Ein glänzendes neues Datenübertragungsabkommen zwischen der Europäischen Union und den Vereinigten Staaten, das darauf abzielt, die kostspielige Rechtsunsicherheit über den Export personenbezogener Daten zu beheben, ist noch nicht in Kraft, aber der Ausschuss für bürgerliche Freiheiten des Europäischen Parlaments prognostiziert das bevorstehende EU-US Data Privacy Framework (DPF). ) wird eine rechtliche Anfechtung nicht überleben – genau wie seine beiden Vorgänger Safe Harbor (RIP: Oktober 2015); und Privacy Shield (RIP: Juli 2020) konnten die EU-Richter nicht beeindrucken.
In einer gestern vom LIBE-Ausschuss verabschiedeten Entschließung mit 37 Ja-Stimmen, keiner Gegenstimme und 21 Enthaltungen bezeichneten die Abgeordneten den DPF als eine Verbesserung, die jedoch nicht weit genug geht. Sie sagten auch voraus, dass es in Zukunft wahrscheinlich vom Gerichtshof der EU (EuGH) für ungültig erklärt wird.
Die Entwicklung folgt ein Entwurf einer Stellungnahme des LIBEbereits im Februar, gab dem Vorschlag ebenfalls einen Daumen nach unten und forderte die Kommission auf, auf sinnvolle Reformen zu drängen.
In der Entschließung vertritt der Ausschuss die Ansicht, dass die vorgeschlagene Regelung keine ausreichenden Garantien für EU-Bürger bietet, da der Rahmen in bestimmten Fällen immer noch die Massenerhebung personenbezogener Daten zulässt; macht die Massendatenerhebung nicht von einer unabhängigen vorherigen Genehmigung abhängig; und sieht keine klaren Regeln für die Vorratsdatenspeicherung vor.
Die Abgeordneten befürchten auch, dass ein vorgeschlagener Rechtsbehelfsmechanismus – ein sogenannter „Datenschutz-Überprüfungsgerichtshof“ – das Recht der EU-Bürger auf Zugang zu und Berichtigung ihrer Daten verletzen würde, da Entscheidungen geheim gehalten würden. Sie stellen auch seine Unabhängigkeit in Frage, da Richter vom US-Präsidenten entlassen werden könnten, der sich auch über seine Entscheidungen hinwegsetzen könnte.
„In der Entschließung argumentieren die Abgeordneten, dass der Rahmen für Datenübertragungen zukunftssicher sein muss und die Bewertung der Angemessenheit auf der praktischen Umsetzung der Regeln basieren muss“, so ein Parlament Pressemitteilungdie das Komitee sagte, fuhr fort zu drängen die Kommission, keine Angemessenheit auf der Grundlage der derzeitigen Regelung zu gewähren und stattdessen einen Rahmen für die Datenübertragung auszuhandeln, der wahrscheinlich vor Gericht aufgehalten wird.
Kommentieren Stellungnahme Nach der Abstimmung sagte der Berichterstatter des LIBE-Ausschusses, Juan Fernando López Aguilar:
Der neue Rahmen ist sicherlich eine Verbesserung im Vergleich zu früheren Mechanismen. Aber so weit sind wir noch nicht. Wir sind nicht davon überzeugt, dass dieser neue Rahmen die personenbezogenen Daten unserer Bürger ausreichend schützt, und bezweifeln daher, dass er den Test des EuGH bestehen wird. Die Kommission muss weiter daran arbeiten, die vom Europäischen Datenschutzausschuss geäußerten Bedenken auszuräumen [EDPB] und das Civil Liberties Committee, auch wenn das bedeutet, die Verhandlungen mit den USA wieder aufzunehmen
Bereits im Februar verabschiedete der EDSA seine Meinung über den Rahmen – der Deal wird auch als Verbesserung des Datenschutzschilds bezeichnet. Das einflussreiche Lenkungsgremium hat jedoch auch eine Reihe von Bedenken geäußert, die seiner Meinung nach angegangen und geklärt werden sollten, um „sicherzustellen, dass die Angemessenheitsentscheidung Bestand hat“.
Die Abstimmung im LIBE-Ausschuss ist Teil des allgemeinen Kontrollverfahrens der EU. Obwohl es wichtig ist anzumerken, dass Parlamentarier kein aktives Mitspracherecht darüber haben, ob der DPF angenommen wird oder nicht – noch nicht einmal der EDPB. Das letzte Wort bei Angemessenheitsentscheidungen liegt allein bei der Kommission.
Gleichzeitig ist es natürlich unangenehm, wenn innerhalb der EU Zweifel an der Robustheit und Nachhaltigkeit des geplanten Ersatzrahmens laut werden.
