1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Übermittlung personenbezogener Daten zwischen der EU und den USA beruhte bislang auf der Annahme einer unabhängigen Aufsichtsbehörde in den USA; durch die Entscheidung des US Supreme Court in Trump v. Slaughter gerät diese Annahme zur Unabhängigkeit der FTC ins Wanken
  • Das EU-Vertragsrecht verlangt, dass die Aufsicht über den Datenschutz durch unabhängige Behörden erfolgt; auch das EU-US Data Privacy Framework von 2023 stützte sich maßgeblich auf die FTC
  • Da Safe Harbour und Privacy Shield bereits in Schrems I·II für ungültig erklärt wurden, sieht noyb im neuen Rahmen von 2023 eine Wiederholung derselben Schwachstellen
  • Vorläufig werden Datentransfers nicht vollständig gestoppt; bis die European Commission den Beschluss zurücknimmt oder der CJEU ihn für ungültig erklärt, bleibt die aktuelle Entscheidung formal gültig
  • Auch Unternehmen, die SCCs oder BCRs verwenden, müssen möglicherweise ihre Transfer Impact Assessments überprüfen, die sich auf die Unabhängigkeit von Rechtsbehelfs- und Aufsichtsstellen in den USA stützen; noyb fordert die Rücknahme des EU-US-Datenabkommens

Geschwächte FTC-Unabhängigkeit erschüttert das EU-US-Transferregime

  • Der US Supreme Court entschied in Trump v. Slaughter, dass die FTC möglicherweise nicht mehr unabhängig ist
  • Seit 2000 hat sich die EU bei der Durchsetzung von Vereinbarungen zur Übermittlung personenbezogener Daten zwischen der EU und den USA auf eine unabhängige FTC gestützt
  • Nach EU-Vertragsrecht muss die Aufsicht über den Datenschutz durch unabhängige Behörden erfolgen
  • Im EU-US Data Privacy Framework von 2023 führte die European Commission die FTC 259 Mal als Grundlage an
  • noyb und Max Schrems fordern, dass die European Commission ihre Angemessenheitsentscheidung für die USA geordnet zurücknimmt, da es in den USA keine unabhängige Aufsichtsbehörde mehr gebe

Wiederholte Ungültigerklärungen und Schwachstellen des neuen Abkommens von 2023

  • Seit 1995 verbietet die EU grundsätzlich den Export personenbezogener Daten in Drittländer, um eine Umgehung der EU-Datenschutzregeln zu verhindern
    • Für notwendige Übermittlungen, etwa bei Hotelbuchungen oder komplexen Transaktionen, gibt es Ausnahmen
    • Viele EU-Unternehmen haben die Verarbeitung personenbezogener Daten an US-Cloud-Anbieter ausgelagert
  • Seit 2000 hat die European Commission die USA wiederholt als beim Datenschutz „angemessenes“ Land anerkannt und damit freien Datenverkehr zwischen der EU und den USA ermöglicht
    • Der CJEU erklärte Safe Harbour in Schrems I für ungültig
    • Der CJEU erklärte Privacy Shield in Schrems II für ungültig
    • Hauptgründe waren US-Überwachungsgesetze und fehlende gerichtliche Rechtsbehelfe in den USA
  • Der CJEU sah auch bei staatlicher Überwachung einen Bedarf an einem unabhängigen rechtlichen Rechtsbehelfsmechanismus
    • Die Biden-Regierung schuf den Data Protection Review Court
    • Diese Einrichtung ist entgegen ihrem Namen eine Exekutivstelle innerhalb des US-Justizministeriums
    • Ihre Unabhängigkeit hängt von Bidens Executive Order ab, die Trump jederzeit ändern kann und die den Präsidenten nicht bindet
  • Die Slaughter-Entscheidung wird als Fall behandelt, in dem der Supreme Court eine 180-Grad-Wende gegenüber bisheriger Rechtsprechung vollzogen und die Unabhängigkeit der FTC als verfassungswidrig eingestuft hat
    • Dies folgt der unitary executive theory, nach der der US-Präsident alle US-Exekutivbehörden kontrollieren muss
    • Diese Logik betrachtet US-Gesetze, die mehrere Behörden unabhängig machen, als verfassungswidrig

