Brüssel, 28. Februar – Der EDSA nahm seine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum Datenschutzrahmen EU-USA an. In seiner Stellungnahme begrüßt der EDSA wesentliche Verbesserungen wie die Einführung von Anforderungen, die die Grundsätze der Notwendigkeit und Verhältnismäßigkeit für die Datenerfassung durch die US-Nachrichtendienste konkretisieren, und den neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU. Gleichzeitig äußert er jedoch auch Bedenken und ersucht um Klarstellung zu mehreren Punkten. Diese betreffen insbesondere bestimmte Rechte der betroffenen Personen, die Weiterübermittlung, den Umfang der Ausnahmen, die befristete Sammelerhebung von Daten und die praktische Funktionsweise des Rechtsbehelfsverfahrens. Der EDSA würde es begrüßen, wenn nicht nur das Inkrafttreten, sondern auch schon die Annahme des Beschlusses von der Einführung aktualisierter Strategien und Verfahren zur Umsetzung des Executive Order 14086 durch alle US-Nachrichtendienste abhängig gemacht würde. Der EDSA empfiehlt der Kommission, diese aktualisierten Strategien und Verfahren zu bewerten und dem EDSA ihre Bewertung zu übermitteln.
Dazu sagte die EDSA-Vorsitzende Andrea Jelinek: „Ein hohes Datenschutzniveau ist für den Schutz der Rechte und Freiheiten des Einzelnen in der EU von wesentlicher Bedeutung. Wir erkennen zwar an, dass der US-Rechtsrahmen erheblich verbessert wurde, empfehlen jedoch, den geäußerten Bedenken Rechnung zu tragen und Klarstellungen vorzunehmen, die erforderlich sind, um sicherzustellen, dass der Angemessenheitsbeschluss Bestand hat. Aus demselben Grund sind wir der Ansicht, dass nach der ersten Überprüfung des Angemessenheitsbeschlusses weitere Überprüfungen mindestens alle drei Jahre stattfinden sollten, wozu wir gerne beitragen werden.“
Der von der Europäischen Kommission am 13. Dezember 2022 veröffentlichte Entwurf eines Angemessenheitsbeschlusses stützt sich auf den EU-US-Datenschutzrahmen, der den vom EuGH im Schrems II-Urteil für ungültig erklärten Datenschutzschild ersetzen soll. Sein wichtigster Bestandteil sind die Grundsätze des Datenschutzrahmens EU-USA, die vom US-Handelsministerium herausgegeben wurden. Der Datenschutzrahmen gilt nur für US-Einrichtungen, die sich selbst zertifiziert haben. Der EDSA hat nun seine Stellungnahme zum Beschlussentwurf angenommen, in der sowohl die kommerziellen Aspekte als auch Datenzugang und -nutzung durch US-Behörden aufgegriffen werden.
Was die kommerziellen Aspekte anbelangt, so begrüßt der EDSA eine Reihe von Aktualisierungen der Grundsätze, stellt aber auch fest, dass einige von ihnen im Wesentlichen gegenüber dem Datenschutzschild unverändert geblieben sind. Daher bestehen nach wie vor einige Bedenken, z. B. in Bezug auf Ausnahmen vom Zugangsrecht, das Fehlen von wichtigen Begriffsdefinitionen, die mangelnde Klarheit über die Anwendung der Grundsätze des Datenschutzrahmens auf Auftragsverarbeiter, die breite Ausnahme vom Recht auf Zugang zu öffentlich zugänglichen Informationen und das Fehlen spezifischer Vorschriften für automatisierte Entscheidungsfindung und Profilerstellung. Der EDSA bekräftigt ferner, dass das Schutzniveau nicht durch Weiterübermittlungen untergraben werden darf. Daher fordert er die Kommission auf, klarzustellen, dass die Garantien, die der ursprüngliche Empfänger dem Einführer in dem Drittland auferlegt hat, vor einer Weiterübermittlung im Einklang mit den Rechtsvorschriften des Drittlandes Wirkung entfalten müssen.
