Wird das Trans-Atlantic Data Privacy Framework den US-EU Privacy Shield ersetzen?

Nach fast zwei Jahren intensiver Verhandlungen haben sich die Europäische Kommission und die Vereinigten Staaten auf einen neuen Trans-Atlantic Data Privacy Framework geeinigt. Die Regelung stellt sicher, dass in die USA übermittelte Daten angemessen geschützt sind, und trägt dem Urteil des EU-Gerichtshofs (Schrems II) über sichere Datenströme und eine wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit Rechnung, das den Privacy Shield für ungültig erklärte.

Auf der Grundlage des neuen Frameworks werden Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen übermittelt werden können. Das neue Framework stellt Folgendes sicher:

• Der Zugriff der US-Nachrichtendienste auf Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig, also legitim ist;
• Die US-Nachrichtendienste werden Verfahren einführen, die gewährleisten, dass die Ziele der nationalen Sicherheit den Schutz der Privatsphäre und der Bürgerrechte des Einzelnen nicht in unverhältnismäßiger Weise beeinträchtigen;
• Beschwerden von EU-Bürgern über den Zugriff von US-Nachrichtendiensten auf ihre Daten werden im Rahmen eines neuen zweistufigen Rechtsbehelfssystems untersucht und gelöst; ein Data Protection Review Court (Datenschutzüberprüfungsgericht), der sich aus Personen zusammensetzt, die nicht der US-Regierung angehören, wird im Rahmen des neuen Frameworks über die Beschwerden entscheiden;
• Unternehmen, die aus der EU übermittelte Daten verarbeiten, müssen nach wie vor ihre Einhaltung der Grundsätze durch das US-Handelsministerium selbst bescheinigen;
• Es werden spezifische Überwachungs- und Überprüfungsmechanismen eingeführt.

Dieses neues Regelwerk wird eine stabile Grundlage für den transatlantischen Datentransfer bieten, der für die Wahrung der Rechte des Einzelnen und die Ermöglichung des transatlantischen Handels in allen Wirtschaftszweigen, einschließlich kleiner und mittlerer Unternehmen, unerlässlich ist.

Der Europäische Datenschutzausschuss (EDSA) begrüßte die Ankündigung der grundsätzlichen politischen Einigung zwischen der Europäischen Kommission und den Vereinigten Staaten am 25. März. In einer offiziellen Stellungnahme des EDSA wurden verschiedene Aspekte hervorgehoben:

1. Der EDSA weist darauf hin, dass diese Erklärung keinen Rechtsrahmen für die Übermittlung von Daten durch Datenexporteure aus dem EWR in die Vereinigten Staaten darstellt. Daher müssen Datenexporteure weiterhin geeignete Maßnahmen ergreifen, um der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH), insbesondere dem Urteil Schrems II vom 16. Juli 2020, nachzukommen.
2. Der EDSA wird die Verbesserungen, die das neue Regelwerk vor dem Hintergrund des EU-Rechts, der Rechtsprechung des EuGH und früherer Empfehlungen des Ausschusses bringen könnte, sorgfältig analysieren.
3. Der EDSA wird prüfen, ob die zu Zwecken der nationalen Sicherheit erhobenen personenbezogenen Daten auf das unbedingt erforderliche und angemessene Maß beschränkt sind.
4. Der EDSA wird auch untersuchen, inwieweit der neu angekündigte unabhängige Rechtsbehelfsmechanismus das Recht der EWR-Bürger auf einen wirksamen Rechtmittelweg und ein faires Verfahren wahrt.
5. Der EDSA wird bewerten, ob die im Rahmen dieses Mechanismus neu geschaffenen Organisationen Zugang zu relevanten Informationen, einschließlich personenbezogener Daten, haben und ob sie verbindliche Entscheidungen über Nachrichtendienste treffen können.
6. Der EDSA wird auch prüfen, ob die Entscheidungen oder die Untätigkeit dieser Behörde vor Gericht angefochten werden können.