Wir warten auf Schrems 3, hieß es auf Twitter, als letzte Woche bekannt wurde, dass das neue TransAtlanticDataPrivacyFramework als Nachfolger des Privacy Shield kommen wird und der Entwurf öffentlich wurde.
Das TransAtlanticDataPrivacyFramework soll nach Planung des US Handelsministeriums und auch der EU Kommission die vor dem EuGH durch Schrems 1 und Schrems 2 gescheiterten Abkommen nachfolgen. Die Kritikpunkte aus dem beiden Urteilen, die Prof. von Danwitz aus Deutschland als Berichterstatter begleitete, sollen nun beseitig sein. Dies vor allem durch die neue Executive Order von Biden, die z.B. Gerichte für EU Bürger einrichtet, um Betroffenenrechte in den USA durch setzen zu können.
Entwurf
Meldung
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631
Übersetzung der Meldung:
“Die Europäische Kommission hat heute den Prozess zur Annahme eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen eingeleitet, der den sicheren transatlantischen Datenverkehr fördern und die vom Gerichtshof der Europäischen Union in seinem Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausräumen wird.
Der heutige Beschlussentwurf folgt auf die Unterzeichnung einer US-Exekutivverordnung durch Präsident Biden am 7. Oktober 2022 sowie auf die vom US-Justizminister Merrick Garland erlassenen Vorschriften. Mit diesen beiden Instrumenten wird die von Präsidentin von der Leyen und Präsident Biden im März 2022 angekündigte Grundsatzvereinbarung in US-Recht umgesetzt.
Der Entwurf des Angemessenheitsbeschlusses, der die Bewertung des US-Rechtsrahmens durch die Kommission widerspiegelt und zu dem Schluss kommt, dass er vergleichbare Garantien wie die EU bietet, wurde nun veröffentlicht und dem Europäischen Datenschutzausschuss (EDSB) zur Stellungnahme übermittelt. Der Entscheidungsentwurf kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden.
Die wichtigsten Elemente
US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Den EU-Bürgern stehen mehrere Rechtsbehelfe zur Verfügung, wenn ihre personenbezogenen Daten unter Verstoß gegen den Rechtsrahmen verarbeitet werden, darunter kostenlose Verfahren vor unabhängigen Streitbeilegungsmechanismen und einem Schiedsgericht.
Darüber hinaus sieht der US-amerikanische Rechtsrahmen eine Reihe von Beschränkungen und Garantien für den Zugang zu Daten durch US-Behörden vor, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Dazu gehören auch die neuen Vorschriften, die durch die US-Exekutivverordnung eingeführt wurden, die die vom Gerichtshof der EU im Urteil Schrems II aufgeworfenen Fragen aufgreift:
Der Zugriff auf europäische Daten durch US-Geheimdienste wird auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;
Einzelpersonen in der EU werden die Möglichkeit haben, vor einem unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neu geschaffenes Datenschutzprüfungsgericht gehört, Rechtsmittel gegen die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste einzulegen. Das Gericht wird Beschwerden von Europäern unabhängig untersuchen und schlichten, auch durch die Annahme verbindlicher Abhilfemaßnahmen.
Europäische Unternehmen werden sich bei transatlantischen Datenübermittlungen auf diese Garantien verlassen können, auch wenn sie andere Übermittlungsmechanismen wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften nutzen.
Nächste Schritte
Der Entwurf des Angemessenheitsbeschlusses wird nun das Annahmeverfahren durchlaufen. In einem ersten Schritt hat die Kommission ihren Entscheidungsentwurf dem Europäischen Datenschutzausschuss (EDPB) vorgelegt. Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen. Sobald dieses Verfahren abgeschlossen ist, kann die Kommission die endgültige Angemessenheitsentscheidung erlassen.
Das Funktionieren des EU-US-Datenschutzrahmens wird in regelmäßigen Abständen von der Europäischen Kommission zusammen mit den europäischen Datenschutzbehörden und den zuständigen US-Behörden überprüft. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.
Hintergrund
Nach Artikel 45 Absatz 3 der Datenschutz-Grundverordnung ist die Kommission befugt, im Wege eines Durchführungsrechtsakts zu beschließen, dass ein Nicht-EU-Land ein ³eangemessenes Schutzniveau³c gewährleistet, d. h. ein Schutzniveau für personenbezogene Daten, das im Wesentlichen dem Schutzniveau in der EU entspricht. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) ohne weitere Hindernisse in ein Drittland fließen können.
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, der die vom Gerichtshof aufgeworfenen Fragen berücksichtigt.
Nach intensiven Verhandlungen zwischen den federführenden Verhandlungspartnern, Kommissar Reynders und Ministerin Raimondo, gaben Präsidentin von der Leyen und Präsident Biden im März 2022 eine grundsätzliche Einigung über einen neuen transatlantischen Datentransferrahmen bekannt. Im Oktober 2022 unterzeichnete Präsident Biden eine Durchführungsverordnung über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der Vereinigten Staaten im Bereich der Signalnachrichtendienste, die durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde.
Sobald der Angemessenheitsbeschluss angenommen ist, können europäische Einrichtungen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.”
Material und Links
Factsheet – Transatlantic Data Privacy Framework
Joint Statement on Trans-Atlantic Data Privacy Framework
Questions & Answers: Executive Order, EU-U.S. Data Privacy Framework
EU-US data transfers | European Commission
Intensifying Negotiations on transatlantic Data Privacy Flow