Nachdem die Europäische Union (EU) und die Vereinigten Staaten von Amerika (USA) seit Monaten die gesetzlichen Rahmenbedingungen für den transatlantischen Datenverkehr verhandelt hatten, wurden in den USA neue Gesetze zum Schutz von personenbezogenen Daten erlassen.
In der Folge hat die Europäische Kommission nun überraschend zügig festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der EU. Dieser Angemessenheitsbeschluss vereinfacht nun die grenzüberschreitende Datenverarbeitung erheblich.
Datenübertragung in die USA
Ein angemessenes Datenschutzniveau ist Grundvoraussetzung für eine Datenübertragung ins Nicht-EU-Ausland. Dieses hat die datenverarbeitende Stelle zu garantieren, um die Rechte der betroffenen Personen zu wahren. Andernfalls ist die Datenübertragung unzulässig.
Nachdem der Europäische Gerichtshof (EuGH) die bisherigen EU-US-Abkommen „Safe Habour“ und „Privacy Shield“ gekippt hatte, war eine Datenübertragung in die USA – wenn überhaupt – nur mit Einzelfallmaßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zulässig. Dies führte zu erheblichen Bedenken bei Unternehmen, die US-amerikanische Software oder Systeme nutzten. Ein Verzicht auf die typischerweise amerikanischen Tech-Marktführer war allerdings praktisch ausgeschlossen, weshalb praktikable Übergangslösungen vielfach zu Schadensersatzansprüchen und Bußgeldern geführt haben.
Durch den neuen Angemessenheitsbeschluss der Europäischen Kommission hat sich diese Problematik nun vorerst erledigt: US-amerikanische Systeme können unter denselben Datenschutzvorgaben wie europäische Systeme genutzt werden, wenn sie sich dem EU-US- Datenschutzrahmen angeschlossen haben.
Rechtliche Grundlage
Die datenschutzrechtliche Zulässigkeit einer Datenübermittlung ins Nicht-EU-Ausland wird in zwei Schritten geprüft:
- Ist die Datenverarbeitung an sich zulässig?
Zunächst ist wie im Inland zu prüfen, ob die Datenverarbeitung an sich durch das ausländische Unternehmen nach den europäischen Datenschutzvorgaben zulässig ist (z. B. aufgrund Vertragserfüllung oder Einwilligung). - Besteht in dem Drittland ein angemessenes Datenschutzniveau?
Anschließend ist danach zu fragen, ob das Drittland ein angemessenes Datenschutzniveau besitzt, um die sichere und geschützte Datenverarbeitung wie in der Europäischen Union zu gewährleisten. Dieses Merkmal kommt also für Datenverarbeitung im Nicht-EU-Ausland hinzu. Dieser durchaus problematische Prüfungspunkt erübrigt sich, wenn ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 3 Datenschutz-Grundverordnung (DSGVO) vorliegt, wie nun zugunsten der USA.
Folgen für die Praxis
Datenverarbeitungsmaßnahmen mit US-Bezug sind nun zulässig, wenn sie die bestehenden europäischen Vorgaben einhalten, beispielsweise auf einer Rechtsgrundlage wie einer Einwilligung beruhen. Vorteil ist also, dass US-Unternehmen nicht per se von vielen Verarbeitungsmaßnahmen ausgeschlossen sind.
Dennoch müssen diese Unternehmen ein Zertifizierungsverfahren durchlaufen haben. Ansonsten bedarf es weiterhin besonderer Datenschutzmaßnahmen.
Unternehmen sollten also darauf achten, künftig nur zertifizierte Partner einzusetzen. Die genaue Ausgestaltung der Zertifizierung – z. B. als Siegel – bleibt wenige Tage nach Erlass des Angemessenheitsbeschlusses ebenso abzuwarten, wie die Meinung des EuGH zur Rechtmäßigkeit der Regelungen.
Fazit
Der neue Angemessenheitsbeschluss erleichtert den Datentransfer mit den USA erheblich und schafft Rechtssicherheit für viele Unternehmen. Zwar bleibt die praktische Ausgestaltung noch abzuwarten, der neue Datenschutzrahmen zwischen EU und USA macht jedoch Hoffnung auf positive Auswirkungen durch den technischen Fortschritt bei gesichertem Datenschutzniveau.