Die EU-Kommission hat am 13. Dezember den Entwurf eines Angemessenheitsbeschlusses zum Datentransfer in die USA vorgelegt. Sie erkennt damit an, dass die USA ein angemessenes, mit dem europäischen vergleichbares Schutzniveau für personenbezogene Daten bieten, die aus der EU in die USA transferiert werden. Der Beschluss sieht vor, dass sich US-Unternehmen, ähnlich den vormaligen Safe Harbour und Privacy Shield, einem EU-US Data Privacy Framework anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzregeln verpflichten.Die von Joe Biden am 7. Oktober unterzeichnete Präsidialverfügung (Executive Order) bildete das Fundament für das von den USA und der EU am 25. März 2022 angekündigte neue EU-U.S. Data Privacy Framework. Der US-Rechtsrahmen sieht bestimmte Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Unter anderem soll der Zugang der US-Nachrichtendienste zu europäischen Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt werden.
EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können (unter anderem ein unentgeltliches Streitbeilegungsverfahren und eine Schiedsstelle), das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen. Das verspricht mehr Rechtsicherheit im internationalen Datentransfer.
In einem nächsten Schritt wird der Entwurf vom Europäischen Datenschutzausschuss (EDSA) überprüft. Der EDSA kann eine Stellungnahme zum Entwurf abgeben, ihn jedoch nicht verwerfen. Zudem wird ein Ausschuss aus Vertretern der Mitgliedsstaaten den Entwurf prüfen und eine Stellungnahme verfassen. Im Falle einer ablehnenden Stellungnahme kann die Kommission den Entwurf überarbeiten. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen.
Voraussichtlich im Frühjahr 2023 wird der finale Beschluss veröffentlicht und in Kraft treten. Dann können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen. Verbraucherschutzorganisationen wollen jedoch Klagen einreichen. Sie sind der Auffassung, dass nur dann ein wirksamer Schutz gegeben ist, wenn „Verhältnismäßigkeit“ im europäischen Geist begriffen wird. Es wird geraume Zeit dauern, den Angemessenheitsbeschluss vor den EuGH zu bringen. Dort wird er wohl keinen Bestand haben, da es weiterhin an einer grundlegenden Veränderung der rechtlichen Rahmenbedingungen in den USA fehlt.
Bis zum endgültigen Angemessenheitsbeschluss ist es ratsam, den Datentransfer in die USA weiter mit geeigneten Mechanismen abzusichern, insbesondere mit Standardvertragsklauseln, zusätzlichen Sicherheitsmaßnahmen sowie der belegbaren Durchführung eines Transfer Impact Assessments. Im Rahmen des Letzteren empfiehlt es sich, Bezug auf die Executive Order sowie den Entwurf des Angemessenheitsbeschlusses zu nehmen.