Update zum EU-US-Datentransfer: Privacy Shield 2.0 wird konkreter

Agreement in Principle abgeschlossen

Die Vereinigten Staaten und die Europäische Kommission haben sich auf hoher Flughöhe auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Die Vereinbarung ("agreement in principle") ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen der EU und den USA. Sie soll den transatlantischen Datenverkehr unter Berücksichtigung der Bedenken, die der EuGH 2020 in der Schrems II Entscheidung geäußert hatte, auf sichere Beine stellen. Damit soll ein wichtiger rechtlicher Mechanismus für die Übermittlung personenbezogener Daten aus der EU in die USA wiederhergestellt werden. Mit den Rahmenbedingungen für den Nachfolger des Privacy Shield wurde die Basis für einen neuen Anlauf zum Angemessenheitsbeschluss fixiert. Die DORDA Datenschutzexperten haben die wesentlichen, schon bekannten Details kurz für Sie zusammengefasst:

Rechtlicher Rahmen festgezurrt

Der neue transatlantische Datenschutzrahmen hat das gemeinsame Engagement der EU und USA für den Schutz der Privatsphäre, den Datenschutz, die Rechtsstaatlichkeit und die kollektive Sicherheit sowie die gegenseitige Anerkennung der Bedeutung des transatlantischen Datenverkehrs für beide Seiten als Ziel. Zur Schaffung einer dauerhaften und zuverlässigen Rechtsgrundlage wurden folgende Grundprinzipien seitens den USA zugesichert:

  • Stärkung des Schutzes der Privatsphäre und der Freiheiten von Betroffenen;
  • Schaffung eines neuen Regelwerks und verbindlichen Garantien zur Beschränkung des Datenzugriffs durch US-Geheimdienste, um sicherzustellen, dass die Überwachung für die Verfolgung bestimmter nationaler US-Sicherheitsziele notwendig und verhältnismäßig ist;
  • Die US-Nachrichtendienste sollen Verfahren einführen, die eine wirksame Einhaltung der neuen Standards für Datenschutz und bürgerliche Freiheiten gewährleisten;
  • Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfsmechanismus zu dem auch ein unabhängiges Datenschutzprüfungsgericht gehören soll. Es wird sich aus Personen zusammensetzen, die nicht der US-Regierung angehören und die uneingeschränkte Befugnis haben, über Klagen zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen;
  • EU-Bürger sollen zudem Zugang zu verschiedenen Möglichkeiten haben, um Beschwerden über teilnehmende Organisationen zu klären, einschließlich alternativer Streitbeilegung und verbindlicher Schiedsverfahren.
  • Weiters sollen teilnehmende Unternehmen und Organisationen, die den neuen Rahmen nutzen, wie bisher verpflichtet sein, die Grundsätze des Privacy Shield einzuhalten, einschließlich der Verpflichtung zur Selbstzertifizierung ihrer Einhaltung der Grundsätze durch das US-Handelsministerium.
  • Diese neuen Maßnahmen sollen von den US-Geheimdiensten so umgesetzt werden, dass ihre Bürger und die ihrer Verbündeten und Partner wirksam geschützt werden, und zwar im Einklang mit den hohen Schutzstandards, die dieser Rahmen bietet.

Ausblick

Die Vereinbarung stellt lediglich einen Rahmen für die weiteren Schritte dar. Die Teams der US-Regierung und der Europäischen Kommission werden nun ihren Austausch fortsetzen, um diese Punktation in verbindliche Rechtsdokumente umzusetzen. Die Verpflichtungen der USA sollen dazu in eine Durchführungsverordnung aufgenommen werden, die die Grundlage für den Entwurf eines Angemessenheitsbeschlusses der Kommission zur Einführung des neuen transatlantischen Datenschutzrahmens bilden wird. Da beide Seiten das Thema nun priorisiert haben, werden Entwicklungen in diesem Zusammenhang noch diesen Sommer erwartet. Wir werden das beobachten und Sie, wie gewohnt, mit Updates versorgen.