Privacy Shield: Neujustierung bei Datenübermittlung in die USA

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Rechtsgrundlage für die Datenübermittlung in die USA gekippt. Das sogenannte „Privacy Shield“ ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden, Mitarbeitern oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig. Weil sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen ließ, sah der EuGH allerdings keine Möglichkeit, ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln darf, können als alternative Rechtsgrundlage nur bedingt helfen.

Was bedeutet das Urteil in der Praxis?
Unternehmen, die ihre Daten in den USA selbst verarbeiten oder durch einen IT-Dienstleister in den Vereinigten Staaten verarbeiten lassen, müssen nun genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistet, das dem der EU gleichwertig ist. Dafür können die Standarddatenschutzklauseln die Grundlage sein. Eventuell müssen aber zusätzliche Vereinbarungen getroffen werden, um die Daten zu schützen. Sollten diese weiteren Regelungen die Gleichwertigkeit nicht herstellen können, dürfen die Daten nicht in die USA übermittelt werden. Das gilt bereits heute, eine Übergangsfrist hat der EuGH nicht zugestanden. Damit ist auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen oder Konferenz-Tools – neuen Risiken unterworfen. Um diese zu minimieren, wird die beschleunigte Entwicklung der europäischen Dateninfrastruktur Gaia-X umso wichtiger.

Welche Aufgaben entstehen daraus für die Unternehmen?
Zunächst ist zu prüfen, welche Rechtsgrundlage die Datenübermittlung in die USA rechtfertigt. Werden die Daten beispielsweise zur Erfüllung eines Vertragsverhältnisses dorthin übermittelt, sind keine weiteren Grundlagen erforderlich. Ferner muss festgestellt werden, mit welchen Dienstleistern zusammengearbeitet wird und wo die Daten tatsächlich verarbeitet werden. Die Vertragspartner müssen offenlegen, welche Subunternehmen sie mit der Datenverarbeitung beauftragt haben und wo diese die Informationen verarbeiten. Werden die Daten allein auf Grundlage des Privacy Shield übermittelt, ist zu prüfen, ob mit dem Vertragspartner in den USA die Standarddatenschutzklauseln vereinbart werden können – eventuell mit zusätzlichen Vereinbarungen. Voraussetzung wären entsprechende Recherchen über die komplexen Sicherheitsgesetze, denen der US-amerikanische Vertragspartner unterliegt. Das ist in vielen Fällen für kleine und mittlere Unternehmen aber praktisch nicht möglich. Erneut erweist sich somit das Datenschutzrecht als mittelstandspolitischer blinder Fleck der EU.

Was muss politisch getan werden?
Aufgrund der globalen Datenflüsse und der Vielzahl US-amerikanischer IT-Anbieter ist der rasche Abschluss eines neuen Abkommens zwischen der EU und den USA erforderlich, um eine rechtssichere Datenübermittlung in die USA ermöglichen. Zudem müssen die europäischen und auch nationalen Datenschutzaufsichtsbehörden einen Kriterienkatalog formulieren, welche zusätzlichen Vereinbarungen mit dem US-amerikanischen Vertragspartner getroffen werden müssen, um ein gleichwertiges Datenschutzniveau zu schaffen. Bis dahin dürfen Unternehmen nicht sanktioniert werden.

Betrifft das EuGH-Urteil auch den Datenverkehr mit weiteren Staaten?
Zunächst gilt die Entscheidung des EuGHs nur für die USA, aber die allgemeinen Anforderungen aus dem Urteil finden auch auf den Datentransfer in andere Drittstaaten, also Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraumes, Anwendung. Da die EU nur zu wenigen Staaten einen Angemessenheitsbeschluss gefasst hat (beispielsweise zu Japan), gibt es viele Handelspartner, bei denen eine Datenübermittlung nur auf Grundlage der Standarddatenschutzklauseln rechtmäßig erfolgen kann. Auch hier müssen die Unternehmen selbst prüfen, ob ein der komplexen EU-Regelung gleichwertiges Datenschutzniveau besteht. Insbesondere bei Staaten, in denen Nachrichten- beziehungsweise Geheimdienste umfassende Kompetenzen haben, wird dies erhebliche Probleme bereiten. Im Falle eines ungeregelten Brexits könnte das übrigens auch für Großbritannien zutreffen.