EU/USA: Trans-Atlan­tic Data Pri­va­cy Frame­work (TADPF) – neu­er Wein in alten Schläuchen?

Was zunächst diver­sen Medi­en­be­rich­ten zu ent­neh­men war, haben die USA und die EU bestä­tigt. Aus dem Facts­heet des Wei­ssen Hau­ses:

The United Sta­tes and the Euro­pean Com­mis­si­on have com­mit­ted to a new Trans-Atlan­tic Data Pri­va­cy Frame­work, which will foster trans-Atlan­tic data flows and address the con­cerns rai­sed by the Court of Jus­ti­ce of the Euro­pean Uni­on when it struck down in 2020 the Commission’s ade­quacy deci­si­on under­ly­ing the EU‑U.S. Pri­va­cy Shield framework.

Ein kür­ze­res Facts­heet hat auch die EU-Kom­mis­si­on ver­öf­fent­licht.

Inhalt­lich ist nicht viel bekannt, auch kein Ent­wurf des Tex­tes, der soweit bekannt noch nicht vor­liegt, son­dern von der US-Regie­rung und der EU-Kom­mis­si­on aus­zu­ar­bei­ten ist. Der Abschluss des Tex­tes wird offen­bar durch eine Exe­cu­ti­ve Order der US-Regie­rung und einem ent­spre­chen­den Ange­mes­sen­heits­ent­scheid der Kom­mis­si­on erfolgen.

Die Fact Sheet blei­ben vage. Jenes der USA sagt aber immer­hin fol­gen­des zu:

Under the Trans-Atlan­tic Data Pri­va­cy Frame­work, the United Sta­tes has made unpre­ce­den­ted com­mit­ments to:

  • streng­t­hen the pri­va­cy and civil liber­ties safe­guards gover­ning U.S. signals intel­li­gence activities;
  • Estab­lish a new redress mecha­nism with inde­pen­dent and bin­ding aut­ho­ri­ty; and
  • Enhan­ce its exi­sting rigo­rous and laye­red over­sight of signals intel­li­gence activities.

For examp­le, the new Frame­work ensu­res that:

  • Signals intel­li­gence collec­tion may be under­ta­ken only whe­re necessa­ry to advan­ce legi­ti­ma­te natio­nal secu­ri­ty objec­ti­ves, and must not dis­pro­por­tio­na­te­ly impact the pro­tec­tion of indi­vi­du­al pri­va­cy and civil liberties;
  • EU indi­vi­du­als may seek redress from a new mul­ti-lay­er redress mecha­nism that inclu­des an inde­pen­dent Data Pro­tec­tion Review Court that would con­sist of indi­vi­du­als cho­sen from out­side the U.S. Government who would have full aut­ho­ri­ty to adju­di­ca­te claims and direct reme­di­al mea­su­res as nee­ded; and
  • U.S. intel­li­gence agen­ci­es will adopt pro­ce­du­res to ensu­re effec­ti­ve over­sight of new pri­va­cy and civil liber­ties standards.

Soweit ersicht­lich, geht es also nicht um eine Ände­rung der ame­ri­ka­ni­schen Geset­zes­grund­la­gen bzw. exi­stie­ren­der Exe­cu­ti­ve Orders, son­dern um einen daten­schutz­freund­li­che­ren Umgang damit.

noyb, das NGO von Schrems, hat – wenig über­ra­schend – eine kri­ti­sche Stel­lung­nah­me ver­öf­fent­licht (“lip­stick on a pig”) und in Aus­sicht gestellt, den Pri­va­cy Shield 2.0 einer gericht­li­chen Prü­fung zuzuführen.