Rechtssicherer Datentransfer in die USA

Die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten in Drittländer unterliegt strengen Regeln. Unternehmen, die Daten in die USA – beispielsweise durch die Nutzung von US-Clouddiensten oder Webanalysetools – übertragen, müssen sich mit der aktuellen Rechtslage auseinandersetzen.

Neue Rechtsgrundlage

Seitdem der Europäische Gerichtshof das Privacy-Shield-Abkommen gekippt hat, stand die Politik erneut in Verhandlungen um einen rechtssicheren Rahmen zur Übermittlung von Daten aus Europa in die USA. Ein solcher Rahmen ist für Unternehmen essenziell, wenn sie z.B. amerikanische Buchhaltungssoftware, Videokonferenzplattformen oder CRM-Systeme einsetzen, Dienste von US-Cloud-Anbietern wie Google, Microsoft und Amazon nutzen oder auf US-Newslettersoftware wie beispielsweise Mailchimp zurückgreifen. Beim Einsatz solcher Tools mussten Unternehmen mit behördlichen Untersuchungen und Bußgeldern rechnen.
Nach erfolgreichen Verhandlungen haben sich die rechtlichen Rahmenbedingungen im Juli 2023 geändert: Die Europäische Kommission hat einen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA erlassen. Mit Inkrafttreten des neuen EU-US Data Privacy Framework ist somit die neue Grundlage für einen rechtskonformen Einsatz von Analyse-, Tracking- und Marketing-Tools aus den USA gesetzt.

Worauf müssen Unternehmen achten?

Bislang mussten Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen Dienstleister in den Vereinigten Staaten verarbeiten ließen, genau prüfen, ob ihr Vertragspartner jenseits des Atlantiks ein Datenschutzniveau gewährleistete, das dem der EU gleichwertig war.
Dafür konnten die Standardvertragsklauseln die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen und Vorkehrungen getroffen werden, um das entsprechende Schutzniveau der Daten zu gewährleisten. Konnte die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden. Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister – etwa von Cloud-Lösungen, Mailingsoftware oder Konferenz-Tools – neuen Risiken unterworfen.
Mit dem neuen EU-US-Datenschutzabkommen besteht nun wieder eine Rechtsgrundlage zur Übermittlung solcher Daten in die USA. Allerdings gilt der Angemessenheitsbeschluss nur, sofern der jeweilige US-Datenempfänger am Abkommen teilnimmt, folglich also unter dem EU-US Data Privacy Framework beim US Department of Commerce zertifiziert ist. Dieses Verfahren der Selbstzertifizierung läuft derzeit. Anschließend ist eine jährliche Rezertifizierung der Unternehmen erforderlich, welche die US-Dienste ebenfalls eigenständig vornehmen. Auf einer eigens dafür eingerichteten Webseite können Unternehmen nun einsehen, welche US-Organisationen sich bereits zertifiziert haben. So lässt sich sicherstellen, dass die jeweiligen Dienstanbieter am Abkommen teilnehmen und die entsprechenden Tools daher sicher weiter nutzbar sind.

Wie geht es weiter?

Die Gültigkeitsdauer des Beschlusses ist zeitlich nicht begrenzt. Eine regelmäßige Überprüfung durch die Europäische Kommission ist jedoch vorgesehen. Diese soll ermitteln, ob alle relevanten Elemente des Rechtsrahmens in der Praxis wirksam sind. Eine dahingehend positive Bewertung ergab die erste Überprüfung, die bereits innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses im Juli 2024 erfolgt ist. Weitere Evaluierungen finden mindestens alle vier Jahre statt. Zudem kann ein Angemessenheitsbeschluss bei Entwicklungen, die sich auf das Schutzniveau in dem betreffenden Drittland auswirken, angepasst oder zurückgezogen werden.
Mehr als 2.800 Unternehmen haben sich unter dem Framework bereits zertifiziert, über 70 Prozent davon sind kleine und mittlere Unternehmen. Unsicher ist derzeit noch, wie lange das Abkommen Bestand haben wird. Die beiden Vorgänger – Privacy Shield und Safe Harbor – hatte der Europäische Gerichtshof (EuGH) nach Klagen des Datenschutzaktivisten Max Schrems für ungültig erklärt. Schrems hatte kurz nach Inkrafttreten des neuen Beschlusses angekündigt erneut klagen zu wollen. Auch veränderte politische Zielsetzungen und damit einhergehende Änderungen des Datenschutzniveaus nach den US-Wahlen im November 2024 könnten sich auf künftige Überprüfungen des Abkommens auswirken und zu einer Neubewertung führen. Daher bleibt abzuwarten, ob der EU-US Data Privacy Framework eine langfristige, verlässliche Rechtsgrundlage für Unternehmen bieten wird.