Datenübertragungen in die USA-neue Executive Order
Der amerikanische Präsident hat letzten Freitag eine sog. Executive Order unterzeichnet.
Diese ist Teil des “EU‑U.S. Data Privacy Framework” (“EU‑U.S. DPF” oder “Trans-Atlantic Data Privacy Framework”, “TADPF”). Hiermit kann die EU-Kommission jetzt ein Verfahren für einen neuen Angemessenheitsbeschluss zur Datenübermittlung in die USA in die Wege leiten.
Der EuGH hatte im Juli 2020 mit dem Urteil Schrems II das damalige Privacy Shield mit sofortiger Wirkung für unwirksam erklärt.
Im Schrems II-Urteil rügte der EuGH insbesondere die weitreichenden US-amerikanischen Überwachungs- und Zugriffsbefugnisse der Behörden und das Fehlen wirksamer Rechtshelfe hiergegen.
Mit dem TADPF soll die Lücke, die der EuGH mit Schrems II gerissen hat, gefüllt werden. Die neue Executive Order gibt nunmehr unter anderem vor, dass „Schutzmaßnahmen“ in Bezug auf amerikanische Signalaufklärungstätigkeiten auch zugunsten von Nicht-US-Bürgern erfolgen sollen, Vorgaben für den Umgang mit Personendaten ergriffen werden, Richtlinien und Verfahren der U.S. Intelligence Community überarbeitet werden und unabhängiger Rechtsschutz für Einzelpersonen und bestimmte Organisationen bei behaupteten Datenschutzverletzungen über den “Civil Liberties Protection Officer” (CLPO) erfolgen soll. Zudem soll ein neues Data Protection Review Court (DPRC), das Entscheidungen des CLPO überprüfen kann, entstehen und das bestehende Privacy and Civil Liberties Oversight Board (PCLOB) soll die Richtlinien und Verfahren der Intelligence Community regelmäßig prüfen.
Die EU-Kommission kann nun einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO in die Wege leiten. Die Mitgliedstaaten und der europäische Datenschutzausschusses (ADSA) werden angehört und das Europäische Parlament kann sein Kontrollrecht ausüben.
Einer hat sich jedenfalls schon geäußert. Max Schrems kritisierte (nachzulesen unter https://noyb.eu/de/executive-order-zur-us-ueberwachung-reicht-wohl-nicht), dass die Executive Order die amerikanischen Überwachungsmaßnahmen nicht einschränken werden, dass das Data Protection Review Court (DPRC) kein wirkliches Gericht (sondern eher eine Art Ombudsstelle) ist und Betroffene weiterhin nicht informiert werden, ob sie tatsächlich von einer Überwachung betroffen waren. noyb analysiert aktuell die Rechtslage tiefergehend und wird dann entscheiden, ob es zu einer Entscheidung Schrems III kommen wird.