Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) hat am 14. Februar 2023 den Entwurf einer Entschliessung im Zusammenhang mit dem Privacy Shield 2.0, dem “EU‑U.S. Data Privacy Framework” (auch “Trans-Atlantic Data Privacy Framework”, TADPF), zuhanden des Parlaments verabschiedet. Der Entwurf beruht auf Art. 132(2) der Geschäftsordnung des Europäischen Parlaments, wonach dieses zum Abschluss einer Aussprache eine Entschliessung annehmen kann – das ist das, was der LIBE verlangt.
Wird der Entwurf angenommen, wird sich das Europäische Parlament gegen einen Angemessenheitsbeschluss für das Data Privacy Framework entscheiden. Ähnlich der Kritik von noyb am TADPF bemängelt der LIBE vor allem folgende Punkte:
- zentrale Begriffe wie die Verhältnismässigkeit im US-Recht anders als nach der DSGVO ausgelegt werden;
- die Executice Order 14086 – Grundlage des TADPF – eine “bulk collection of data by signals intelligence, including the content of communications” nicht verhindere und nicht anwendbar ist für Daten, die US-Behörden auf andere Weise erlangen, bspw. über den US CLOUD Act, durch freiwillige Bekanntgabe, durch Datenkauf oder auf anderen Wegen;
- Entscheidungen des Data Protection Review Court (DPRC) nicht veröffentlicht werden;
- das DPRC Teil der Exekutive ist;
- Betroffene vor dem DPRC nicht durch einen unabhängigen Rechtsbeistand vertreten werden, sondern durch einen “Special Advocate”;
- Betroffene nicht über die Bearbeitung ihrer Daten informiert werden und keine Möglichkeit haben, z.B. Schadenersatz zu verlangen;
- der Rechtsschutz gegen Unternehmen, die am TADPF teilnehmen, ungenügend sei;
- Europäische Unternehmen Rechtssicherheit verdienen (d.h.: kein TADPF zu verabschieden, das der EuGH dann wieder kippt);
- die USA immer noch kein Bundes-Datenschutzgesetz haben;
- die EO nicht klar genug ist und jederzeit, vom US-Präsidenten, geändert werden kann.
Das Parlament solle deshalb wie folgt entscheiden:
11. Concludes that the EU-US Data Privacy Framework fails to create actual equivalence in the level of protection; calls on the Commission to continue negotiations with its US counterparts with the aim of creating a mechanism that would ensure such equivalence and which would provide the adequate level of protection required by Union data protection law and the Charter as interpreted by the CJEU; urges the Commission not to
adopt the adequacy finding;12. Instructs its President to forward this resolution to the Council, the Commission and the President and Congress of the United States of America.