Auch das Europäische Parlament als Ganzes wird seine Meinung äußern können – über eine künftige Plenarsitzung, die die Entschließung des LIBE-Ausschusses prüfen wird. Es wird also interessant sein zu sehen, welchen Weg Parlamentarier einschlagen.
Der DPF ist das jüngste hochrangige Angebot des Blocks, den direkten Konflikt zwischen EU-Datenschutzrechten und US-Überwachungsbefugnissen zu lösen, indem ein weiterer sogenannter Angemessenheitsbeschluss zur Erleichterung des Datenflusses zwischen der EU und den USA erlassen wird. Der vorgeschlagene Rahmen baut auf früheren (gescheiterten) Versuchen auf, indem er eine neue Reihe von Bestimmungen festlegt, die darauf abzielen, große Unterschiede zu Papier zu bringen – wie etwa die Forderung nach „verbindlichen Schutzmaßnahmen“, um den Zugang der US-Geheimdienste zu Daten einzuschränken, einschließlich der Einführung von Konzepten von Notwendigkeit und Verhältnismäßigkeit; und ein Versprechen einer verbesserten Überwachung der Spooks-Überwachung.
Wie oben erwähnt, wird auch ein neues Datenschutzprüfungsgericht eingerichtet, das zusammen einen unabhängigen Rechtsbehelfsmechanismus bilden soll, der in der Lage ist, Beschwerden von EU-Bürgern nach dem von europäischen Richtern geforderten Standard zu lösen. Aber was Kritiker behaupten, ist kein richtiges Gericht im vollen rechtlichen Sinne und wird daher vor dem EuGH nicht bestehen.
Eines ist klar: Es dauert dieses Mal deutlich länger, einen Deal zu verabschieden, nachdem der Vorrat an einfachen Heftpflastern aufgebraucht ist.
Die Kommission hat vor etwas mehr als einem Jahr eine grundsätzliche Einigung über den DPF erzielt. Es dauerte dann etwa sechs Monate, bis US-Präsident Joe Biden eine Executive Order unterzeichnete, die für die Umsetzung des Ersatzes erforderlich ist. Während es fast neun Monate nach der Ankündigung des Abkommens dauerte, bis die EU zu einem Abkommensentwurf kam (etwa zwei Monate nach der EO). Zu diesem Zeitpunkt wurde ein Prozess zur Überprüfung und Prüfung des Entwurfs durch andere EU-Institutionen eingeleitet, der noch andauert.
(Im Gegensatz dazu wurde das EU-US-Datenschutzschild im Februar 2016 angekündigt und im Juli offiziell angenommen und Anfang August desselben Jahres in Betrieb genommen. Der EuGH brauchte dann etwas mehr als vier Jahre, um es zurückzuziehen . Es gibt also sicherlich einiges darüber zu lernen, dass der Gesetzgeber hier hastig handelt und nach Belieben Buße tut.)
Bereits im April letzten Jahres schlug die Kommission vor, dass der gesamte Prozess zur Ersetzung des Datenschutzschilds bis Ende 2022 „abgeschlossen“ sein könnte. Und wenn „abgeschlossen“ angenommen bedeutete, war dies sicherlich zu optimistisch, da wir uns tief im Frühjahr 2023 befinden und der Prozess rumpelt An.
Einige Berichte deuten darauf hin, dass der DPF nicht vor dem Sommer eingeführt wird (Reuters zitiert ungenannte Beamte, die vermuten, dass es bis Juli fertig sein könnte).
Auf die Frage nach dem voraussichtlichen Datum für die Annahme sagte ein Sprecher der Kommission gegenüber TechCrunch, er könne keinen genauen Zeitplan angeben, da an dem Prozess mehrere Interessengruppen beteiligt seien.
Er erklärte auch, dass es die Stellungnahme des EDPB „sorgfältig“ analysiert und daran arbeitet, seine Kommentare und Bitten um Klarstellungen zu bearbeiten, bevor es in die nächste Phase des Annahmeverfahrens übergeht – was die Einholung der Zustimmung eines Ausschusses aus Vertretern der EU-Mitgliedstaaten beinhalten wird.
Die Kommission wird ganz klar vermeiden wollen, dass es zu einem dritten Streik kommt – was wahrscheinlich erklärt, warum die Annahme länger dauert als erwartet. Und warum es darauf achtet, nicht beschuldigt zu werden, Bedenken des EDPB und anderer ignoriert zu haben.
Die EU-US-Daten von Meta fließen in den Frame
Während die Feinheiten der EU-Komitologie ein äußerst trockenes Thema zu sein scheinen, gibt es eine sehr greifbare Konsequenz, die mit der Annahme des DPF verbunden ist. Dies liegt daran, dass der Technologieriese Meta, der Eigentümer von Facebook und Instagram, mit einer Anordnung zur Aussetzung von Daten konfrontiert ist, die ihn dazu zwingen könnte, seine Exporte von EU-Nutzerdaten einzustellen. Und da Facebook nicht föderiert ist, könnte es gezwungen sein, den Dienst für EU-Nutzer abzuschalten, um der Anordnung nachzukommen.