Darüber hinaus ersucht der EDSA die Kommission, den Umfang der Ausnahmen in Bezug auf die Pflicht zur Einhaltung der Grundsätze des Datenschutzrahmens klarzustellen, und betont, wie wichtig eine wirksame Aufsicht und die Durchsetzung dieses Rahmens ist. Diese Aspekte wird der Ausschuss genau beobachten, ebenso wie die Wirksamkeit der Rechtsbehelfe, die betroffenen Personen in der EU, deren Daten unter Verstoß gegen den Rahmen verarbeitet werden, zur Verfügung gestellt werden.
In Bezug auf den Zugang der US-Behörden zu Daten, die in die USA übermittelt werden, erkennt der EDSA die erheblichen Verbesserungen an, die durch die Executive Order 14086 bewirkt wurden. Die Executive Order (Erlass der Exekutive) führt die Konzepte der Notwendigkeit und Verhältnismäßigkeit in Bezug auf die nachrichtendienstliche Erfassung von Daten ein.
Darüber hinaus schafft der neue Rechtsbehelfsmechanismus Rechte für EU-Bürger und unterliegt der Überprüfung durch die Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (Privacy and Civil Liberties Oversight Board, PCLOB). Zudem sieht der Erlass mehr Garantien vor, um die Unabhängigkeit des Datenschutzgerichts (DPRC) zu gewährleisten, als im früheren Ombudsmechanismus, und führt wirksamere Befugnisse zur Behebung von Verstößen ein, einschließlich zusätzlicher Garantien für betroffene Personen.
Der EDSA betont, dass die praktische Anwendung der neu eingeführten Grundsätze der Notwendigkeit und Verhältnismäßigkeit genau verfolgt werden muss. Weitere Klarheit ist auch in Bezug auf die vorübergehende Sammelerhebung und die weitere Speicherung und Verbreitung der gesammelten Daten erforderlich.
Ferner äußert der EDSA Bedenken hinsichtlich des Fehlens einer Pflicht zur Genehmigung von Sammelerhebungen gemäß Executive Order 12333 durch eine unabhängige Behörde, und weil keine systematische unabhängige Ex-post-Überprüfung durch ein Gericht oder eine gleichwertige unabhängige Stelle gewährleistet ist. In Bezug auf die vorherige unabhängige Genehmigung von Überwachungsmaßnahmen nach § 702 des Gesetzes zur gerichtlichen Kontrolle der Nachrichtendienste bedauert der EDSA, dass das für die Kontrolle der Nachrichtendienste zuständige Gericht bei der Zertifizierung von Programmen zur Überwachung von Ausländern nicht überprüft, ob die Executive Order 14086 eingehalten wurde, obwohl die Nachrichtendienste, die das Programm durchführen, an diese gebunden sind. Besonders nützlich wären Berichte des PCLOB über die Art und Weise, wie die Garantien der Executive Order 14086 umgesetzt werden und wie diese Garantien bei der Erhebung von Daten gemäß § 702 FISA und Executive Order 12333 angewandt werden. Der Ausschuss erkennt an, dass das Rechtsbehelfsverfahren mit zusätzlichen Garantien wie Sonderanwälten und der Überprüfung durch das PCLOB ausgestattet wurde. Gleichzeitig ist er besorgt über die allgemeine Verwendung der Standardantwort des Datenschutzgerichts, in der dem Beschwerdeführer entweder mitgeteilt wird, dass keine erfassten Verstöße festgestellt wurden, oder dass eine angemessene Abhilfe angeordnet wurde, insbesondere weil gegen Entscheidungen dieses Gerichts kein Rechtsmittel eingelegt werden kann. Der EDSA fordert die Kommission daher auf, die Funktion des Rechtsbehelfs in der Praxis genau zu verfolgen.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.