Rechtssicherer Datentransfer in die USA

Seitdem der Europäische Gerichtshof das Privacy-Shield-Abkommen gekippt hat, hat die Politik um einen rechtssicheren Rahmen zur Übermittlung von Daten aus Europa in die USA gerungen. Ein solcher Rahmen ist für Unternehmen essenziell, wenn sie z.B. amerikanische Buchhaltungssoftware, Videokonferenzplattformen oder CRM-Systeme einsetzen, Dienste von US-Cloud-Anbietern wie Google, Microsoft und Amazon nutzen oder auf US-Newslettersoftware wie beispielsweise Mailchimp zurückgreifen. Beim Einsatz solcher Tools mussten Unternehmen mit behördlichen Untersuchungen und Bußgeldern rechnen. 

Nun ändert sich der rechtliche Rahmen: Die Europäische Kommission hat einen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA erlassen. Mit Inkrafttreten des neuen EU-US Data Privacy Framework ist somit die neue Grundlage für einen rechtskonformen Einsatz von Analyse-, Tracking- und Marketing-Tools aus den USA gesetzt.

Bislang mussten Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen Dienstleister in den Vereinigten Staaten verarbeiten ließen, genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistete, das dem der EU gleichwertig war.

Dafür konnten die Standardvertragsklauseln die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen und Vorkehrungen getroffen werden, um das entsprechende Schutzniveau der Daten zu gewährleisten. Konnte die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden. Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen, Mailingsoftware oder Konferenz-Tools – neuen Risiken unterworfen.

Mit dem neuen EU-US-Datenschutzabkommen besteht nun wieder eine Rechtsgrundlage zur Übermittlung solcher Daten in die USA. Allerdings gilt der Angemessenheitsbeschluss nur, sofern der jeweilige US-Datenempfänger am Abkommen teilnimmt, folglich also unter dem EU-US Data Privacy Framework beim US Department of Commerce zertifiziert ist. Dieses Verfahren der Selbstzertifizierung läuft derzeit. Anschließend ist eine jährliche Rezertifizierung der Unternehmen erforderlich, welche die US-Dienste ebenfalls eigenständig vornehmen. Auf einer eigens dafür eingerichteten Webseite können Unternehmen nun einsehen, welche US-Organisationen sich bereits zertifiziert haben. So lässt sich sicherstellen, dass die jeweiligen Dienstanbieter am Abkommen teilnehmen und die entsprechenden Tools daher sicher weiter nutzbar sind. 

Die Gültigkeitsdauer des Beschlusses ist zeitlich nicht begrenzt. Eine regelmäßige Überprüfung durch die Europäische Kommission ist jedoch vorgesehen. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des US-Rechtsrahmens in der Praxis wirksam sind. Weitere Überprüfungen finden mindestens alle vier Jahre statt. Zudem kann ein Angemessenheitsbeschluss bei Entwicklungen, die sich auf das Schutzniveau in dem betreffenden Drittland auswirken, angepasst oder zurückgezogen werden.

Unsicher ist derzeit, wie lange das Abkommen Bestand haben wird. Die beiden Vorgänger – Privacy Shield und Safe Harbor – hatte der Europäische Gerichtshof (EuGH) nach Klagen des Datenschutzaktivisten Max Schrems für ungültig erklärt. Schrems hatte kurz nach Inkrafttreten des neuen Beschlusses angekündigt erneut klagen zu wollen. Daher bleibt abzuwarten, ob der EU-US Data Privacy Framework eine langfristige, verlässliche Rechtsgrundlage für Unternehmen bieten wird.