Wie der neue Rahmen funktioniert
- Die US-Geheimdienste werden nur noch Informationen für klar definierte Zwecke der nationalen Sicherheit sammeln.
- Die US-Geheimdienste sollten ihre Richtlinien und Verfahren überarbeiten, um die neuen Regeln für die Datenübermittlung zu berücksichtigen.
- Europäer sollen die Möglichkeit haben, die Verwendung ihrer Daten durch US-Behörden vor dem Data Protection Review Court, einem unabhängigen Gericht innerhalb des Justizministeriums, über einen speziellen Anwalt anzufechten.
- Ermächtigung der für den Schutz der bürgerlichen Freiheiten zuständigen Beamten des Büros des Direktors der Nationalen Nachrichtendienste, Verstöße gegen Datenschutzrechte und Beschwerden zu prüfen (noyb.eu).
Warum der Rahmen für die Datenübermittlung wahrscheinlich nicht dem EU-Recht entspricht
Bidens Dekret enthält einige Bestimmungen, die Datenschutzexperten wie Max Schrems, einem österreichischen Datenschutzanwalt, der sich für die Aufhebung des früheren Privacy Shield eingesetzt hat, missfallen.
So wird das Verfahren nun in zwei Stufen unterteilt, wobei die erste Stufe ein dem Direktor der Nationalen Nachrichtendienste unterstellter Beamter und die zweite Stufe ein "Datenschutzprüfungsgericht" sein wird.
Dabei handelt es sich jedoch nicht um ein "Gericht" im traditionellen juristischen Sinne von Artikel 47 der Charta oder der US-Verfassung, sondern um ein Gremium innerhalb der Exekutive der US-Regierung.
Das neue System ist eine verbesserte Version des früheren "Ombudsmann"-Systems, das der EuGH bereits abgelehnt hat. Dieses Exekutivorgan scheint keinen "gerichtlichen Rechtsbehelf" zu bieten, wie in der EU-Charta gefordert.
Schrems sagte: "Wir müssen den Vorschlag noch im Detail prüfen, aber auf den ersten Blick ist klar, dass dieses 'Gericht' einfach kein Gericht ist. Die Charta verlangt eindeutig einen 'gerichtlichen Rechtsbehelf' - die bloße Umbenennung einer Beschwerdestelle in ein 'Gericht' macht sie nicht zu einem tatsächlichen Gericht. Die Einzelheiten des Verfahrens werden auch dafür ausschlaggebend sein, ob es mit dem EU-Recht vereinbar ist".
Das Dekret wird dann an die Europäische Kommission in Brüssel weitergeleitet, wo es von EU-Datenschutzbehörden und Politikern geprüft wird. Dies könnte weitere sechs Monate dauern, wobei die endgültige Vereinbarung voraussichtlich im Frühjahr veröffentlicht wird.