International

Transatlantischer Datenverkehr

Aktuelle Entwicklungen

Die Trump-Administration stellt mit der Entlassung von Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) die Überwachung des EU-U.S. Data Privacy Framework (DPF) infrage, welches die rechtskonforme Übermittlung personenbezogener Daten aus der EU in die USA ermöglicht.
Diese Entscheidungen könnten weitreichende Folgen für transatlantische Datentransfers haben.
Das PCLOB ist unter anderem zuständig für die Überwachung der Einhaltung der Vorgaben im EU-U.S. Data Privacy Framework. Es überprüft unter anderem, ob die US-Geheimdienste die Datenschutzanforderungen der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ (Executive Order 14086) einhalten.
Diese Executive Order ist das zentrale Element des Data Privacy Framework und regelt den Umgang mit personenbezogenen Daten aus der EU, insbesondere durch die Begrenzung des Zugriffs von US-Geheimdiensten. Die Schwächung des PCLOB durch politische Entscheidungen könnte nicht nur das Vertrauen der EU in die Wirksamkeit des Frameworks untergraben, sondern auch die Grundlage für künftige Datenschutzabkommen infrage stellen. Auch der für die Entscheidung über Beschwerden von EU-Bürgern berufenen Data Protection Review Court dürfte mit dieser Auslegung nicht mehr unbedingt als unabhängiges Gremium bestehen bleiben können, selbst wenn die das DPF stützende „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ bislang bestehen bleibt.
Dieses Verständnis könnte langfristig mit den europäischen Anforderungen an Datenschutzabkommen kollidieren. Das EU-U.S. Data Privacy Framework hängt entscheidend von der Wirksamkeit und Unabhängigkeit der US-Datenschutzkontrollmechanismen ab.
Die jüngsten politischen Entscheidungen und das zugrunde liegende Staatsverständnis werfen jedoch die Frage auf, ob die USA langfristig die Anforderungen der EU erfüllen können. Sollte das PCLOB geschwächt oder die Executive Order 14086 geändert werden, droht nicht nur das Scheitern des EU-U.S. Data Privacy Framework, sondern auch möglicherweise das Ende künftiger transatlantischer Datenschutzabkommen.
Unternehmen sollten die Entwicklungen im Bereich des grenzüberschreitenden Datenverkehrs für personenbezogene genau im Auge behalten, um schnell auf Änderungen reagieren zu können.
Am 3. Juli 2023 hat die damalige US-Handelsministerin erklärt, dass die USA alle Verpflichtungen zur Umsetzung des EU-US Datenschutzrahmens erfüllen. Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss (adequacy decision) für den Datenverkehr zwischen der EU und den USA erlassen.
Der Beschluss legt fest, dass die USA für personenbezogene Daten ein mit dem europäischen Standard vergleichbares Schutzniveau gewährleisten. Somit gelten die USA gemäß Art. 45 Datenschutz-Grundverordnung als sicheres Drittland und die Übermittlung personenbezogener Daten bedarf keiner zusätzlichen Genehmigung. Die Gültigkeit des Beschlusses ist zeitlich nicht begrenzt. Es ist aber eine regelmäßige Überprüfung seitens der EU-Kommission vorgesehen, um die Wirksamkeit in der Praxis zu evaluieren.
Der Angemessenheitsbeschluss gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen an US-Unternehmen, die am EU-USA-Datenschutzrahmen teilnehmen. US-Unternehmen müssen zur Teilnahme am Datenschutzrahmen eine Selbstzertifizierung durchlaufen und angeben, dass sie detaillierte Datenschutzpflichten einhalten.
Der Rechtsrahmen ist essentiell für Unternehmen, wenn sie zum Beispiel amerikanische Software, Konferenzplattformen oder CRM-Systeme einsetzen oder US-Cloud-Dienste nutzen.
Nähere Informationen zur bisherigen Regelung stehen auf der Webseite der Germany Trade and Invest GmbH (GTAI) bereit:

Urteil des EuGH – Allgemeines

Der Europäische Gerichtshof (EuGH) hatte am 16. Juli 2020 die Rechtsgrundlage für die Datenübermittlung in die USA gekippt aufgrund des unzureichenden Datenschutzniveaus. Das sogenannte „Privacy Shield Abkommen“ ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden/-innen, Mitarbeitenden oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig.
Weil sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen ließ, sah der EuGH allerdings keine Möglichkeit, ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln durfte, konnten als alternative Rechtsgrundlage nur bedingt helfen.

Was bedeutete das Urteil in der Praxis?

Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen IT-Dienstleister in den Vereinigten Staaten verarbeiten ließen, mussten genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistete, das dem der EU gleichwertig war.
Dafür konnten die Standarddatenschutzklauseln die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen getroffen werden, um die Daten zu schützen.
Konnte die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden.
Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen oder Konferenz-Tools – neuen Risiken unterworfen.

Welche Aufgaben entstanden daraus für die Unternehmen?

Zunächst war zu prüfen, welche Rechtsgrundlage die Datenübermittlung in die USA rechtfertigte. Wurden die Daten beispielsweise zur Erfüllung eines Vertragsverhältnisses dorthin übermittelt, waren keine weiteren Grundlagen erforderlich. Ferner musste festgestellt werden, mit welchen Dienstleistern zusammengearbeitet und wo die Daten tatsächlich verarbeitet wurden.
Die Vertragspartner mussten offenlegen, welche Subunternehmen sie mit der Datenverarbeitung beauftragt hatten und wo diese die Informationen verarbeiten. Werden die Daten allein auf Grundlage des Privacy Shield übermittelt, war zu prüfen, ob mit dem Vertragspartner in den USA die Standarddatenschutzklauseln vereinbart werden können – eventuell mit zusätzlichen Vereinbarungen.
Voraussetzung waren entsprechende Recherchen über die komplexen Sicherheitsgesetze, denen der US-amerikanische Vertragspartner unterliegt. Das war in vielen Fällen für kleine und mittlere Unternehmen aber praktisch nicht möglich.
Die Neuregelung des transatlantischen Datenverkehrs birgt nun also Erleichterungen.

Betrifft das EuGH-Urteil auch den Datenverkehr mit weiteren Staaten?

Zunächst galt die Entscheidung des EuGHs nur für die USA, aber die allgemeinen Anforderungen aus dem Urteil finden auch auf den Datentransfer in andere Drittstaaten, also Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraumes, Anwendung.
Da die EU nur zu wenigen Staaten einen Angemessenheitsbeschluss gefasst hat (beispielsweise zu Japan), gibt es viele Handelspartner, bei denen eine Datenübermittlung nur auf Grundlage der Standarddatenschutzklauseln rechtmäßig erfolgen kann.
Auch hier müssen die Unternehmen selbst prüfen, ob ein der komplexen EU-Regelung gleichwertiges Datenschutzniveau besteht. Insbesondere bei Staaten, in denen Nachrichten- beziehungsweise Geheimdienste umfassende Kompetenzen haben, wird dies erhebliche Probleme bereiten.
Letzte Aktualisierung: 27. Januar 2025