Als Nachfolger des alten Safe Harbour Frameworks und danach des Privacy Shields, die der EuGH jeweils kassiert hat (Schrems I und II), ist das “EU‑U.S. Data Privacy Framework” (“EU‑U.S. DPF” oder “Transatlantic Data Privacy Framework”, “TADPF”) vorgesehen. Wie zuvor beruht das Framework auf einem Angebot der USA und einer darauf bezogenen Angemessenheitsentscheidung der EU-Kommission.
Nachdem Joe Biden am 7. Oktober 2022 die Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (EO 14086) unterzeichnet und der Attorney General Ausführungsbestimmungen für das neue “Data Protection Review Court” verabschiedet hatte, war der Ball bei der EU.
Die EU-Kommission hat nun, am 13. Dezember 2022, den Entwurf einer entsprechenden Angemessenheitsentscheidung vorgelegt und damit das Verfahren eingeleitet, das zu einem Angemessenheitsbeschluss führen soll (siehe Medienmitteilung). Der Entwurf enthält eine Bewertung des US-amerikanischen Datenschutzrahmens und der Beschränkungen des Behördenzugriffs auf übermittelte Daten und kommt natürlich zum Ergebnis, dass die Executive Order die Bedenken des EuGH im Schrems II-Entscheid auszuräumt.
Damit beginnt nun eine rund sechsmonatige Phase, in der sich das European Data Protection Board (EDPB) äussern wird, bevor sich die Mitgliedstaaten hinter die Angemessenheit stellen müssten. Bis etwa Mitte 2023 könnte die Angemessenheit formal festgestellt werden.
Die Entscheidung enthält als Anhänge:
- Annex I: EU‑U.S. Data Privacy Framework Principles des U.S. Department of Commerce. Hier finden sich die Regeln für die Unterstellung von Unternehmen unter das TADPF einschliesslich inhaltlicher Anforderungen an den Umgang dieser Unternehmen mit übermittelten Personendaten (einschliesslich verschlüsselter Daten). Diese Principles erinnern stark an den Privacy Shield;
- Annex II: Letter from U.S. Secretary of Commerce Gina Raimondo;
- Annex III: Letter from Under Secretary of Commerce for International Trade Marisa Lago mit Ergänzungen zur Rolle des Department of Commerce, das das TADPF in administrativer Hinsicht betreut, u.a. die Liste der unterstellten Unternehmen pflegt und die Einhaltung des TADPF durch diese Unternehmen prüfen will;
- Annex IV: Schreiben von Lina M. Khan, der Vorsitzenden der Federal Trade Commission. Die FTC trägt zur Durchsetzung des TADPF bei, indem sie Handlungen verfolgen kann, die nach Europäischem Verständnis dem Lauterkeitsrecht zuzuordnen sind, einschliesslich der Nichteinhaltung des TADPF durch unterstellte Unternehmen. Annex IV enthält eine Liste von Fällen, in denen die FTC entsprechende Verstösse unter Safe Harbour und dem Privacy Shield verfolgt hat;
- Annex V: Schreiben von Pete Buttigieg, Secretary of Transportation, das bei Verstössen durch Fluglinien und Anbieter von Flugreisen analog zur FTC vorgehen kann;
- Annex VI: Schreiben von Bruce C. Swartz, U.S. Department of Justice, Criminal Division. Dieses Schreiben enthält eine knappe Übersicht über die Untersuchungsmittel auf Bundesebene, um Daten von Unternehmen in den USA für Zwecke der Strafverfolgung und zum Schutz anderer Interessen zu behändigen. Hier finden sich auch Erläuterungen zu Subpoenas und Warrants und ihren Voraussetzungen und Wirkungen und u.a. zum Stored Communications Act;
- Annex VII: Schreiben von Christopher C. Fonzone für das Office of the Director of National Intelligence, mit Ausführungen u.a. zu FISA. U.a. wird bestätigt, dass die Geheimdienste (die “Intelligence Community”) Bidens Executive Order auf Massnahmen nach FISA 702 anwenden werden.