Anfang Oktober unterzeichnete US-Präsident Joe Biden eine "Executive Order" zur Erleichterung der Übermittlung personenbezogener Daten zwischen der EU und den USA. Dies ist ein erster Schritt zur Wiederherstellung der Zusammenarbeit in diesem Bereich, nachdem die ursprünglichen Mechanismen durch Urteile des Europäischen Gerichtshofs (EuGH) außer Kraft gesetzt wurden. Wie wird sich diese Änderung auf die Tätigkeit europäischer Unternehmen auswirken, die Geschäfte mit US-amerikanischen Partnern tätigen?
Die ursprüngliche "Safe Harbour"-Datenübertragungsregelung und die von der Europäischen Kommission genehmigte Nachfolgeregelung "Privacy Shield" wurden nach und nach durch EuGH-Urteile für ungültig erklärt. In der Sache "Schrems I" und "Schrems II" widersprach ein Facebook-Nutzer der unbefugten Übermittlung von personenbezogenen Daten an Server in den USA. Der EuGH gab dem Kläger Recht und verwies insbesondere auf die mangelnde Datensicherheit, die nicht den Standards der EU-Rechtsvorschriften wie der Datenschutz-Grundverordnung oder der EU-Grundrechtecharta entspreche. Der Zugang der US-Geheimdienste zu diesen Informationen wurde als problematisch bewertet.
Diese Unzulänglichkeiten führten letztendlich zu zusätzlichen Verpflichtungen für EU-Unternehmen, die mit US-Unternehmen zusammenarbeiten. Das Problem betrifft aber auch diejenigen, die Clouds von Unternehmen wie Microsoft oder Google nutzen, um ihre Kundendaten zu speichern.
An dieser Stelle ist es unerlässlich zu erwähnen, dass für die Übermittlung von Daten außerhalb der EU das betreffende Drittland von der Europäischen Kommission als sicher eingestuft werden muss. Nach den oben erwähnten EuGH-Urteilen ist dies für die USA nicht der Fall.
Wenn es notwendig ist, personenbezogene Daten von europäischen Bürgern an ein amerikanisches Unternehmen weiterzugeben, ist derzeit ein schriftlicher Vertrag erforderlich. Die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln (Standard Contractual Clauses – „SCCs“), die ein Vertragsmodell für die Daten-Verantwortlichen und deren Empfänger in einem Drittland darstellen (und das in ihrer aktuell geltenden Fassung), können hierzu verwendet werden.
In der "Schrems II"-Entscheidung hat der EuGH den Unternehmen zusätzliche Verpflichtungen auferlegt: Wenn das Zielland - wie die USA - rechtsstaatlich bedenkliche Überwachungsprogramme betreibt, reichen Musterklauseln alleine nicht aus.
EU-Datenanbieter müssen zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergreifen. Dazu kann zum Beispiel eine wirksame Datenverschlüsselung gehören. Eine solche Verschlüsselung ist mit vielen Cloud-Anwendungen technisch nicht kompatibel. Um Daten in der Cloud-Software zu verarbeiten, müssen die Daten entschlüsselt werden, was sie wiederum dem technischen Zugriff der NSA und anderer Geheimdienste aussetzt.
Die vom US-Präsidenten verabschiedete Durchführungsverordnung ist daher eine Antwort auf die oben genannten Problematiken, und viele der darin enthaltenen Elemente sind mit den Rechtsgrundsätzen der Datenschutz-Grundverordnung identisch. Nun ist die EU-Kommission an der Reihe zu prüfen, ob der US-Standard ausreichend ist.
In der Zwischenzeit sollten die für personenbezogene Daten Verantwortlichen und Auftragsverarbeiter in der EU nicht ohne weiteres Cloud-Dienste von US-Unternehmen nutzen, da sie sich sonst hohen Bußgeldern durch staatliche Datenschutzaufsichtsbehörden aussetzen. Selbst wenn die USA von der EU-Kommission als sicheres Land im Sinne der DSGVO eingestuft werden, ist früher oder später mit einer weiteren Entscheidung des EuGHs zu rechnen, der wiederum eine andere Auffassung als die Kommission vertreten könnte. Es ist also möglich, dass uns ein Schrems III bevorsteht.
