Die Europäische Kommission und die Vereinigten Staaten haben am 25.03.2022 in einer gemeinsamen Pressemitteilung bekannt gegeben, dass sie sich grundsätzlich auf einen neuen transatlantischen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework“, TDPF) geeinigt haben, der den transatlantischen Datenverkehr fördern und die vom EuGH in der Schrems-II-Entscheidung vom Juli 2020 geäußerten Bedenken ausräumen soll.

Was ist bislang bekannt?

Die USA sollen sich verpflichten, neue Sicherheitsvorkehrungen zu treffen, die es ermöglichen, dass nachrichtendienstliche Tätigkeiten zur Verfolgung bestimmter nationaler Sicherheitsziele notwendig und verhältnismäßig sind, wodurch ein neuer Mechanismus geschaffen wird, mit dem EU-Bürger Rechtsmittel einlegen können. Dafür soll offenbar auf dem bestehenden Privacy Shield-Zertifizierungsmechanismus aufgebaut werden, was dann den Unternehmen zugutekommen dürfte, die bereits eine bestehende Privacy Shield-Zertifizierung haben.

Konkret soll das Abhören von Kommunikation nur noch dann erfolgen können, wenn dies zur Erreichung von legitimen nationalen Sicherheitszielen erforderlich ist und dadurch der Schutz der Privatsphäre und sonstiger Freiheiten nicht unverhältnismäßig beeinträchtigt wird.

EU-Bürger sollen sich an einem neuen, mehrstufigen Rechtsbehelfsmechanismus wenden können, zu dem auch ein unabhängiges Datenschutzprüfungsgericht („Data Protection Review Court“) gehören soll, dass sich aus Person zusammensetzt, die nicht der Regierung angehören und die uneingeschränkte Befugnis haben über Ansprüche zu entscheiden und bei Bedarf Abhilfemaßnahmen anzuordnen.

Unternehmen, die über das TDPF transatlantischen Übermittlungen durchführen, müssen sich auch weiterhin an die bereits bestehenden Grundsätze des Privacy Shield halten.

Wann tritt das Abkommen in Kraft?

Die Teams der US-Regierung und der Europäischen Kommission haben angekündigt nun ihre Zusammenarbeit fortsetzen, um die grundlegende Vereinbarung in ein Abkommen umzusetzen, das dann von beiden Seiten angenommen werden muss, um den neuen Rechtsrahmen in Kraft zu setzen.

Als Grundlage für einen notwendigen Angemessenheitsbeschluss der EU-Kommission wird von Seiten der Amerikaner eine Executive Order erlassen. Erst dann kann eine Prüfung nach Art. 45 DSGVO im Hinblick auf das notwendige Schutzniveau durch die EU-Kommission erfolgen.

Was müssen Unternehmen jetzt tun?

Unternehmen sollten das weitere Verfahren zunächst beobachten. Einen unmittelbaren Handlungsbedarf gibt es aktuell nicht. Auch wenn ein neuer Angemessenheitsbeschluss den Austausch von personenbezogenen Daten zwischen der EU und den USA erheblich vereinfachen würde, sind die konkreten Anforderungen daran noch nicht bekannt. Unklar ist derzeit auch, inwieweit ein solcher neuer Angemessenheitsbeschluss auch die Vorgaben des EuGH in Sachen Schrems II hinreichend berücksichtigen kann und nicht erneut durch ein solches Vorhaben Rechtsunsicherheit entsteht.

Christian Krösch