Der Europäische Gerichtshof erschwerte im Juli 2020 mit dem Schrems-II-Urteil den Datentransfer in die USA für EU-Unternehmen. Doch seit dem 10.07.2023 haben die EU und die USA ein neues Abkommen geschlossen, das EU-U.S. Trans-Atlantic Data Privacy Framework (TADPF), das den Datentransfer wieder ermöglicht.
Neues Abkommen zwischen EU und USA verbessert Datenschutzlage nach Schrems-II-Urteil.
Im Juli 2020 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zum Datenschutz gefällt. Sinngemäß besagt das Urteil, das unter dem Namen Schrems-II bekannt wurde: Die USA sind böse – jedenfalls im Sinne des Datenschutzes und der Datenschutz-Grundverordnung (DS-GVO). Als Folge des Urteils durften Unternehmen aus der EU grundsätzlich keine personenbezogenen Daten mehr in die USA weitergeben. Eine solche Weitergabe ist bereits dann gegeben, wenn ein EU-Unternehmen ein US-Unternehmen als Dienstleister einsetzt, etwa Google-Produkte auf der Webseite einbindet oder Daten bei Amazon Webservices hostet, da hierdurch das US-Unternehmen technisch zumindest theoretisch Einsicht in diese Daten nehmen kann. Man spricht hierbei im Datenschutz vom sogenannten Drittstaatentransfer. Sollten US-Anbieter dennoch eingesetzt werden, waren hohe Hürden zu nehmen.
Die deutschen Datenschutzaufsichtsbehörden haben klare Worte gefunden, die das Urteil des EuGH wie folgt, sinngemäß zusammenfassen: Unternehmen aus der EU sollten unbedingt auf den Einsatz von US-Tools verzichten, wenn hierbei personenbezogene Daten verarbeitet werden, ansonsten besteht für das EU-Unternehmen ein erhöhtes Bußgeldrisiko sowie ein Schadensersatzrisiko.
Wirtschaftlich kam dies für nicht wenige Unternehmen einer mittelschweren Katastrophe gleich. Moralisch und logisch drängte sich die Frage auf: Wenn wir keine US-Tools benutzen dürfen, Windows (von Microsoft) iOS bzw. MacOS (von Apple) und Android (von Google) aber auf unseren Rechnern laufen, wo ist da die Sinnhaftigkeit? Mir liegen jedenfalls keine Fälle vor, in denen Unternehmen, Schulen oder Behörden die verstaubten Schreibmaschinen aus den Kellern gekramt haben.
Nun nach drei Jahren der Unsicherheit und des Frustes über die unbefriedigende Situation haben die EU und die USA nun ein Abkommen geschlossen, das die Situation bessern soll. Seit dem 10.07.2023 gilt das Abkommen, das den USA ein Datenschutzniveau attestiert, das dem europäischen Datenschutz gerecht wird. Angemessenheitsbeschluss wird das Abkommen im Fachjargon genannt.
Neuer Angemessenheitsbeschluss ermöglicht Datentransfer in die USA wieder Was heißt das jetzt konkret für EU-Unternehmen?
Unternehmen mit Sitz in der EU dürfen nun wieder Dienstleister aus den USA einsetzen, wenn personenbezogene Daten verarbeitet werden. Es gelten dieselben datenschutzrechtlichen Grundsätze und Voraussetzungen wie für den Datentransfer innerhalb der EU. Das bedeutet: Setzt ein EU-Unternehmen ein US-Unternehmen als Dienstleister ein oder nutzt es Server, Datenbanken, Systeme oder Tools von US-Anbietern, besteht kein Unterschied zu einem Dienstleister aus der EU. In der Regel wird ein sogenannter Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO zu schließen sein.
Einzige weitere Bedingung ist: Das US-Unternehmen muss sich zertifiziert haben lassen, und zwar nach dem EU-U.S. Trans-Atlantic Data Privacy Framework (TADPF) – so der Name der Zertifizierung bzw. des Abkommens.
Für die Großen, also die Big Player und jene Unternehmen, die in der EU einen bedeutenden Absatzmarkt haben, ist das nichts Neues. Schon vor dem Schrems-II-Urteil des EuGHs haben diese sich zum Datenschutz zertifizieren lassen. Damals nannte sich das Privacy Shield Zertifizierung. Es ist daher davon auszugehen, dass diese US-Unternehmen zügig solche Zertifizierungen nachweisen können.
Woher weiß ich, ob ein US-Unternehmen zertifiziert ist?
Auf der Webseite zum Data Privacy Framework kann künftig geprüft werden, ob ein US-Unternehmen nach dem Trans-Atlantic Data Privacy Framework zertifiziert ist, und ob beim Datentransfer mit diesem Unternehmen die „vereinfachten“ Datenschutzregelungen gelten.
Muss ich jetzt etwas Konkretes tun?
Datentransfer von personenbezogenen Daten in die USA im Unternehmen
Jein. Denn streng genommen haben EU-Unternehmen nach dem EuGH-Urteil keine US-Dienstleister mehr installiert, somit gäbe es auch nichts zu tun.
In der Realität sieht das natürlich anders aus.
