Icon Datenschutzbeauftragter
Datenschutz

Das Scheitern des EU-US Privacy Shield – Update

Simon Lang
Verfasst von: Simon Lang
Produktmanager

In dieser Woche wollen wir einen Blick über den Atlantik werfen und einmal beleuchten, wie die Amerikaner über das Scheitern des EU-US Privacy Shield denken. Die nachfolgenden Zeilen spiegeln dabei nicht unsere Meinung wider, sondern sind lediglich die nüchterne Darlegung des Sachverhaltes – aber eben aus amerikanischer Sicht.

Gemeinsame Stellungnahme des „Departement of Commerce“, „Departement of Justice“ und „Office of the Director of National Intelligence“ vom 28. September 2020 (Whitepaper)

Das Whitepaper trägt den klangvollen Namen „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II [1]“ – oder zu Deutsch: „Informationen über US-Datenschutzgarantien, die für SCCs (Anm.: EU-Standardvertragsklauseln) und andere EU-Rechtsgrundlagen nach Schrems II relevant sind“.

Direkt zu Beginn fasst das Dokument die wichtigsten Inhalte der darauffolgenden 22 Seiten zusammen:

  1. Die meisten US-Unternehmen verarbeiten keine Daten, die für US-Geheimdienste interessant sind und es gibt keine Begründung, die zu dieser Annahme führen könnte.
     
  2. Die US-Regierung teilt häufig Geheimdienstinformationen mit EU-Mitgliedsstaaten, einschließlich Informationen, die von Unternehmen auf Basis von FISA 702 bereitgestellt wurden, um Terrorismus, die Verbreitung von Waffen und Cyberattacken zu bekämpfen. Der Austausch von FISA 702-Informationen und der damit einhergehende Schutz der Regierungen und Bevölkerungen der Mitgliedsstaaten dient damit zweifellos dem öffentlichen Interesse der Europäischen Union.
     
  3. Das US-amerikanische Recht hält eine Vielzahl an öffentlichen Informationen über den Schutz der Privatsphäre und den Zugang der Regierung zu Daten zum Zwecke der nationalen Sicherheit bereit. Dies schließt Informationen ein, die in der Entscheidung 2016/1250 (Durchführungsbeschluss über die Angemessenheit des EU-US Privacy Shield) nicht erfasst wurden bzw. sich erst nach 2016 ergeben haben oder vom EuGH weder berücksichtigt noch angesprochen wurden.

Auf den darauffolgenden Seiten werden die drei Punkte näher erläutert und mit (eindrucksvollen) Beispielen untermauert. Obwohl viele Informationen wohl eher dazu dienen, den „Schwarzen Peter“  der EU und dem EuGH zuzuschieben, enthält das Whitepaper auch eine Reihe weiterer aufmerksamkeiterregender Anmerkungen. So wird behauptet, dass, entgegen der Urteilsbegründung des EuGH, sehr wohl rechtliche Schritte gegen die „Schnüffelpraxis“ der Geheimdienste, unternommen werden können – auch von EU-Bürgerinnen und Bürgern. Jedoch nur, wenn ein Missbrauch der Daten vorliegt.

Darüber hinaus könne nicht die Rede davon sein, dass US-Geheimdienste abseits richterlicher Zustimmung auf Daten der US-Anbieter zugreifen können. Vielmehr wird an vielen Stellen deutlich aufgezeigt, welch komplexe Freigabe-Mechanismen eingehalten werden müssen, um gezielt auf Daten einzelner Personen zugreifen zu dürfen. Auch hier lässt sich eine gewisse Divergenz zum EuGH-Urteil erkennen.

Wer nun am Ende recht hat – die US-amerikanischen Behörden oder der EuGH – muss wohl erst noch geklärt werden. Das vorliegende Whitepaper versucht das Urteil des EuGH ad absurdum zu führen, in dem es ihm vorwirft, der EuGH habe viele Informationen und Gesetze der USA bei der Urteilsbegründung nicht berücksichtigt. Ob dies bereits eine Taktik für die Verhandlung und Neugestaltung eines „Privacy Shield 2.0“ ist, bleibt abzuwarten – Sinn würde es ergeben.

Was macht eigentlich die Datenschutzkonferenz (DSK)?

Die Datenschutzkonferenz hat in maximaler Uneinigkeit die “Bewertung seines Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen“ [2]. Auf gut Deutsch: Die DSK kommt mehrheitlich (9:8 Stimmen) zum Entschluss, das Microsoft Office 365 nicht datenschutzkonform einzusetzen ist. Ein Paukenschlag? Nein! Eher ein Verwirrung stiftender Beschluss, der niemandem weiterhilft. Die Bewertung des Arbeitskreises basierte auf den Microsoft Online Service Terms (OST) vom Januar 2020, welche seitdem zweimal überarbeitet und veröffentlicht wurden – letztmalig im September 2020. Zudem konnten auch nicht die aktuellen Erkenntnisse aus dem Schrems II-Urteil des EuGH berücksichtigt werden.

Die Kritik seitens der Landesdatenschutzbehörden Baden-Württemberg, Bayern, Hessen und Saarland, die Bewertung sei „zu undifferenziert“, ist wohl angebracht. Nichtsdestotrotz könnte diese Bewertung Microsoft wieder an den Verhandlungstisch mit der DSK bringen – was zu begrüßen wäre.

Apropos DSK. Von Behördenseite vernimmt man Aussagen, dass der EDPB Ende Oktober Hilfestellungen zu den „weiteren Garantien“ im Rahmen der EU-Standardvertragsklauseln veröffentlichen möchte. Man darf gespannt sein, wie diese „weiteren Garantien“ auszusehen haben und ob einzelne große Hersteller (Microsoft, AWS, Google usw.) diese bereits umsetzen. Aus Kreisen von Microsoft ist man zumindest von den bereits heute bestehenden Maßnahmen überzeugt.

Das Thema „Privacy Shield“ beschäftigt weiterhin die Behörden, Hersteller und uns Datenschutzbeauftragte. Ein Ende ist alsbald nicht in Sicht. Die Hilfestellung des EDPB könnte jedoch etwas Licht ins Dunkel bringen. Und bis dahin halten wir Sie selbstverständlich regelmäßig auf dem Laufenden.

[1] Siehe https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF, zuletzt abgerufen am 06.10.2020

[2] Siehe: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/10/Gemeinsame_PM_zu_Microsoft_Office365.pdf, zuletzt abgerufen am 06.10.2020

   > 8. Sondernewsletter Ausgabe downloaden.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.