Aktuell ist es aufwändig bis unmöglich in datenschutzkonformer Weise IT- oder Clouddienstleistungen aus den USA zu beziehen. Das aufgelöste Datenschutzabkommen mit den USA und die strengen Vorgaben des Europäischen Gerichtshofs (Schrems-II-Urteil) erschweren den freien Datenaustausch mit den USA massiv. Nun vermittelt die Europäische Kommission neue Hoffnung für einen Angemessenheitsbeschluss.
USA bessern im Datenschutz nach
Im Oktober 2022 hat US-Präsident Joe Biden die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” unterzeichnet. Mit dieser soll der Zugriff von Geheimdiensten unter dem Motto der nationalen Sicherheit eingeschränkt werden. Daneben sollen für betroffenen Personen zusätzliche Rechtsmittel und ein Überprüfungsgericht (Data Protection Review Court (‘DPRC’)) geschaffen werden.
Ob und inwieweit allein durch diese Executive Order die Kritik eines fehlenden Rechtsschutzes und geringeren Datenschutzniveaus in den USA aus der Welt geschaffen werden kann, wird bezweifelt.
Angemessenheitsbeschluss der Europäischen Kommission
Die Europäische Kommission hat inzwischen einen Entwurf für einen Angemessenheitsbeschluss auf den Weg gebracht. Der Entwurf kann hier eingesehen werden. Daneben wurden zu diesem Thema in einer Pressemitteilung diverse weitere Informationen zusammengefasst.
Viele Unternehmen hoffen auf einen solchen Beschluss, da damit der Datentransfer zwischen EU und USA rechtlich deutlich vereinfacht wird. Dann müssen Unternehmen weniger Energie in Risikobewertungen, technische Maßnahmen und Verträge stecken, um rechtmäßig Daten exportieren zu dürfen. Die Beauftragung von US-amerikanischen IT-Dienstleistern dürfte damit wieder deutlich niederschwelliger werden.
Politisch kann man fast erwarten, dass schnell ein Angemessenheitsbeschluss zustande kommt. Ob dieser dann demnächst zu einem erfolgreichen Schrems-III führt, bleibt abzuwarten.
Was sollten Unternehmen jetzt beachten?
Ein Angemessenheitsbeschluss ersetzt weder Risikobewertungen noch eine fundierte IT-Konzeption. Daher sollten Unternehmen natürlich auch weiterhin Ihre Hausaufgaben beim Schutz von Daten machen.
Wer aktuell plant IT-Dienstleistungen in den USA oder von Unternehmen mit Muttergesellschaften in den USA zu beschaffen, sollte unbedingt die Entwicklung der nächsten 3 bis 6 Monate beobachten. Ggf. lohnt es sich, die weniger zeitkritischen Vorhaben ein wenig später und – mit einem Angemessenheitsbeschluss – rechtlich etwas leichtgewichtiger umzusetzen.
Bildquellen:
- Europäische Kommission, (Symbolbild): 474271041 Adobe Stocks | stock.adobe.com