Neues EU-US Datenschutzabkommen
Ab jetzt wieder möglich: Personenbezogene Daten dürfen rein datenschutzrechtlich wieder in die USA übermittelt werden. Dafür sorgt ein neues Abkommen zwischen der EU und den USA. Wir geben einen Überblick über die Hintergründe und erklären, warum Unternehmen weiterhin ein Risiko tragen, wenn Daten an US-amerikanische Unternehmen oder Server übermittelt werden.
Wenn die Übertragung personenbezogener Daten in einem Theaterstück erzählt würde, befänden wir uns nun im dritten Akt. Aber der Reihe nach.
Die EU, der Datenschutz und die USA: Ein Theater in drei Akten
Einleitung: Seit Einführung der DSGVO vor über fünf Jahren gelten strenge Regeln, um einen höheren Schutz für die Daten europäischer Bürger zu gewährleisten. Datenschutz ist in der EU ein Grundrecht für jeden Bürger. Dieses Grundrecht kann nur auf dem eigenen Hoheitsgebiet der EU tatsächlich gewährleistet werden, denn hier dürfen auch bei Verstößen entsprechende Strafen ausgesprochen werden. Für die Übertragung von Daten in Länder außerhalb der EU müssen daher noch andere Maßnahmen ergriffen werden, um das gleiche Niveau zu erreichen. Solche Übermittlungen sind gemäß DSGVO nur dann ohne Weiteres erlaubt, wenn die übertragenen Daten im Ausland einem gleichwertigen Schutz unterliegen wie in der EU. Ist dies der Fall und wurde dieser Schutz durch die EU nach Prüfung bestätigt, wird ein sogenannter Angemessenheitsbeschluss für das Zielland gefasst und veröffentlicht. Dies ist zum Beispiel bei Norwegen, der Schweiz, Liechtenstein und einigen anderen Ländern schon länger der Fall.
Akt I: Auch für die USA bestand anfangs ein Angemessenheitsbeschluss. Der Beschluss erlaubt es Unternehmen, personenbezogene Daten ins jeweilige Ausland zu übertragen ohne sich um weitere Maßnahmen kümmern zu müssen. Den Angemessenheitsbeschluss für die USA wurde dann jedoch durch den Europäischen Gerichtshof (EuGH) gekippt. Dieser stellte einer Klage folgend fest, dass die US-amerikanische Gesetzgebung es den dortigen Geheimdiensten erlaubt, ungehindert und ohne dass die davon betroffene Person es erfahren würde, auf Daten europäischer Bürger zuzugreifen. Dies würde dem in der DSGVO festgelegten Schutz der Daten. Das Paradoxe daran: auch in der lokalen Gesetzgebung der EU-Länder findet man entsprechende Rechte für Behörden und Geheimdienste.
Akt II: Die USA und die EU unterzeichneten ein neues Abkommen, um den Datenschutz in den USA wieder an die europäischen Anforderungen anzugleichen. Die EU-Kommission quittierte die Anstrengungen mit einem neuen Angemessenheitsbeschluss, hatte die Rechnung jedoch abermals ohne den EuGH gemacht. Nein, in den USA besteht noch immer kein gleichwertiges Datenschutzniveau wie in der EU, urteilte der EuGH 2020 und kippte den Angemessenheitsbeschluss ein zweites Mal. Was hatte das für Auswirkungen? Es folgten drei Jahre, in denen die Übermittlung von personenbezogenen Daten in die USA nur mit erheblichem Mehraufwand geduldet wurde: EU-Unternehmen mussten spezielle Verträge mit US-Anbietern abschließen, dass die Empfänger alle Anstrengungen unternehmen würden, um übertragene Daten gegen unbefugte Offenlegung zu schützen. Zudem musste die Übertragung durch eine Risikoanalyse weiter bewertet werden und zusätzliche Maßnahmen ergriffen werden, um das Risiko von Zugriffen zu minimieren. Dies erfolge beispielsweise indem technische Maßnahmen umgesetzt wurden, die die Daten zusätzlich verschlüsselten. Im Datenschutz-Jargon wird eine solche Analyse Transfer Impact Assessment genannt. Alles in allem ein hoher, zu dokumentierender Aufwand, der die letzten Jahre viel Geld und Nerven gekostet hat.
