Datentransfer in die USA: Neuer Lichtblick auf Europa

Brüssel, 19. Dezember 2022 –  Das Jahr 2020 war nicht nur von den Auswirkungen der Corona-Pandemie geprägt, sondern bereitete Datenschützern durchaus Kopfzerbrechen. Denn im Oktober 2020 erklärte der Europäische Gerichtshof den sogenannten „Privacy Shield“ für unwirksam. Damit konnten Daten-Transfers in die Vereinigten Staaten von Amerika nur noch unter erheblichen Aufwand durchgeführt werden. Was auf den ersten Blick wie ein reines Fachthema anmutet, hatte schnell handfeste Konsequenzen für die Unternehmen: So beinhaltet beispielsweise die Verwendung von Office 365 immer die Möglichkeit für US-amerikanische Sicherheitsbehörden, auf diese Daten zuzugreifen. Gleiches gilt bislang für jegliche IT-Dienste, die von US-Unternehmen angeboten werden. Der EuGH sah in dem unbegrenzten Zugriffsrecht US-amerikanischer Sicherheitsbehörden eine zu große Gefahr, dass personenbezogene Daten europäischer BürgerInnen missbraucht werden. Aus diesem Grund bedürfe es Anpassungen des amerikanischen Datenschutzsrechtes oder weiterer bilateraler Sicherheitsmechanismen, die zwischen den Nutzern und Verwaltern von personenbezogenen Daten in Europa und den USA geschlossen werden müssen.

Seitdem rotieren viele Unternehmen, um ein angemessenes Datenschutzniveau auch auf (US-) Dienstleister-Seite zu gewährleisten und so ihren Normalbetrieb aufrecht zu erhalten. Gerade mit Blick auf das Betriebssystem Office hatte die Datenschutzkonferenz – das leitende Gremium der Datenschutzbehörden des Bundes und der Länder – am 07. Dezember entschieden, dass eine datenschutzkonforme Verwendung des Systems nur unter sehr engen Voraussetzungen denkbar wäre.

DER MITTELSTANDSVERBUND hatte sich in Brüssel aber auch gegenüber der Bundesregierung dafür eingesetzt, diesen unhaltbaren Zustand schnellstmöglich durch ein neues Übereinkommen zwischen den Wirtschaftsräumen Europa und USA zu beseitigen.

Untiefen der Datenschutzgrundverordnung

Seit ihrem In-Kraft-Treten sorgte und sorgt die Datenschutzgrundverordnung für viel Unruhe in deutschen Betrieben oder mehr noch: europaweit. Viele Prozesse mussten überdacht, angepasst oder gar eingestellt werden, um das von der DSGVO geforderte Datenschutzniveau zu gewährleisten. Ein potenzielles „Einfallstor“ für Dienstleistungen unter europäischen Datenschutzniveau waren dabei immer Anbieter aus Nicht-EU-Staaten. Denn diese müssen zwar das europäische Datenschutzrecht beachten, wenn sie in Europa tätig sind – was im eigenen Herkunftsland hingegen mit den personenbezogenen Daten passiert, war und bleibt hingegen eine andere Sache. Insofern sieht die Datenschutzgrundverordnung vor, dass ein Datentransfer in ein Nicht-EU-Land nur erfolgen darf, wenn ein ausreichendes Datenschutzniveau in diesem Drittland garantiert werden kann. Die Europäische Kommission ist insofern ermächtigt, entsprechende Angemessenheitsbeschlüsse zu erlassen, um den Transfer zu vereinfachen.

Mit dem „Data Privacy Framework“ bestand bis 2022 ein entsprechender Beschluss der EU-Kommission für den Datentransfer in die USA. Nachdem der EuGH diesen Beschluss einkassiert hat, gingen viele Unternehmen dazu über, sich von ihrem Nicht-EU-Geschäftspartner bzw. Dienstleister aus den USA Zusicherungen einzuholen, die den datenschutzkonformen Umgang mit den entsprechenden personenbezogenen Daten garantieren sollte.

Biden macht´s möglich

Einen wichtigen Schritt hin zur Normalisierung der datenschutzrechtlichen Verhältnisse zwischen den USA und der EU legte US-Präsident Biden im Oktober diesen Jahres. Am 07. Oktober trat ein neues US-Dekret in Kraft, welches die Zugriffsrechte amerikanischer Sicherheitsbehörden beschränken soll. EU-Bürgerinnen und -Bürger können zudem Rechtsbehelfe bzw. Rechtsverstöße vor einem neu geschaffenen US-Gericht geltend machen.

Aus diesem Grund sieht die EU-Kommission nunmehr kein Hindernis mehr, den Datentransfer in die USA als unsicher einzustufen.

Nächste Schritte

Der Angemessenheitsbeschluss wird nun das Annahmeverfahren durchlaufen: In einem ersten Schritt hat die Kommission ihren Beschlussentwurf dem Europäischen Datenschutzausschuss (EDSA) vorgelegt. Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Nach Abschluss dieses Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen.

Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und den europäischen Datenschutzbehörden sowie von den zuständigen US-Behörden überprüft werden.