Datenschutz

Datentransfers in die USA: Licht am Ende des Tunnels?

Lars Howe

26. Oktober 2022

Drucken

Der Transfer personenbezogener Daten in die USA gehört für viele europäische Unternehmen zum Alltag. Die Einbindung von Konzerngesellschaften mit Sitz in den USA oder von externen Dienstleistern wie Google, HubSpot und Amazon führt häufig dazu, dass personenbezogene Daten nicht nur in der Europäischen Union, sondern auch in den Vereinigten Staaten verarbeitet werden.

Ein solcher Datentransfer birgt jedoch Risiken für den Verantwortlichen: Das zeigen die momentan kursierenden Abmahnungen wegen des Einsatzes von Google Fonts ebenso wie die Entscheidungen mehrerer europäischer Datenschutzbehörden über die Unzulässigkeit des Einsatzes von Google Analytics.

Denn durch solche Drittlandtransfers steigen die datenschutzrechtlichen Anforderungen, die der Verantwortliche erfüllen muss: Neben der gewöhnlichen Rechtsgrundlage für die Verarbeitung personenbezogener Daten – beispielsweise die Einwilligung der betroffenen Person, die Interessenabwägung oder die Erforderlichkeit für die Durchführung eines Vertrages – müssen die jeweiligen Unternehmen auch den Datenexport rechtlich absichern.

Der Status quo

Das „Schremms II"-Urteil

Das für den Verantwortlichen einfachste Mittel zur rechtlichen Absicherung ist ein sogenannter Angemessenheitsbeschluss. Mit diesem stellt die Europäische Kommission fest, dass das Zielland ein angemessenes Datenschutzniveau bietet. Gibt es für ein Zielland einen solchen Beschluss, kann der Verantwortliche ohne weitere behördliche Genehmigung personenbezogene Daten übertragen. Für die Vereinigten Staaten existierte ein solcher Angemessenheitsbeschluss seit dem Jahr 2016 auf der Grundlage des sogenannten Privacy-Shield-Abkommens. Diesen Angemessenheitsbeschluss hob der Europäische Gerichtshof jedoch im Sommer 2020 auf: Das Privacy-Shield-Abkommen enthalte keine ausreichenden Garantien, um den Zugriff der US-Geheimdienste auf die Daten europäischer Bürger auf ein angemessenes Maß zu beschränken und einen effektiven Rechtsschutz sicherzustellen.

Viele Unternehmen mussten in der Folge dieses sogenannten „Schremms II"-Urteils ihre Datenübermittlungen in die USA auf eine neue rechtliche Grundlage stellen. Seit der Entscheidung kommen in den meisten Fällen nur eine Einwilligung der betroffenen Person in die Drittlandsübermittlung oder die sogenannten Standardvertragsklauseln in Betracht. Beide Varianten bergen aber Probleme.

Mögliche Rechtsgrundlagen für den Drittlandtransfer

Die Datenschutzbehörden sehen mit Verweis auf ihren Ausnahmecharakter in der Einwilligung zumindest dann keine ausreichende Rechtsgrundlage, wenn es um regelmäßige und umfassende Übermittlungen personenbezogener Daten geht. Zudem müssen die Betroffenen vor der Einwilligung über die Risiken des Datentransfers in die USA aufgeklärt werden, um eine informierte Entscheidung treffen zu können. Die Anforderungen an diese Informationen umzusetzen, ist in der Praxis regelmäßig schwierig.

Die sogenannten Standardvertragsklauseln sind von der EU-Kommission vorformulierte Vertragswerke, die der Datenexporteur und der Datenimporteur abschließen müssen. Der Europäische Gerichtshof hatte im „Schremms II-Urteil" aber angezweifelt, ob allein der Abschluss der damaligen Standardvertragsklauseln ein angemessenes Datenschutzniveau sicherstellen konnte. Als Reaktion darauf erließ die EU-Kommission im Juni 2021 neue Standardvertragsklauseln, die die Anforderungen des Europäischen Gerichtshofes umsetzen sollen.

