Data Privacy Framework ist nur eine "Kopie des Privacy Shield" und muss scheitern.

EU und USA einigen sich auf ein neues Gesetz zum Datenaustausch: Data Privacy Framework. Das Problem: Die Überwachung durch die USA hat sich nicht geändert.

Die EU dachte sich: Lasst es uns noch einmal versuchen! Nachdem bereits mehrere Datenschutzabkommen zwischen der EU und den USA gescheitert sind, wagen sie nun mit dem Data Privacy Framework einen weiteren Versuch. Doch die Überwachung durch die USA - das Grundproblem des Abkommens über das Teilen von Daten - hat sich in der Zwischenzeit nicht auf wundersame Weise verflüchtigt. Deshalb ist das neue Data Privacy Framework zum Scheitern verurteilt - und das ist auch gut so!


Kritik am Data Privacy Framework

Data Privacy Framework ist laut dem prominenten Datenschutzaktivisten Max Schrems einfach eine Kopie von Privacy Shield - einem Gesetz, das vom Europäischen Gerichtshof (EuGH) aufgrund von Datenschutzbedenken für EU-Bürger für ungültig erklärt wurde.

Das Problem ist, dass US-Geheimdienste problemlos Daten von amerikanischen Technologieunternehmen anfordern können, die auch Daten von EU-Bürgern enthalten. Diese Daten sollten jedoch durch die europäische Datenschutz-Grundverordnung vor übermäßigen Überwachungsmaßnahmen geschützt werden. Es ist also illegal, Daten von EU-Bürgern in die USA zu schicken und dort zu speichern.

Mit dem Data Privacy Framework erklärt die EU nun einfach den Schutz der Daten vor US-Geheimdiensten für ausreichend.

Das wird natürlich heftig kritisiert.

Max Schrems, der Anwalt, der Facebook verklagt hat, weil das Unternehmen weiterhin Daten von EU-Bürgern in den USA speichert, sagte dem Spiegel:

“Man sagt, die Definition von Wahnsinn ist, dass man das Gleiche immer wieder tut und trotzdem ein anderes Ergebnis erwartet. (…) Wir hatten jetzt ‘Harbors’, ‘Umbrella’, ‘Shields’ und ‘Frameworks’ - aber keine substanzielle Änderung des US-Überwachungsrechts.”Die aktuellen Presseerklärungen seien fast eine wortwörtliche Kopie derer von vor 23 Jahren: “Die bloße Behauptung, etwas sei ‘neu’, ‘robust’ oder ‘effektiv’, reicht vor dem Gericht nicht aus. Wir brauchten eine Änderung im US-Überwachungsrecht und die gibt es nicht.”

Neu im Data Privacy Framework ist nur die EU-Definition der US-Überwachung: Die EU-Kommission hat den Datenschutz in den USA als gleichwertig mit dem Schutzniveau in der EU erklärt. Damit schafft die Behörde eine neue Rechtsgrundlage für Unternehmen, die Daten von EU-Bürgern nach Amerika übermitteln wollen.

Seitdem der EuGH das europäisch-amerikanische Datenabkommen “Privacy Shield” im Jahr 2020 für rechtswidrig erklärt hat, ist die Rechtslage unsicher. Mit dem Data Privacy Framework erhalten Unternehmen auf beiden Seiten des Atlantiks nun wieder eine Rechtsgrundlage für den Datenaustausch, was ein wichtiger Durchbruch ist - für die Unternehmen, nicht für die Menschen.

Klage vor dem EuGH

NOYB hat jedoch bereits angekündigt, das Gesetz vor den Europäischen Gerichtshof zu bringen.

”Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen. Das angeblich “neue” transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten “Privacy Shield”-Abkommens. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nachwievor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen.”

Genau diese Kritik ist es, die zur Ungültigkeit von Privacy Shield geführt hat. Datenschützer kritisieren daher, dass auch das neue Gesetz nicht halten wird.

Data Privacy Framework birgt die gleichen Überwachungsrisiken für die persönlichen Daten der europäischen Bürger wie Privacy Shield.

Es bleibt nun abzuwarten, bis der Fall vor Gericht gebracht wird, um eine Entscheidung für einen besseren Schutz der Daten von EU-Bürgern zu erhalten.

Warum das Data Privacy Framework kritisiert wird

Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA), das auf das berüchtigte Privacy Shield (das auf das Safe-Harbor-Abkommen folgte) folgt und die Übermittlung personenbezogener Daten aus der EU in die USA regeln soll - hauptsächlich durch US-Unternehmen wie Facebook und Google. Damit soll sichergestellt werden, dass US-Unternehmen bestimmte Datenschutzstandards einhalten und einen angemessenen Schutz für personenbezogene Daten bieten.

Das Data Privacy Framework steht jedoch stark in der Kritik und wird letztlich ein ähnliches Schicksal erleiden wie Privacy Shield. Es werden mehrere Faktoren kritisiert:

  1. Unzureichender Schutz vor US-Überwachung: Das Problem ist (wie bei Privacy Shield), dass die US-Überwachungsprogramme, wie die Massenüberwachung durch die National Security Agency (NSA), nicht mit EU-Datenschutzstandards übereinstimmen. Das Data Privacy Framework bietet keinen ausreichenden Schutz gegen diese Praktiken und ist daher nicht mit dem EU-Recht vereinbar.

  2. Fehlende Rechtsmittel für EU-Bürger: Das Data Privacy Framework sieht keine wirksamen Rechtsbehelfe oder Rechtsmittel für EU-Bürger vor, deren personenbezogene Daten von US-Unternehmen falsch gehandhabt werden könnten.

  3. Unzureichende Aufsicht und Durchsetzung: Kritiker bemängeln, dass es dem Data Privacy Framework an wirksamen Aufsichts- und Durchsetzungsmechanismen mangelt. Die Verantwortung für die Einhaltung der Vorschriften liegt in erster Linie bei den US-Behörden, die nicht ausreichend ausgestattet sind, um Tausende von teilnehmenden Unternehmen angemessen zu überwachen.

  4. Ungelöste Bedenken hinsichtlich des Datenzugriffs durch US-Behörden: Das Abkommen geht nicht auf die umfassendere Frage des Zugriffs der US-Regierung auf personenbezogene Daten zu Zwecken der nationalen Sicherheit ein. Beim Privacy Shield betonte der EuGH in seinem Urteil, dass die Zugriffs- und Überwachungspraktiken der US-Geheimdienste nicht verhältnismäßig oder begrenzt seien, was Bedenken hinsichtlich des Schutzes der Datenschutzrechte der EU-Bürger aufkommen ließ - dasselbe gilt für den neuen Data Privacy Framework .

Der Hauptkritikpunkt am Data Privacy Framework ist, dass es kein angemessenes Schutzniveau für personenbezogene Daten gibt, die in die USA übermittelt werden.

Schützen Sie Ihre Daten mit Verschlüsselung

Der beste Weg, Ihre Daten vor illegaler Massenüberwachung zu schützen, besteht darin, so viele Daten wie möglich zu verschlüsseln.

Glücklicherweise gibt es vor allem in Europa zahlreiche Dienste, die sich auf Datenschutz und Verschlüsselung fokussieren und es Ihnen ermöglichen, sicher und privat online zu kommunizieren - ohne das Risiko, überwacht zu werden.