Privacy Shield 2.0? Was hat es mit dem Trans-Atlantic Data Privacy Framework (TADPF) auf sich, das EU und USA gerade angekündigt haben?

In einer Zeit, in der sich die Informationen in den Nachrichten überschlagen, ist es manchem vielleicht verborgen geblieben, dass die Europäische Union sich jetzt grundsätzlich mit den USA auf einen Umgang mit dem Transfer von personenbezogenen Daten geeinigt hat.

In einer Zeit, in der sich die Informationen in den Nachrichten überschlagen, ist es manchem vielleicht verborgen geblieben, dass die Europäische Union sich jetzt grundsätzlich mit den USA auf einen Umgang mit dem Transfer von personenbezogenen Daten geeinigt hat. Nachdem bereits zwei Anläufe zur Regelung durch den Europäischen Gerichtshof (EuGH) aufgehoben worden sind – weder der so genannte "Safe Harbour" noch das darauffolgende "Privacy-Shield"-Abkommen hielten einer rechtlichen Überprüfung stand – folgt jetzt der dritte Anlauf:
"Eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr" sei nach monatelanger Abstimmung erzielt worden, so verkündete es die EU-Kommissionspräsidentin Ursula von der Leyen, nachdem sie sich auf dem erweiterten EU-Gipfel mit US-Präsident Joe Biden ausgetauscht hatte. Einen klingenden Namen trägt das "Privacy Shield 2.0" noch nicht, und so müssen wir uns jetzt mit TADPF begnügen, dem Trans-Atlantic Data Privacy Framework.

Grund zum Feiern besteht noch nicht, denn derzeit besteht eben nur eine "grundsätzliche" Einigung über den Fortgang in Sachen Datentransfer. Was fehlt, ist ein belastbarer juristisch geprägter Text, eine so genannte Executive Order des US-amerikanischen Präsidenten zur Umsetzung auf Seiten der USA und eine anschließende Prüfung dieser Sachlage durch den Europäischen Datenschutzausschuss. Erst nachdem diese Schritte durchlaufen wurden, könnte die Europäische Union in einem finalen Schritt einen neuen Angemessenheitsbeschluss schaffen, der dann für beteiligte Unternehmen einen vergleichbaren Datenschutz-Standard bescheinigen würde.

Derzeit sind es also noch Absichtsbekundungen insbesondere der amerikanischen Seite – doch das, was da versprochen wird, lässt zumindest aufhorchen:

  • Der Geheimdienst soll Daten nur noch dann abgreifen können, wenn dies zur Förderung legitimer nationaler Sicherheitsziele erforderlich ist und gleichzeitig die Privatsphäre und die bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen. Wie eine solche Zweckbindung der Datenabrufe überprüft werden kann, wird allerdings zum jetzigen Zeitpunkt noch nicht festgelegt.
  • Ein mehrstufiger Rechtsbehelfs-Mechanismus soll zum Einsatz kommen, um Privatpersonen aus der EU bei einer etwaigen Rechtsdurchsetzung zu unterstützen. Dabei soll ein neu geschaffenes Datenschutz-Überprüfungsgericht nicht nur unabhängig von der US-Regierung sein, sondern auch über Rechte und Möglichkeiten verfügen, Abhilfemaßnahmen verpflichtend anzuordnen. Dies ist bislang nicht der Fall gewesen.
  • Letztlich sollen die amerikanischen Nachrichtendienste Verfahren einführen, die eine wirksame Überwachung der neuen Standards zum Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten sollen.

Es ist somit der erste Schritt getan, den auch Datenschützer der Länder und des Bundes hierzulande angemahnt hatten: Politische Schritte werden unternommen, um dem europäischen Datenschutz mehr Gewicht bei der Umsetzung US-amerikanischer Gesetze zu geben. Die EU hat hierzu gemeinsam mit dem Weißen Haus sowohl eine entsprechende gemeinsame Erklärung als auch ein kurzes Factsheet zum TADPF herausgegeben.

Allerdings ist hier sicherlich noch nicht das letzte Wort gesprochen. Denn zum einen fehlt in der Ankündigung ein Hinweis darauf, dass amerikanische Gesetze geändert würden – und diese sind ja eine der wesentlichen Ursachen für die Entscheidung des EuGH, mit der der Vorgänger, das Privacy Shield, zu Fall gebracht wurde. Und des Weiteren wurde kurz vor der Verkündung der Einigung zum TADPF ein Urteil des Supreme Courts1  veröffentlicht, in dem der US-Regierung gerade mehr Spielraum eingeräumt wurde, um sich in Spionagefällen auf "Staatsgeheimnisse" zu berufen.

Wir werden die Situation also weiterhin für Sie beobachten und kommentieren – und es bleibt zu hoffen, dass am Ende wieder eine Rechtslage hergestellt werden kann, in der ein rechtmäßiger Austausch personenbezogener Daten wieder ohne Risiko möglich sein wird. Doch davon sind wir noch mindestens ein paar Monate entfernt.

_______________

1 FEDERAL BUREAU OF INVESTIGATION ET AL. v. FAZAGA ET AL. thehill.com/opinion/judiciary/598899-the-supreme-court-just-made-a-us-eu-privacy-shield-agreement-even-harder

Artikel empfehlen