EU-Kommission hat Verfahren für US-Angemessenheitsbeschluss eingeleitet
von , veröffentlicht am 13.12.2022Heute (13.12.2023) hat die EU-Kommission das Verfahren zur Annahme eines Angemessenheitsbeschluss für den EU-U.S. Data Privacy Framework eingeleitet.
"The draft adequacy decision concludes that the United States ensures an adequate level of protection for personal data transferred from the EU to the US. This is based on an in-depth assessment of the Data Privacy Framework itself and its obligations for companies, as well as the limitations and safeguards on access by US public authorities to data transferred to the US, in particular for criminal law enforcement and national security purposes."
Infos über die Bewertung und zum weiteren Vorgehen finden Sie unter dem Link.
Hier der Link zum Entwurf.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
9 Kommentare
Kommentare als Feed abonnierenBesten Dank – ein umfangreiches Dokument! Es werden diverse Monate in Land gehen, bis die Entscheidung endgültig ergeht und dann wird es noch weitere Implementierungsmaßnahmen der US-Seite erforderlich sein.
In der Zwischenzeit (und darüber hinaus?) werden die meisten Unternehmen die 2021 Standard Contractual Klauseln weiter nutzen und auch TIAs wird es erst einmal weitergeben.
Interessant ist, dass die KOM immer wieder betont, dass der Schutz der EU-Daten in den USA “adäquat” sein muss, also nicht identisch. Im Kern geht es um Grundrechtsschutz und Risikoeinschätzungen (der Begriff „risk“ wird 17mal von der KOM benutzt).
Auf S. 2 (unter 4) des Dokument kommt der Ansatz schön zum Ausdruck:
“ The adequacy standard therefore does not require a point-to-point replication of Union rules. Rather, the test is whether, through the substance of privacy rights and their effective implementation, supervision and enforcement, the foreign system as a whole delivers the required level of protection.
Furthermore, according to that judgment, when applying this standard, the Commission should notably assess whether the legal framework of the third country in question provides rules intended to limit interferences with the fundamental rights of the persons whose data is transferred from the Union, which the State entities of that country would be authorised to engage in when they pursue legitimate objectives, such as national security, and provides effective legal protection against interferences of that kind.”
Den Ansatz hat Didier Reynders gestern im Politico/CIPL Talk (ab Minute 29:20) -wie ich finde- gut auf den Punkt gebracht: er geht davon aus, dass die Entscheidung wieder vor dem EuGH geprüft werden wird, allerdings mit einem positiven Ausgang, insbondere vor dem Hintergrund, dass kein "gleiches" Datenschutzniveau mit den "Partnern" erreicht werden muss, sondern ein angemessenes.
Bleiben wir zuversichtlich!
Max Schrems (NOYB) hat sich auch schon geäußert - mit einem Statement, das niemanden überraschen sollte:
"I can't see how this would survive a challenge before the Court of Justice. It seems that the European Commission just issues similar decisions over and over again - in flagrant breach of our fundamental rights."
https://noyb.eu/en/statement-eu-comission-adequacy-decision-us
Es ist schon erstaunlich, wie die EU-Kommission und damit auch die EU-Gerichte und Magister Schrems so ohne Netz und doppelten Boden das US-Recht analysieren. Aber das scheint wohl in Art. 46 DSGVO angelegt zu sein.
Noch zum Verhältnis zur Biden Executive Order (im Blog hier) :
(196) Given that the limitations, safeguards and redress mechanism established by EO 14086 are essential elements of the U.S. legal framework on which the Commission’s assessment is based, the entry into force of this Decision is conditional upon the adoption of updated policies and procedures to implement EO 14086 by all U.S.
intelligence agencies and the designation of the Union as a qualifying organisation for the purpose of the redress mechanism.
Die Einhaltung der Voraussetzungen wird eine eigene Prüfung der KOM erfordern.
Interessantes Statement von Bruno Gencarelli, head of International Data Flows at the European Commission. Also nur noch reduzierte TIA (wenn überhaupt), wenn der Beschluss kommt?
Es ist noch zu früh von TIAs abzusehen. Wenn der Beschluss angefochten wird, wird es wieder Rechtsunsicherheit geben. Außerdem bezieht sich der Beschluss eh nur auf das neue Data Privacy Framework und die Umsetzung der EO ist auch in den USA längst nicht abgeschlossen.
Leider finde ich keine hinreichenden Informaitonen zu dem Ablauf des Verfahrens. Wer gibt denn nun Stellungnahmen ab und inwiefern sind sie bindend und woraus ergibt sich das?
Vielen Dank im Voraus!
Derzeit durchläuft der Angemessenheitsbeschluss das Annahmeverfahren. Der Beschluss wurde dem europäischen Datenschutzausschuss (EDSA) vorgelegt. Im nächsten Schritt holt die Europäische Kommission die Zustimmung des Ausschusses ein.
Die einzelnen Schritte des Annahmeverfahrens sind hier gut aufgeführt:
Vorschlag der EU-Kommission vom 13.12.2022
Hinsichtliche der Timeline sind folgende Daten im Umlauf:
Der Entwurf soll am 1./2.3.23 im Committee besprochen werden und bis Mitte/Ende März einen finalen Entschluss zu haben. In der Woche ab dem 17.4.23 soll im Plenum abgestimmt werden (so Politico auf Twitter v. 15.2.23).
Commissioner Didier Reynders erwartet den Beschluss bis Juli 2023 finalisieren zu können (hier).