ist." - Max Schrems.
Der TADPF fällt jedoch auch mit einer neuen Executive Order zusammen, die die Gründe für die Massenverfassung von Daten erweitert, wie zum Beispiel Gesundheitsrisiken und Klimawandel. Die Executive Order besagt auch, dass die Überwachung verhältnismäßig sein wird, aber nur nach der neuen US-Definition von Verhältnismäßigkeit verhältnismäßig, die sich von der EU-Definition erheblich unterscheidet.
Infolgedessen wäre das, was in der EU als wesentliche Verletzung des Grundrechts angesehen würde, in den USA verhältnismäßig und akzeptabel.
Der Datenschutzaktivist Max Schrems hat bereits angekündigt, den TADPF vor Gericht anzufechten. Er hat darauf hingewiesen, dass der TADPF aus datenschutzrechtlicher Sicht keine Verbesserung gegenüber dem Privacy Shield zu sein scheint.
"In Europa braucht man eine Einwilligung als Rechtsgrundlage (…) wenn man das mit dem TADPF vergleicht, hat man hier nur eine "Opt-Out"-Möglichkeit (…) Den Richtern wird es leicht fallen zu sagen, dass das nicht äquivalent ist" - Max Schrems.
Es ist unklar, ob der TADPF Schrems' Rechtsanfechtung überstehen wird. Die Tatsache, dass er das Abkommen anfechtet, ist allerdings ein Zeichen dafür, dass Datenschutzbeauftragte über die Fähigkeit, die Privatsphäre von EU-Bürgern zu schützen, besorgt sind. Schrems stellt sich eine Zukunft vor, in der Datenschutz global gehandhabt wird und es eine globale Vereinbarung unter den demokratischen Ländern darüber gibt, wie viel Zugang die Regierung zu personenbezogenen Daten haben sollte.
Warum ist das für Europäische Unternehmen wichtig?
Die Nutzung vieler Softwareanbieter beinhaltet implizit die Übertragung von Daten von Europäern in die USA. Europäische Unternehmen fördern daher (indirekt) die oben beschriebene Überwachung.
Als europäisches Unternehmen sind sie verpflichtet, die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Wenn Sie also ein US-Tool in Ihren Technologie-Stack integrieren möchten, sollten Sie sich genau damit befassen, wie Ihre Daten dort behandelt werden. So stellen Sie sicher, dass sie weiterhin EU-konform sind.
Zunächst sollten Sie immer prüfen, ob die Verwendung von US-Software notwendig ist oder ob europäische Tools mit ähnlichem Umfang und ähnlicher Funktionalität eine gute Alternative darstellen. Wenn möglich, sollten Sie auch sicherstellen, dass alle ihre Server und die Server ihrer Anbieter in der EU lokalisiert sind.
Mit den folgenden zehn Schritten können Sie die Risiken eines unzulässigen Datentransfers weiter minimieren:
- Ermitteln Sie die Rechtsgrundlage für den Transfer
- Holen Sie sich eine Einwilligung ein
- Verwenden Sie einen zugelassenen Transfermechanismus
- Bewerten Sie die Risiken
- Implementieren Sie geeignete Schutzvorkehrungen
- Schließen Sie Datenverarbeitungsverträge ab
- Verwenden Sie Verschlüsselung und andere Sicherheitsmaßnahmen
- Dokumentieren Sie den Datentransfer
- Informieren Sie Einzelpersonen
- Führen Sie regelmäßige Überprüfungen durch
Eine detaillierte Erläuterung aller Schritte finden Sie hier: Internationaler Datentransfer: 10 Schritte zur Einhaltung des EU-Datenschutzrechts.
Haben Sie noch Fragen zum Thema? Schauen Sie sich Max Schrems' kritischen Vortrag auf EPIC an, um mehr über den transatlantischen Datentransfer zwischen der EU und den USA zu erfahren.
