Transatlantische Datentransfers

US-amerikanische Unternehmen sind heute aus der deutschen Wirtschaft kaum wegzudenken. Produkte von Microsoft, Amazon, Alphabet und Co. sind seit einigen Jahren fester Bestandteil vieler Unternehmen in Deutschland und Europa. Die Daten, die bei der Produktnutzung anfallen, fließen meist in die USA. Ein solcher Datenfluss in Länder außerhalb der EU bzw. des EWR (Drittlandstransfer) ist durchaus üblich und unter Einhaltung bestimmter Vorgaben datenschutzkonform möglich.

Mit Blick auf den Kurswechsel, den die US-amerikanische Politik unter US-Präsident Donald Trump derzeit erfährt, könnten die Zeiten eines einfachen Datentransfers in die USA jedoch bald vorbei sein. Dieser Beitrag wagt einen Blick in die Glaskugel und betrachtet, welche Chancen und Risiken auf Europa und verantwortliche Unternehmen in Deutschland zukommen könnten.

Ein Drittlandtransfer personenbezogener Daten unterliegt den Regelungen der EU Datenschutz-Grundverordnung (DSGVO). Die Vorgaben der Art. 44 ff. DSGVO sollen ein dem EU-Datenschutzrecht gleichwertiges Niveau auch außerhalb von EU/EWR garantieren. Verantwortliche können sich hierzu verschiedener Instrumente wie Angemessenheitsbeschlüsse und Standardvertragsklauseln bedienen. Für den Datentransfer in die USA bestanden bereits mehrere Angemessenheitsbeschlüsse: Das erste transatlantische Abkommen zum Datentransfer aus dem Jahr 2000, genannt „Safe Harbor“ wurde 2015 im Rahmen der Klage des österreichischen Datenschutzaktivisten Maximilian Schrems durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt (Schrems-I-Urteil).

Auch das Nachfolgeabkommen „EU-U.S. Privacy Shield“ hielt nur bis zu dem 2020 ergangenen Schrems-II-Urteil des EuGH stand. Es folgten neue Standardvertragsklauseln sowie eine abgeschwächte Form eines Angemessenheitsbeschlusses, dessen Anwendbarkeit bestimmten Bedingungen unterliegt: Denen des EU-USA Datenschutzrahmen (engl. EU-U.S. Data Privacy Framework – DPF), der nun bereits seit Juli 2023 gilt. Zur Anwendbarkeit müssen sich US-amerikanische Unternehmen hierfür zunächst einer Selbstzertifizierung unterziehen – eine DSGVO-konforme Übermittlung ist allein auf Basis des DPF also nicht zu jedem Unternehmen in den USA möglich. Basis des DPF bildet eine Vereinbarung zwischen der EU und den Vereinigten Staaten (DPFA) sowie die durch den ehemaligen US-Präsidenten Joe Biden unterzeichnete Executive Order. Das DPFA sieht insbesondere vor, dass die USA mit einem unabhängigen Aufsichtsgremium den Schutz der Privatsphäre und der bürgerlichen Freiheiten sowie die Einhaltung der Executive Order sicherstellt. Diese Aufgabe übernimmt seither das U.S. Privacy and Civil Liberties Oversight Board (PCLOB).

Für den Schutz von Betroffenen und insbesondere vulnerablen Betroffenengruppen ist der Datenschutz ein wichtiges Instrument, um Diskriminierung zu vermeiden und funktionale Rechtsmittel gegen unrechtmäßige Verarbeitungen durch nationale Behörden sicherzustellen. U.S.-Präsident Trump hat bereits in den ersten Tagen seiner Präsidentschaft Worten Taten folgen lassen. Seine Pläne zum Abbau von Bürokratie treffen dabei auch den Datenschutz. Joe Bidens Executive Order besteht zwar weiterhin, allerdings wurden im Januar mehrere Mitglieder des PCLOB entlassen, wodurch in Fachkreisen die Sorge besteht, dass das PCLOB in seiner Handlungsfähigkeit und Unabhängigkeit eingeschränkt wird.

Datenschützende spekulieren schon seit der Einführung des DPF über dessen Lebensdauer. Auch Maximilian Schrems kündigte bereits nach Unterzeichnung der Executive Order durch Joe Biden Zweifel an dem neuen Angemessenheitsbeschluss an. Ein Ende des aktuellen Angemessenheitsbeschlusses käme damit nur wenig überraschend. Es stellt sich daher also kaum die Frage, ob das DPF weiter Bestand haben wird, sondern vielmehr, wer das DPF als erstes zum Fall bringt: Schrems, Trump oder doch die EU?

Die Historie der EU-U.S. Datenschutzabkommen zeigt, dass sowohl die EU als auch die USA bisher an schnellen Einigungen interessiert waren und Unternehmen bisher nur kurze Übergangsphasen von einem zum anderen Angemessenheitsbeschluss überbrücken mussten. Davon unabhängig können Daten aber auch ohne Angemessenheitsbeschluss in Drittländer übermittelt werden, sofern Garantien nach den Anforderungen der Art. 46 ff. DSGVO vorliegen. Am verbreitetsten dürften die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c DSGVO sein, die durch Datenexporteur und Datenimporteur auszufüllen und zu unterzeichnen sind. Dabei sind die geltenden Rechte und/oder die geltenden Praktiken des Drittlands im Rahmen eines Transfer Impact Assessments zu prüfen. 

Auch technische Maßnahmen, wie Pseudonymisierung und Verschlüsselung mittels eigenem Schlüssel, können den Datenschutz beim Drittlandstransfer stärken. Es lohnt sich bei einigen Anbietern auch den europäischen Markt zu betrachten: Gerade aufgrund der datenschutzrechtlichen Vorgaben finden sich immer mehr Dienstleister innerhalb der EU, die datensparsame und DSGVO-konforme Produkte anbieten.

Egal wie Sie sich entscheiden: MKM unterstützt Sie bei der datenschutzkonformen Gestaltung Ihrer Datentransfers. Sprechen Sie uns gerne an!

Autorin: Rebecca Schimkat LL.M. (Senior Data Privacy Consultant)