Trans-Atlantic Data Privacy Framework: Prinzipielle Einigung über Rahmen für Datenübermittlungen in die USA

Die EU-Kommission und die USA haben sich über die erste Basis geeinigt, auf deren Grundlage möglicherweise ein künftiger Angemessenheitsbeschluss der EU-Kommission ergehen könnte.

Die EU-Kommission und die USA haben sich prinzipiell auf einen Nachfolger für das „Privacy Shield“ geeinigt. Wesentliche Eckpunkte sind Grenzen für den Zugriff durch US-Geheimdienste und Rechtsschutz für EU-Bürger*innen in einem zweistufigen System. Der bereits bekannte Mechanismus für die Selbstzertifizierung von datenimportierenden US-Unternehmen soll bestehen bleiben.

Auf dieser Grundlage könnte die EU-Kommission später beschließen, dass die USA insoweit ein angemessenes Datenschutzniveau bieten. Erst dann könnten personenbezogene Daten in die USA exportiert werden, ohne dass andere besondere Bedingungen erfüllt sein müssen, insbesondere geeignete Garantien und zusätzliche Maßnahmen. Die Angemessenheitsentscheidungen zu den Vorläufern „Safe Harbor“ und „Privacy Shield“ hatte der Europäische Gerichtshof 2015 bzw. 2020 für nichtig erklärt.

Können Daten jetzt wieder einfach in die USA übermittelt werden?

Nein. Es gibt noch keinen Angemessenheitsbeschluss für die USA. Die EU-Kommission und die USA haben sich bisher nur prinzipiell geeinigt. Über den Zeithorizont für das weitere Vorgehen ist nichts bekannt. Für Übermittlungen in die USA müssen daher weiterhin die besonderen Bedingungen der Artikel 46 oder Artikel 49 Datenschutz-Grundverordnung eingehalten werden, also zum Beispiel Standarddatenschutzklauseln abgeschlossen werden. Bei Artikel 46 müssen zudem zusätzliche Maßnahmen getroffen werden, es müssen also zum Beispiel in manchen Fällen bestimmte Verschlüsselungstechniken eingesetzt werden.

Wie geht es weiter?

Die nächsten Schritte:

  • Die grundsätzlich erreichte Vereinbarung muss nun verschriftlicht und von beiden Seiten akzeptiert werden.
  • Die USA setzen die Grundsätze der Einigung in ihrem Recht um (Executive Order).
  • Die EU-Kommission erstellt auf dieser Grundlage einen Entwurf für einen Angemessenheitsbeschluss.
  • Der Europäische Datenschutzausschuss gibt eine Stellungnahme zu dem Entwurf ab.
  • Die EU-Kommission fasst gegebenenfalls den Angemessenheitsbeschluss.