Die Europäische Kommission erklärte heute das Datenschutzniveau in den USA für angemessen und ermöglicht Unternehmen im Rahmen des EU-US-Data-Privacy-Frameworks wieder einen einfacheren Einsatz von IT-Dienstleistern und Cloud-Anbietern aus den USA. Alle großen rechtlichen Hürden für eine Übermittlung von personenbezogenen Daten in die USA scheinen damit beseitigt zu sein. Doch viele Datenschützer sehen das anders und warnen vor dem nächsten vernichtenden Urteil des Europäischen Gerichtshofs. Wir erklären, was Unternehmen jetzt beachten müssen.
Inhalt
Was ist das EU-US-Data-Privacy-Framework?
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Datenschutzabkommen mit den USA („Privacy Shield”) für unwirksam – wieder einmal. Das Privacy Shield kam 2016 zustande, nachdem bereits der Vorläufer „Safe Harbor“ gekippt wurde. Jetzt ist also Teil III da: das EU-US-Data-Privacy-Framework oder auch Trans-Atlantic Data Privacy Framework, kurz TADPF, genannt.
Doch was ist eigentlich das Problem und was müssen Unternehmen beachten, wenn sie bereits mit US-Unternehmen zusammenarbeiten oder jetzt damit anfangen möchten?
Was ist das Problem mit dem Datenschutz in den USA?
Die bisherigen Datenschutzabkommen mit den USA wurden für unwirksam erklärt, weil in den USA einfach ein schlechteres Datenschutzniveau besteht als in Europa. Ein Hauptvorwurf ist, dass staatliche Institutionen unter der Begründung der “Nationalen Sicherheit” auf Daten von Unternehmen und Bürger zugreifen können, ohne hierzu einen richterlichen Beschluss vorweisen zu müssen. Oftmals werden die Beteiligten unter Strafandrohung zur Verschwiegenheit verpflichtet, sodass betroffene Personen hiervon weder Kenntnis erlangen, noch die Chance haben, sich dagegen zu wehren.
Seitdem der Europäische Gerichtshof das letzte Abkommen für unwirksam erklärt hat, ist die Zusammenarbeit von europäischen und amerikanischen Unternehmen deutlich komplizierter geworden. Vor allem der Einsatz von IT-Dienstleistern oder Cloud-Anbietern aus den USA gestaltet sich datenschutzrechtlich problematisch. Bei der Nutzung solcher Dienste werden regelmäßig personenbezogene Daten der europäischen Unternehmen in die USA übermittelt, z. B. wenn dort die genutzten Cloud-Server stehen. Aber auch wenn die Cloud-Server in europäischen Rechenzentren stehen, haben die US-Unternehmen oft Zugriff auf die Daten, beispielsweise für Wartungszwecke oder technischen Support. Hier bestehen nun starke Bedenken, dass staatliche Institutionen aus den USA auf die Daten europäischer Unternehmen und europäischer Bürger zugreifen können, ohne dass dies ausreichend beschränkt ist oder transparent gemacht wird.
Was macht das EU-US-Data-Privacy-Framework anders?
Kurz: Nur sehr wenig.
Im Rahmen der früheren Datenschutzabkommen war es für Unternehmen recht einfach, die erforderlichen rechtlichen Voraussetzungen zu schaffen, um personenbezogene Daten in die USA zu übermitteln. Egal, ob das beim Einsatz von IT-Dienstleitern oder Cloud-Anbietern in den USA passiert, oder wenn Mitarbeiter von US-Unternehmen auf Server und Daten in Europa zugreifen können.
Das EU-US-Data-Privacy-Framework ist eine Neuauflage der alten Datenschutzabkommen. Das Funktionsprinzip ist vergleichbar mit früheren Versionen: US-Unternehmen müssen sich zur Einhaltung bestimmter Grundsätze beim Umgang mit personenbezogenen Daten aus Europa verpflichten und bei der US-Handelsbehörde registrieren lassen. Ob uns inwieweit die Einhaltung dieser Selbstverpflichtungen durch wirksame, unabhängige Kontrollen überprüft wird, ist unklar.
Die US-Handelsbehörde FCC schätzt das Abkommen so ein (Übersetzung aus dem englischen Original):
“[…] Das EU-US DPF wird jedoch keine neuen materiellen Verpflichtungen für die teilnehmenden Organisationen in Bezug auf den Schutz personenbezogener Daten in der EU schaffen. Die Datenschutzprinzipien und das Verfahren zur Selbstzertifizierung und jährlichen Neuzertifizierung bleiben im Wesentlichen unverändert. Die teilnehmenden Organisationen werden weiterhin verpflichtet sein, die Datenschutzgrundsätze in ihrer geänderten Fassung im Rahmen des EU-US DPF einzuhalten, einschließlich der Verpflichtung zur Selbstzertifizierung durch das US-Handelsministerium.”
Vorbereitend zum EU-US-Data-Privacy-Framework hat US-Präsident sogenannte Executive Order erlassen, mit der ein Zugriff staatlicher Institutionen auf Daten von EU-Bürgern erschwert werden soll. Betroffenen Personen sollen daneben eine Kontakt- und Beschwerdestelle angeboten werden, auch hier wird von Kritikern bezweifelt, ob dadurch wirksam Betroffenenrechte wahrgenommen werden können.
Rechtlich fällt für EU-Unternehmen damit zunächst eine Hürde weg, die bisher personellen Aufwand und Kosten produziert hat. Viele Autoren nehmen an, dass auch das EU-US-Data-Privacy-Framework vor dem Europäischen Gerichtshof angegriffen und möglicherweise für unwirksam erklärt wird. Nach Schrems-II wird Schrems-III erwartet.
Europäische Unternehmen sollten sich daher nicht allein auf das EU-US-Data-Privacy-Framework verlassen und parallel weitere Maßnahmen zur rechtlichen Absicherung treffen.
Was müssen Unternehmen beim EU-US-Data-Privacy-Framework beachten?
Wenn Sie IT-Dienstleistungen oder Cloud-Anbieter aus den USA unter dem EU-US-Data-Privacy-Framework nutzen wollen, dürfen Sie nur mit Unternehmen zusammenarbeiten, die für das EU-US-Data-Privacy-Framework zertifiziert sind. Nachprüfen können Sie das über die Webseiten der US-Handelsbehörde.
Wie schon bei den früheren Datenschutzabkommen, wird auch heute empfohlen, zusätzlich mit den Unternehmen einen wirksamen Vertrag auf Grundlage der EU-Standard-Datenschutzklauseln (EU 2021/914) abzuschließen. Sollte zukünftig das EU-US-Data-Privacy-Framework für unwirksam erklärt werden, können die EU-Standard-Datenschutzklauseln eine alternative Rechtsgrundlage für den Datentransfer in die USA darstellen.
Wir haben hier eine Checkliste EU-US-Data-Privacy-Framework zusammengestellt, in der wir die wichtigsten zu beachtenden Punkte aufgeführt haben.
Wir beraten Sie gerne bei der Prüfung Ihrer IT-Projekte und IT-Dienstleister? Wollen Sie hierzu mehr erfahren? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.