Unmittelbare Wirkung und Punkte, die Unternehmen erneut prüfen sollten

  • Die Auswirkungen sind nicht unbegrenzt
    • Die Entscheidung der European Commission bleibt formal gültig, bis die Commission sie zurücknimmt oder der CJEU sie für ungültig erklärt
    • Daher gibt es keine unmittelbare rechtliche Wirkung
    • Die GDPR regelt nur die Übermittlung personenbezogener Daten; nicht-personenbezogene Daten können frei fließen
    • Article 49 GDPR erlaubt notwendige Übermittlungen in Drittländer, nicht jedoch strukturelles Offshoring außerhalb der EU, wenn es nicht strikt erforderlich ist
  • Auch SCCs und BCRs können betroffen sein
    • Einige Unternehmen verwenden statt des EU-US Framework formal SCCs oder BCRs
    • Auch in diesem Fall ist in der Regel ein Transfer Impact Assessment erforderlich, das sich auf die Unabhängigkeit von US-Exekutivstellen wie dem PCLOB oder dem Data Protection Review Court stützt
    • Controller, die sich nicht auf einen formalen Commission Decision stützen, müssen ihre Bewertung sofort aktualisieren
  • noyb hat der European Commission ein offizielles Schreiben geschickt und fordert darin die geordnete Rücknahme des EU-US-Datenabkommens
    • Mehrere EU-Mitgliedstaaten bewegen sich bereits in Richtung eines Ansatzes der „digital sovereignty“ und haben eine Abkopplung von US-Dienstleistern angekündigt
    • Auch einige US-Dienstleister arbeiten an einer separaten EU-Datenverarbeitung
    • noyb will in den kommenden Wochen Klage erheben, damit der CJEU das aktuelle Abkommen für ungültig erklären kann
    • Solche Verfahren dauern bis zur endgültigen Entscheidung normalerweise 2 bis 3 Jahre

1 Kommentare

 
GN⁺ 4 시간 전
Kommentare auf Lobste.rs
  • Das ist eine gute Sache. Die EU und der Rest der Welt, der ihrem Beispiel folgen wird, sollten nicht so abhängig von einem Schurkenstaat sein, der darauf besteht, dass seine eigene Autorität über allem steht und andere Länder oder Regierungen nicht mehr als gleichrangig behandelt.

    • Stimme zu 100 % zu, aber US-BigTech wird eine Armee von Lobbyisten schicken, damit sich nichts ändert.
    • Eine Fragmentierung des Internets ist nie etwas Gutes und ein Zeichen dafür, dass politische Beziehungen unter Druck geraten. Es geht nicht darum, welche Seite das kleinere Übel ist, sondern darum, dass die Beteiligten nicht bereit sind, zusammenzuarbeiten.
  • Ich bin wütend über diese Entscheidung des Supreme Court der USA, aber diese Zusammenfassung ist etwas übertrieben. Denn die sogenannten „unabhängigen“ Behörden waren von Anfang an nie besonders unabhängig.
    Ich vermute, der Autor ist vielleicht auf die gängige Formulierung hereingefallen und hat ihren Charakter von Beginn an falsch verstanden. Mir fällt kein Einwand gegen die US-FTC nach Slaughter ein, der in der Praxis erhoben werden könnte und nicht genauso schon vor Slaughter gegolten hätte.
    Wenn es einen Unterschied gibt, dann vielleicht im äußeren Anschein? Und reicht allein diese scheinbare Veränderung aus, damit die EU tätig wird? Wenn ja, gut, aber ich glaube nicht, dass diese Entscheidung den Charakter der „Unabhängigkeit“ der US-Regulierungsbehörden tatsächlich wesentlich verändert hat. Denn eine solche Unabhängigkeit gab es von Anfang an nicht.
    Meine Wut hat nichts mit den Auswirkungen auf die Scheinunabhängigkeit der Behörden zu tun; es geht um eine rechtlich subtilere Frage, die auch etwas vom Thema dieses Beitrags und von Lobsters insgesamt abweicht.

    • noyb behauptet nicht, dass die FTC und der Data Protection Review Court unabhängig seien. Vielmehr bezeichnet noyb das EU-US Data Privacy Framework als „weitgehend eine Kopie“ früherer Abkommen, die sie erfolgreich für ungültig erklären ließen.
      Der Kern des Artikels ist, dass die EU-Kommission die Fiktion nutzte, diese Institutionen seien ausreichend unabhängig, um die Übermittlung personenbezogener Daten in die USA zu rechtfertigen.
    • Aus dem Originaltext allein wird es nicht ganz klar, aber die Organisation, die dieses Argument vorbringt, scheint zuvor direkt daran beteiligt gewesen zu sein, zwei Safe-Harbor-ähnliche Regelungen zu Fall zu bringen.