Im März diesen Jahres vereinbarten die US und die EU, den Privacy-Shield zu überarbeiten, um eine neue Rechtsgrundlage für Datentransfers aus der EU in die USA herzustellen. Laut eines Berichtes von Politico vom 27.09.2022 mit dem Titel „Veröffentlichung eines Erlass zum Privacy Shield in den USA für nächste Woche erwartet„1Original: US expected to publish Privacy Shield executive order next week wird der US Präsident Joe Biden schon in der nächsten Woche eine Verfügung unterzeichnet, mit welcher die USA die Datenschutzbedenken der EU ausräumen möchte. Es wird erwartet, dass die Erklärung des Weißen Hauses mit den neuen Vorschriften des US-Justizministeriums zur Überwachung der amerikanischen nationalen Sicherheitsbehörden einhergeht. Sobald die Verfügung in der nächsten Woche veröffentlicht ist, wird in der EU ein Ratifizierungsprozess beginnen, der etwa sechs Monate dauern wird. Das neue transatlantische Datenschutzabkommen sollte dann im März 2023 in Kraft treten. Auch wenn die Details der Verfügung noch nicht öffentlich sind, so weiß man von Personen, die an der Ausarbeitung beteiligt waren, dass sie sowohl für europäische als auch amerikanische Bürger eine Reihe neuer rechtlicher Schutzmaßnahmen gegenüber den Zugriffen und der Nutzung ihrer Daten durch nationale US Sicherheitsbehörden einräumt. Grenzen werden den Überwachungsmaßnahmen der US Behörden auch durch die neue Formulierung „notwendig und verhältnismäßig“ auferlegt. Nach Einschätzung von Politico stellt das eine „wesentliche Änderung der Art und Weise darstellt, wie die Daten der Bürger auf beiden Seiten des Atlantiks für Zwecke der nationalen Sicherheit verwendet werden können.“ Eine der an der Ausarbeitung der Verfügung beteiligten Personen erwartet, dass das US Justizministerium ein unabhängiges Gericht einrichten wird, welches sich mit dem Zugriff von US Sicherheitsbehörden auf EU Daten befasst. Die Verfügung des Präsidenten müsste dann die Sicherheitsbehörden verpflichten, sich den Entscheidungen dieses Gerichtes zu unterwerfen.
Bewertung
Der neue Privacy-Shield wird kommen. Ob er geeignet ist, die Bedenken von Datenschützern wie Schrems und im Falle einer erneuten Klage vor dem EuGH auch diesen zu überzeugen, dass damit ein angemessenes Datenschutzniveau für die Übermittlung von personenbezogenen Daten in die USA hergestellt ist, wird man sehen. Die Frage wäre auch, inwieweit das unabhängige Gericht Ermittungsersuchen im Rahmen des CLOUD-Acts regulieren kann. Wenn das Abkommen nach der Ratifizierung durch die Parlamente aller EU Mitgliedsstaaten im Frühjahr in Kraft tritt wird es neben den Standardvertragsklauseln (Standard Contractual Clauses, SCC) eine Rechtsgrundlage bieten, auf welcher Daten in die USA übermittelt werden können. Profitieren könnten davon Bildungsanbieter wie BookCreator, Teachermade, Canva und ähnlich und ihre Nutzer, die personenbezogene Daten von EU Nutzern auf Servern in den USA verarbeiten. Die große Unbekannte ist und bleibt aber, wie lange der neue Privacy-Shield hält. Man kann vermutlich davon ausgehen, dass es ein Schrems III geben wird. Der neue Privacy-Shield gilt dann zumindest solange, bis es ein Urteil gibt, welches zu dem Schluss kommt, dass auch das neue Abkommen keine ausreichenden Sicherheitsgarantien bietet, falls dieses das Resultat des Prozesses wäre. Sollte das der Ausgang sein, wäre man wieder am Ausgangspunkt.