- Die Rechner in den Unternehmen laufen mit Betriebssystemen von US-Unternehmen.
- Im Hintergrund der Firmenwebseiten arbeiten Cookies von US-Anbietern.
- Auf Amazon Servern werden Unternehmensdaten gespeichert (ja, auch wenn die Server in Frankfurt a. M. stehen, gehören sie einem US-Unternehmen).
- Social Media Profile werden mit Content befüllt und auch diese werden überwiegend von US-Unternehmen betrieben.
Und so gibt es sicherlich in fast jedem Unternehmen mindestens einen US-Bezug.
Daher sollten Sie nun nach und nach bei den US-Unternehmen, die Sie im Einsatz haben, eine Bestätigung der Zertifizierung anfordern.
Die Big Player werden diese in den Kunden- oder Mitgliederbereichen zur Verfügung stellen, meist sogar zum Download anbieten. Bei anderen Unternehmen ist eine proaktive Anfrage notwendig, damit die Zertifikate bereitgestellt werden.
Die Empfehlung lautet daher: Setzen Sie nur US-Dienstleister ein, die das Zertifikat besitzen. Laden Sie das Zertifikat herunter und schicken Sie es an den Datenschutzbeauftragten, damit es der Datenschutzdokumentation zugeführt werden kann. Ist ein Download nicht möglich, sollte zumindest ein Screenshot erstellt werden.
Spezialthema: Webseite und Online-Datenschutz
Kaum eine Webseite kommt ohne Tools oder Cookies von US-Anbietern aus. Auch wenn Sie es nicht wissen, laufen im Hintergrund der Webseite häufig technische Prozesse ab, die Daten an ein US-Unternehmen transferieren.
Die meisten Webseiten verfügen über Cookie-Banner, die auf solche Tools hinweisen. In den allermeisten Fällen sollten nun die Datenschutzerklärungen der Unternehmenswebseiten kontrolliert und womöglich angepasst werden.
Sie sollten unbedingt auf Ihren Webseiten-Administrator zugehen und eine solche Prüfung in Auftrag geben.
Ganz allgemein gilt der Tipp:
Wann immer Sie einen neuen Dienstleister einsetzen oder einen bestehenden austauschen (ob mit oder ohne US-Bezug), informieren Sie Ihren Datenschutzbeauftragten, wenn Sie glauben, dass hierbei personenbezogene Daten betroffen sein können. Fragen Sie stets einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO an und lassen Sie diesen vor Vertragsschluss vom internen oder externen Datenschutzbeauftragten prüfen.
Jetzt mal Klartext: Kann mein Unternehmen nun also risikolos personenbezogene Daten mit US-Unternehmen austauschen?
Grundsätzlich ja, wenn die zuvor genannten Punkte eingehalten werden.
Und dennoch bleibt ein Restrisiko. Die Organisation „NOYB (None Of Your Business) – Europäisches Zentrum für digitale Rechte“, die von Max Schrems ins Leben gerufen wurde, hat sich dem Datenschutz verschrieben. Ebendieser Max Schrems ist es, nach dem das Schrems-II-Urteil des EuGH benannt wurde. Er war die Klägerseite. Und dieser Max Schrems hatte auch schon im Jahr 2015 für das erste entscheidende EuGH-Urteil (natürlich Schrems-I-Urteil genannt) gesorgt. Max Schrems und NOYB haben bereits angekündigt, erneut vor den EuGH zu ziehen und ein Schrems-III-Urteil zu erwirken gegen den neuen Angemessenheitsbeschluss des EU-U.S. Data Privacy Framework, da dieser keine nennenswerte Verbesserung des Datenschutzes mit sich bringe.
Max Schrems und NYOB will erneutes Urteil gegen Datentransfer in die USA erwirken
Fazit
Schlussendlich bedeutet das: Nun gilt erst einmal der Angemessenheitsbeschluss.
Er bildet die rechtliche Legitimierung für den Datenaustausch mit US-Unternehmen.
Darauf können sich EU-Unternehmen verlassen, denn der Beschluss ist bindend.
Ein Verfahren vor dem EuGH, wie es NOYB anstrebt, dauert meist einige Jahre. Kommt es aber dann – wie beim ersten und zweiten Schrems-Urteil – zu einer Entscheidung des Gerichtes, gilt diese unmittelbar.
Das kann also bedeuten, dass nun zwei, drei Jahre Ruhe ist und plötzlich sind von heute auf morgen alle Datentransfers in die USA erneut rechtswidrig. Oder aber, was natürlich auch möglich ist, der EuGH entscheidet dieses Mal gegen NOYB und Max Schrems.
Da niemand über eine Glaskugel verfügt, die den Ausgang vorhersagen kann, bleibt also ein gewisses Restrisiko, das EU-Unternehmen im Hinterkopf behalten sollten, wenn sie langfristig mit US-Unternehmen kooperieren wollen.
Dem Restrisiko können Sie am einfachsten entgehen, wenn Sie weiterhin der Empfehlung folgen, auf US-Dienste zu verzichten und stattdessen auf Anbieter aus der EU setzen – jedenfalls, sofern dies eine realistische Option für Ihr Unternehmen darstellt.