Seitdem müssen die Vertragspartner der Standardvertragsklauseln in einem sogenannten Transfer Impact Assessment prüfen, ob sich der Datenimporteur nach den Rechtsvorschriften seines Landes tatsächlich an die Vorgaben der Standardvertragsklauseln halten kann. Nach der Meinung der Datenschutzbehörden ist das grundsätzlich in den USA nicht der Fall, sodass die Parteien neben dem Abschluss der Standardvertragsklauseln regelmäßig weitere technische oder organisatorische Maßnahmen ergreifen müssen, um ein angemessenes Datenschutzniveau sicherzustellen. Dass es sich dabei nicht nur um Formalien handelt, zeigen beispielsweise die Entscheidungen europäischer Datenschutzbehörden zu Google Analytics: Die Nutzung des Tools wurde einzelnen Adressaten untersagt, weil Google keine ausreichenden zusätzlichen Maßnahmen anbietet, um ein ausreichendes Datenschutzniveau zu erreichen.

Ausblick auf die weiteren Entwicklungen

Das EU-US Data Privacy Framework

Im März dieses Jahrs veröffentlichten die EU und die USA eine Grundsatzeinigung auf ein neues Datenschutzabkommen als Nachfolger des Privacy Shield-Abkommens. Das Abkommen erhielt zunächst den Arbeitstitel „Trans-Atlantic Data Privacy Framework" (TADPF) und heißt inzwischen offiziell „EU-US Data Privacy Framework". Anfang Oktober unterzeichnete US-Präsident Biden eine Executive Order, die die Einigung rechtlich umsetzt. Sie soll die Sammlung von Daten europäischer Bürger durch US-Geheimdienste begrenzen und ihnen einen effektiven Rechtsschutz ermöglichen.

Als nächsten Schritt muss die EU-Kommission einen Angemessenheitsbeschluss entwerfen. Im Annahmeverfahren müssen der Europäische Datenschutzausschuss und die Mitgliedsstaaten beteiligt werden, sodass mit einem Abschluss des Verfahrens erst im Frühjahr oder Sommer nächsten Jahres zu rechnen ist. Wenn der Angemessenheitsbeschluss veröffentlicht ist, müssen sich die datenimportierenden US-Unternehmen zudem noch beim US-Handelsministerium selbst zertifizieren.

Licht am Ende des Tunnels oder „Schremms III"?

Der Datenschutzaktivist Max Schremms hat bereits angekündigt, gegen diesen neuen Angemessenheitsbeschluss vorgehen zu wollen. Unternehmen können sich aber jedenfalls so lange auf den Angemessenheitsbeschluss stützen, bis der Europäische Gerichtshof – erfahrungsgemäß nach frühestens zwei oder drei Jahren – über dessen Gültigkeit urteilen wird. Zumindest für einige Zeit wird der zu erwartende Angemessenheitsbeschluss daher die erhoffte Rechtssicherheit und Verlässlichkeit bringen. Zudem bringt die bald in Kraft tretende Executive Ordner bereits jetzt Erleichterungen für die Beurteilung des Datenschutzniveaus in den USA.

Umsetzungsfrist für die neuen Standarddatenschutzklauseln

Trotz der Aussicht auf einen baldigen Angemessenheitsbeschluss für die USA müssen Verantwortliche beachten, dass die alten Standardvertragsklauseln nur noch bis zum 27. Dezember 2022 verwendet werden dürfen. Bis dahin müssen sie durch die neuen, 2021 veröffentlichten Standardvertragsklauseln ersetzt werden. Unternehmen müssen daher bereits jetzt handeln und können nicht auf den neuen Angemessenheitsbeschluss warten. Da die neuen Standardvertragsklauseln insbesondere mit dem Transfer Impact Assessment und der Prüfung zusätzlicher Maßnahmen strenge Anforderungen stellen, sollten Unternehmen rechtzeitig die Grundlagen ihrer Datentransfers in Drittländer – nicht nur in die USA – prüfen und, sofern notwendig, auf die neuen Standardvertragsklauseln umstellen.

Rechtsanwalt

TEL 040 85 301 - 0
l.howe@mhl.de

Diesen Artikel
weiterempfehlen

Mit einem Klick auf das jeweilige Symbol werden Sie zu dem Anbieter weitergeleitet. Weitere Informationen finden Sie im Bereich Datenschutz.