Bereits im Herbst 2020 erließ Irlands Datenwächter eine vorläufige Anordnung dazu. Danach wurde Meta eine Aussetzung gewährt und auch eine gerichtliche Überprüfung beantragt – so dass es ihr gelang, den Prozess eine Weile hinauszuzögern. Aber bei dieser speziellen rechtlichen Anfechtung war es im Mai 2021 aus dem Ruder gelaufen. Im Februar 2022 wurde dann ein überarbeiteter Entscheidungsentwurf herausgegeben.
Die ursprüngliche Herausforderung für Metas Datenströme zwischen der EU und den USA hängt von demselben Kernproblem zwischen US-Überwachung und EU-Datenschutz ab – aber die Beschwerde geht tatsächlich auf das Jahr der Snowden-Enthüllungen zurück. Es gab also rund ein Jahrzehnt regulatorischer Schlägereien zu diesem Thema und immer noch keine endgültige Entscheidung.
Doch ein Ende ist – theoretisch – endlich in Sicht.
Gestern die EDSA bestätigte, dass es eine verbindliche Entscheidung zu diesem Thema getroffen hat – was bedeutet, dass eine endgültige Entscheidung von Metas federführender EU-Datenschutzbehörde, der irischen Datenschutzkommission (DPC), innerhalb eines Monats erlassen werden muss. Also Mitte Mai.
Im vergangenen Sommer vermied der Social-Media-Riese nur knapp ein früheres Cut-off-Szenario, als die EU-Datenschutzbehörden sich über den Entscheidungsentwurf des DPC nicht einig waren – und damit ein in die Datenschutz-Grundverordnung (DSGVO) integriertes Streitbeilegungsverfahren einleitete, das schließlich zum EDPB führte einschreiten und eine verbindliche Entscheidung treffen müssen.
Wir wissen noch nicht, was in der Entscheidung steht, aber angesichts der vorläufigen Anordnung zur Suspendierung scheint es unwahrscheinlich, dass der Vorstand zu einem radikal anderen Ergebnis kommen würde. Und Da sich dieser gewundene DSGVO-Durchsetzungsprozess dem Ende zuneigt, stellt sich nun die Frage, was zuerst kommen wird: Eine Anweisung an Meta, seine EU-US-Datenflüsse zu unterbrechen – oder die Einführung des EU-US-DPF?
Das letztere Szenario würde Meta natürlich eine neue Notausstiegsluke bieten, die verwendet werden kann, um eine Suspendierungsanordnung zu vermeiden.
Wenn der DPF vor der endgültigen Bestellung des DPC eintrifft, ist es das gleiche Szenario: Das Unternehmen wird den Rahmen auf hoher Ebene nutzen, um seinen Anspruch, die EU-Vorschriften vollständig einzuhalten, aufzufrischen und die Dose zurück auf die Straße zu treten (wahrscheinlich für viele Jahre mehr).
Aber selbst wenn eine Anordnung, dass Meta seinen Datenfluss aussetzt, zuerst kommt, wird das Unternehmen sicherlich alle seine lokalen Anwälte auf die Suche nach neuen Wegen werfen, um das Messer zu verzögern. Ein Rechtsbehelf gegen jede behördliche Anordnung, den Export von EU-Nutzerdaten zu stoppen, ist sicher. Es kann auch versuchen, die Vollstreckung auszusetzen, bis das Ergebnis seiner Berufung vorliegt. Obwohl es nicht sicher ist, ob die Gerichte das zulassen würden.
Es gibt aber auch noch eine andere Möglichkeit. Die endgültige Entscheidung des DPC könnte Meta einen Zeitraum geben, um den Datenfluss zu unterbrechen – sagen wir zwei oder drei Monate –, was ihm gerade genug Zeit verschaffen könnte, um den DPF zu verabschieden und es ihm zu ermöglichen, seine Rechtsgrundlage durch die Nutzung des neuen Rahmens neu zu starten und entgehen Sie der drohenden Abschaltung noch einmal.
Letzten Monat gab die Kommissarin des DPC, Helen Dixon, zu Reuters Die Zeitlinie war „auf den Draht heruntergekommen“.
Datenschutzbeobachter werden dies sicherlich genau prüfen, um zu sehen, ob Meta endlich vor einer endgültigen Abrechnung mit Datenübertragungen steht. Oder wenn es sich auf eine andere Art und Weise einklinkt, um Regulierungsbehörden und Gesetzgeber gegeneinander auszuspielen.