Akt III: Es folgt eine Wiederholung von Akt I und II: Nach langem Hin und Her beschloss die US-Regierung, dass ihre Geheimdienste nur noch dann auf Daten europäischer Bürger zugreifen dürften, wenn dafür eine Notwendigkeit oder Verhältnismäßigkeit gegeben sei. Auf dieser Grundlage und ein paar weiteren Sicherheiten, zu denen sich die USA verpflichtet hat, wurde im Juli 2023 ein neues Datenschutzabkommen unterzeichnet. Das freute die EU-Kommission so sehr, dass sie beschloss, die USA wieder in die Liste der Länder mit aufzunehmen, in die Daten von EU-Bürgern ohne vermeintliche Sicherheitseinbußen übermittelt werden dürften. Doch nicht zu voreilig: Auch weiterhin muss genau geprüft werden, wem man da seine Daten gibt, denn das Abkommen verlangt, dass die Unternehmen sich selbst zum Datenschutz verpflichten und zertifiziert werden.
Was jetzt?
Und da sind wir nun also. Als aufmerksamer Leser können Sie sich sicherlich vorstellen, was als nächstes passiert: Richtig, der EuGH wird aller Wahrscheinlichkeit nach eine neue Prüfung des Angemessenheitsbeschlusses durchführen, um die Vereinbarkeit mit europäischem Recht entweder zu bestätigen oder zu negieren. Das dauert erfahrungsgemäß ein bis zwei Jahre Zeit und der Ausgang bleibt offen.
Dass auch in den USA mittlerweile ein erhöhtes Augenmerk auf Datenschutz gerichtet wird und tatsächlich einiges umgesetzt wurde, zeigt die zunehmende Anzahl von Unternehmen, die in letzter Zeit durch die US-Behörde FTC (Federal Trade Commission) wegen Datenschutzverstößen mit mittleren achtstelligen Bußgeldern belegt wurden, darunter bekannte Größen wie Microsoft, Amazon, Google oder Epic Games. Die Behörde ist für die Kontrolle des internationalen Handels zuständig, also auch für den mit der EU. Offenbar hat die Behörde in den letzten Jahren bemerkt, dass auch US-Unternehmen, wenn Sie mit der EU handeln unter die DSGVO fallen – und sich damit ganz gute Einnahmen generieren lassen. Im Vergleich zu den Bußgeldern in der EU sind diese nämlich nicht so zimperlich und vergeben gleich Bußgelder in Millionenhöhe.
Zwar müssen Unternehmen ab theoretisch keine speziellen Verträge abschließen oder Risikoabschätzungen durchführen, wenn Daten in die USA – beispielsweise durch den Einsatz von Microsoft 365 oder eingebundene US-Dienste auf der Webseite – übertragen werden sollen, aufgrund des Angemessenheitsbeschlusses. Der neue Angemessenheitsbeschluss ist aber durch seine Einschränkung kein Freifahrtschein für unkontrollierten Datentransfer. Voraussetzung ist, dass der Datenimporteur unter dem neuen Abkommen zertifiziert ist. Hierzu wurde eine Liste zertifizierter Empfänger durch die US-Behörden veröffentlicht. Unternehmen müssen daher prüfen, ob der gewünschte Empfänger in dieser Liste aufgeführt ist. Man sollte aber nicht glauben, dass diese „Zertifizierung“ irgendeinen echten Beweiswert hätte – das Verfahren ist ein Eintrag in ein Formular auf einer Webseite und ein tatsächliches Prüfverfahren steckt nicht dahinter – das kann man schon daran sehen, dass hier einfach sämtliche Unternehmen, welche sich ausschließlich nach dem alten Abkommen verpflichtet haben, auch schon direkt aus der alten Datenbank übernommen wurden. Gerade deswegen sollte man doch noch etwas Vorsicht walten lassen und seine Auftragsverarbeiter sehr genau aussuchen.
Empfehlung
Datentransfers in die USA sollten aus Datenschutzsicht nach wie vor auf ein notwendiges Minimum reduziert und so gut es geht zusätzlich abgesichert werden. Bis zur nächsten Entscheidung des EuGH ist noch nicht endgültig geklärt, ob das derzeitige Datenschutzabkommen auch zukünftig Bestand haben wird. Für die meisten von US-Unternehmen bereitgestellten Dienste sind mittlerweile europäische Alternativen verfügbar, die ohne das rechtliche Risiko der Drittlandübermittlungen genutzt werden können. Im Hinblick auf zukünftige Änderungen der Voraussetzung von Drittlandübermittlungen (die übrigens bereits durch die Verwendung von Google Web Fonts auf Ihrer Webseite stattfinden) sind Sie besser gewappnet, wenn Sie sich Ihrer eingesetzten US-Dienste bewusst sind und diese auf ein notwendiges Minimum einschränken. Sprechen Sie uns gerne an, wenn Sie auf der Suche nach einem passenden alternativen Dienst sind. Gerne beraten wir Sie zu diesem Thema.