EU: Ent­wurf der Ange­mes­sen­heits­ent­schei­dung für das TADPF; Inkraft­set­zung Mit­te 2023 möglich

Als Nach­fol­ger des alten Safe Har­bour Frame­works und danach des Pri­va­cy Shields, die der EuGH jeweils kas­siert hat (Schrems I und II), ist das “EU‑U.S. Data Pri­va­cy Frame­work” (“EU‑U.S. DPF” oder “Trans­at­lan­tic Data Pri­va­cy Frame­work”, “TADPF”) vor­ge­se­hen. Wie zuvor beruht das Frame­work auf einem Ange­bot der USA und einer dar­auf bezo­ge­nen Ange­mes­sen­heits­ent­schei­dung der EU-Kommission.

Nach­dem Joe Biden am 7. Okto­ber 2022 die Exe­cu­ti­ve Order On Enhan­cing Safe­guards For United Sta­tes Signals Intel­li­gence Acti­vi­ties (EO 14086) unter­zeich­net und der Att­or­ney Gene­ral Aus­füh­rungs­be­stim­mun­gen für das neue “Data Pro­tec­tion Review Court” ver­ab­schie­det hat­te, war der Ball bei der EU.

Die EU-Kom­mis­si­on hat nun, am 13. Dezem­ber 2022, den Ent­wurf einer ent­spre­chen­den Ange­mes­sen­heits­ent­schei­dung vor­ge­legt und damit das Ver­fah­ren ein­ge­lei­tet, das zu einem Ange­mes­sen­heits­be­schluss füh­ren soll (sie­he Medi­en­mit­tei­lung). Der Ent­wurf ent­hält eine Bewer­tung des US-ame­ri­ka­ni­schen Daten­schutz­rah­mens und der Beschrän­kun­gen des Behör­den­zu­griffs auf über­mit­tel­te Daten und kommt natür­lich zum Ergeb­nis, dass die Exe­cu­ti­ve Order die Beden­ken des EuGH im Schrems II-Ent­scheid auszuräumt.

Damit beginnt nun eine rund sechs­mo­na­ti­ge Pha­se, in der sich das Euro­pean Data Pro­tec­tion Board (EDPB) äussern wird, bevor sich die Mit­glied­staa­ten hin­ter die Ange­mes­sen­heit stel­len müss­ten. Bis etwa Mit­te 2023 könn­te die Ange­mes­sen­heit for­mal fest­ge­stellt werden.

Die Ent­schei­dung ent­hält als Anhänge:

  • Annex I: EU‑U.S. Data Pri­va­cy Frame­work Prin­ci­ples des U.S. Depart­ment of Com­mer­ce. Hier fin­den sich die Regeln für die Unter­stel­lung von Unter­neh­men unter das TADPF ein­schliess­lich inhalt­li­cher Anfor­de­run­gen an den Umgang die­ser Unter­neh­men mit über­mit­tel­ten Per­so­nen­da­ten (ein­schliess­lich ver­schlüs­sel­ter Daten). Die­se Prin­ci­ples erin­nern stark an den Pri­va­cy Shield;
  • Annex II: Let­ter from U.S. Secre­ta­ry of Com­mer­ce Gina Raimondo;
  • Annex III: Let­ter from Under Secre­ta­ry of Com­mer­ce for Inter­na­tio­nal Trade Mari­sa Lago mit Ergän­zun­gen zur Rol­le des Depart­ment of Com­mer­ce, das das TADPF in admi­ni­stra­ti­ver Hin­sicht betreut, u.a. die Liste der unter­stell­ten Unter­neh­men pflegt und die Ein­hal­tung des TADPF durch die­se Unter­neh­men prü­fen will;
  • Annex IV: Schrei­ben von Lina M. Khan, der Vor­sit­zen­den der Fede­ral Trade Com­mis­si­on. Die FTC trägt zur Durch­set­zung des TADPF bei, indem sie Hand­lun­gen ver­fol­gen kann, die nach Euro­päi­schem Ver­ständ­nis dem Lau­ter­keits­recht zuzu­ord­nen sind, ein­schliess­lich der Nicht­ein­hal­tung des TADPF durch unter­stell­te Unter­neh­men. Annex IV ent­hält eine Liste von Fäl­len, in denen die FTC ent­spre­chen­de Ver­stö­sse unter Safe Har­bour und dem Pri­va­cy Shield ver­folgt hat;
  • Annex V: Schrei­ben von Pete Butt­i­gieg, Secre­ta­ry of Trans­por­ta­ti­on, das bei Ver­stö­ssen durch Flug­li­ni­en und Anbie­ter von Flug­rei­sen ana­log zur FTC vor­ge­hen kann;
  • Annex VI: Schrei­ben von Bruce C. Swartz, U.S. Depart­ment of Justi­ce, Cri­mi­nal Divi­si­on. Die­ses Schrei­ben ent­hält eine knap­pe Über­sicht über die Unter­su­chungs­mit­tel auf Bun­des­ebe­ne, um Daten von Unter­neh­men in den USA für Zwecke der Straf­ver­fol­gung und zum Schutz ande­rer Inter­es­sen zu behän­di­gen. Hier fin­den sich auch Erläu­te­run­gen zu Sub­poe­nas und War­rants und ihren Vor­aus­set­zun­gen und Wir­kun­gen und u.a. zum Stored Com­mu­ni­ca­ti­ons Act;
  • Annex VII: Schrei­ben von Chri­sto­pher C. Fon­zo­ne für das Office of the Direc­tor of Natio­nal Intel­li­gence, mit Aus­füh­run­gen u.a. zu FISA. U.a. wird bestä­tigt, dass die Geheim­dien­ste (die “Intel­li­gence Com­mu­ni­ty”) Bidens Exe­cu­ti­ve Order auf Mass­nah­men nach FISA 702 anwen­den werden.