Markt & Wettbewerb

Das Trans-Atlantik Data Privacy Framework – Erste Einschätzung

Nachdem zunächst das Safe Harbour-Abkommen (Entscheidung vom 06.10.2015, Az.: C-362/14) und fünf Jahre später das Privacy Shield-Abkommen (Entscheidung vom 16.07.2020, Az: C‑311/18) vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurden, galten die Vereinigten Staaten von Amerika datenschutzrechtlich als unsicheres Drittland.

Da der transatlantische Datenverkehr zwischen der USA und der EU aber gleichbedeutend mit einer Wirtschaftsleistung von über einer Trilliarde US-Dollar ist, wurden die Verhandlungen über ein neues Abkommen schon unter der Trump-Administration wiederaufgenommen. Obwohl es zunächst so aussah, als würden die Verhandlungen sich noch ein Weile strecken, überraschten beide Seiten mit Pressemitteilungen der EU vom 22.03.2022 und der USA vom 25.03.2022.

Bislang sind nur die Eckpunkte des als „Trans-Atlanatic Data Privacy Framework (T-ADPF)“ bezeichneten Verhandlungsergebnisses bekannt gegeben worden und dieses erzeugt akut noch mehr Fragezeichen, als es Antworten liefert.

Erklärtes Ziel ist es, einen freien und ungehinderten Datenfluss zwischen den USA und der EU zu gewährleisten. Dazu sollen vor allem die US-Geheimdienste nur noch auf die personenbezogenen Daten von EU-Bürgern Zugriff nehmen dürfen, wenn das „notwendig und angemessen“ ist. Bislang fehlen dazu aber die Kriterien, die diese Anforderungen messbar machen. Überdies müssen die US-Behörden Maßnahmen einrichten, welche die Rechte der EU-Bürger garantieren. Auch hier fehlt es noch an den Regelungsinhalten.

Zur Durchsetzung von Datenschutzproblemen soll ein spezielles Gericht, der Data Protection Review Court eingerichtet werden, der in der Lage sein soll, geltend gemachte Datenschutzverletzungen aufzuklären und Sanktionen zu verhängen. Wie die Verfahren aussehen sollen, welche Folgen das hat und vor allem, wie EU-Bürger hier effektiven Rechtsschutz bekommen, ist ebenfalls bisher unklar.

Für US-Unternehmen wird ein Zertifizierungssystem über das US-Wirtschaftsministerium eingeführt, wie es unter der Privacy Shield-Abkommen bereits bestand. Abgerundet wird das Abkommen durch spezifische Überwachungsintrumente.

Zwar wäre der wünschenswerte Weg gewesen, dass die USA ihr Datenschutzniveau insgesamt auf EU-Standards anpassen, so dass wie im Falle Kanadas ein Angemessenheitsbeschluss der EU-Kommission möglich geworden wäre, aber damit war realistisch natürlich nicht zu rechnen. Leider haben es die USA verpasst, Nord-Amerika zu einer progressiven Datenschutzzone zu machen. Sicher ist es aber, dass das zu erwartende Abkommen wieder einen marvellesken Namen bekommt.