Die Europäische Kommission hat ein Verfahren zur Erneuerung des Daten­schutz­rahmens zwischen den USA und der EU eingeleitet. Mit diesem sollen die im Juli 2020 vom Gerichtshof der Europäischen Union in der Schrems-II-Entscheidung geäusserten Bedenken ausgeräumt und ein sicherer trans­atlantischer Datenverkehr gefördert werden, schreibt die Kommission in einer Mitteilung.

Der Beschlussentwurf folgt auf die Unterzeichnung einer US-Exekutiv­verordnung durch US-Präsident Biden Anfang Oktober sowie auf die von dessen Justizminister Merrick Garland erlassenen Vorschriften. Mit diesen beiden Instrumenten wird die von der Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden im März angekündigte Grundsatzvereinbarung im US-Recht umgesetzt.

Der Entwurf der Kommission kommt zum Schluss, dass der US-Rechtsrahmen in etwa die gleichen Garantien wie derjenige der EU bietet. Das Dokument (PDF) wurde veröffentlicht und dem Europäischen Datenschutzausschuss (EDSB) zur Stellungnahme vorgelegt. Insgesamt bilanziert die Kommission, dass die Vereinigten Staaten ein "angemessenes Schutzniveau" für personen­bezogene Daten gewährleisten, die aus der EU an Unternehmen in den USA übermittelt werden.

Die US-Unternehmen sollen dem neuen Datenschutzrahmen beitreten können, indem sie sich dazu verpflichten, eine Reihe von detaillierten Verpflichtungen in Bezug auf den Datenschutz einzuhalten. Unter anderem sollen personenbezogene Daten gelöscht werden, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind.

Der Bevölkerung der EU soll zudem auch ein einfacherer Rechtsweg zur Verfügung stehen, wenn ihre personenbezogenen Daten unerlaubt verarbeitet werden. Dazu gehört ein kostenloses Verfahren vor einem unabhängigen Mediator oder vor einem Schiedsgericht.

Darüber hinaus sieht der US-amerikanische Rechtsrahmen aber immer noch eine Reihe von Garantien für den Zugang zu Daten durch US-Behörden vor, insbesondere für den Zweck der Strafverfolgung oder im Falle einer Bedrohung der nationalen Sicherheit.

Diese wurden allerdings in der Exekutivanordnung von Joe Biden angepasst und sollen nur noch zum Einsatz kommen, wenn sie zum Schutz der nationalen Sicherheit dringend notwendig und Massnahmen verhältnismässig sind. EU-Bürgerinnen und Bürger sollen zudem ein Rechtsmittel gegen die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste erhalten. Über ein Gericht sollen Beschwerden der europäischen Bevölkerung unabhängig untersucht und gegebenenfalls geschlichtet werden.

Der Entwurf wird nun ein Annahmeverfahren durchlaufen. In einem ersten Schritt wird der Europäische Datenschutzausschuss (EDPB) darüber urteilen. Darüber hinaus wird auch das Europäische Parlament über die Ent­schei­dungen abstimmen. Sobald diese Verfahren abgeschlossen sind, kann die Kommission eine endgültige Angemessenheitsentscheidung erlassen.

Die Datenschutzvereinbarung soll dann in regelmässigen Abständen von der Europäischen Kommission zusammen mit den europäischen Daten­schutz­behörden und den zuständigen US-Behörden überprüft werden. Die erste dieser Analysen soll dabei innerhalb eines Jahres nach Inkrafttreten des Beschlusses durchgeführt werden. So soll festgestellt werden, ob alle relevanten Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis funktionieren.