International

Aktuelle Entwicklungen beim transatlantischen Datenverkehr

Aktuelle Entwicklungen

Am 3. Juli 2023 hat die US-Handelsministerin erklärt, dass die USA alle Verpflichtungen zur Umsetzung des EU-US Datenschutzrahmens erfüllen.
Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss (adequacy decision) für den Datenverkehr zwischen der EU und den USA erlassen. 
Der Beschluss legt fest, dass die USA für personenbezogene Daten ein mit dem europäischen Standard vergleichbares Schutzniveau gewährleisten. Somit gelten die USA gemäß Art. 45 Datenschutz-Grundverordnung (wieder) als sicheres Drittland und die Übermittlung personenbezogener Daten bedarf keiner zusätzlichen Genehmigung. 
Der neue Datenschutzrahmen EU-USA sieht zum Beispiel die Schaffung eines Gerichts zur Datenschutzüberprüfung vor. Die Gültigkeit des Beschlusses ist zeitlich nicht begrenzt. Es ist aber eine regelmäßige Überprüfung seitens der EU-Kommission vorgesehen, um die Wirksamkeit in der Praxis zu evaluieren.
Der Angemessenheitsbeschluss gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen an US-Unternehmen, die am EU-USA-Datenschutzrahmen teilnehmen. US-Unternehmen müssen zur Teilnahme am Datenschutzrahmen eine Selbstzertifizierung durchlaufen und angeben, dass sie detaillierte Datenschutzpflichten einhalten.
Der neue Rechtsrahmen ist essentiell für Unternehmen, wenn sie zum Beispiel amerikanische Software, Konferenzplattformen oder CRM-Systeme einsetzen oder US-Cloud-Dienste nutzen.
Nähere Informationen stehen auf der Webseite von Germany Trade and Invest bereit:

Urteil des EuGH – Allgemeines

Der Europäische Gerichtshof (EuGH) hatte am 16. Juli 2020 die Rechtsgrundlage für die Datenübermittlung in die USA gekippt aufgrund des unzureichenden Datenschutzniveaus. Das sogenannte „Privacy Shield Abkommen“ ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden/-innen, Mitarbeitenden oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig.
Weil sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen ließ, sah der EuGH allerdings keine Möglichkeit, ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln durfte, konnten als alternative Rechtsgrundlage nur bedingt helfen.

Was bedeutete das Urteil in der Praxis?

Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen IT-Dienstleister in den Vereinigten Staaten verarbeiten ließen, mussten genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistete, das dem der EU gleichwertig war.
Dafür konnten die Standarddatenschutzklauseln die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen getroffen werden, um die Daten zu schützen.
Konnte die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden. 
Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen oder Konferenz-Tools – neuen Risiken unterworfen. 

Welche Aufgaben entstanden daraus für die Unternehmen?

Zunächst war zu prüfen, welche Rechtsgrundlage die Datenübermittlung in die USA rechtfertigte. Wurden die Daten beispielsweise zur Erfüllung eines Vertragsverhältnisses dorthin übermittelt, waren keine weiteren Grundlagen erforderlich. Ferner musste festgestellt werden, mit welchen Dienstleistern zusammengearbeitet und wo die Daten tatsächlich verarbeitet wurden.
Die Vertragspartner mussten offenlegen, welche Subunternehmen sie mit der Datenverarbeitung beauftragt hatten und wo diese die Informationen verarbeiten. Werden die Daten allein auf Grundlage des Privacy Shield übermittelt, war zu prüfen, ob mit dem Vertragspartner in den USA die Standarddatenschutzklauseln vereinbart werden können – eventuell mit zusätzlichen Vereinbarungen.
Voraussetzung waren entsprechende Recherchen über die komplexen Sicherheitsgesetze, denen der US-amerikanische Vertragspartner unterliegt. Das war in vielen Fällen für kleine und mittlere Unternehmen aber praktisch nicht möglich. 
Die Neuregelung des transatlantischen Datenverkehrs birgt nun also Erleichterungen.

Betrifft das EuGH-Urteil auch den Datenverkehr mit weiteren Staaten?

Zunächst galt die Entscheidung des EuGHs nur für die USA, aber die allgemeinen Anforderungen aus dem Urteil finden auch auf den Datentransfer in andere Drittstaaten, also Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraumes, Anwendung.
Da die EU nur zu wenigen Staaten einen Angemessenheitsbeschluss gefasst hat (beispielsweise zu Japan), gibt es viele Handelspartner, bei denen eine Datenübermittlung nur auf Grundlage der Standarddatenschutzklauseln rechtmäßig erfolgen kann.
Auch hier müssen die Unternehmen selbst prüfen, ob ein der komplexen EU-Regelung gleichwertiges Datenschutzniveau besteht. Insbesondere bei Staaten, in denen Nachrichten- beziehungsweise Geheimdienste umfassende Kompetenzen haben, wird dies erhebliche Probleme bereiten. 
Letzte Aktualisierung: 4. August 2023