Das Trans-Atlantic Data Privacy Framework
Das Trans-Atlantic Data Privacy Framework
Seit Whistleblower Edward Snowden die Überwachungspraktiken der US-Geheimdienste publik machte, hat sich der Ruf der Vereinigten Staaten in Sachen Datenschutz nicht verbessert.
Immer wieder stehen marktführende Unternehmen wie Google und Microsoft in der Kritik, regelrechte Datenkraken zu sein.
In der EU schützt die Datenschutzgrundverordnung (DSGVO) Verbraucher vor einem Missbrauch ihrer Daten, zum Beispiel in Form von Datenverkauf oder einer Nutzung für werbliche Zwecke ohne explizite Einwilligung des Verbrauchers. In den USA gibt es keine vergleichbaren Regelungen, weshalb die Standards für den Datenschutz dort deutlich geringer sind.
Was Unternehmen bei der Datenübermittlung in die USA beachten müssen
Tatsächlich ist es für private Nutzer und Unternehmen jedoch schwer bis unmöglich, auf die Nutzung der Dienste von US-Unternehmen wie Google Drive, Google OneDrive, Dropbox, Windows oder Mailchimp zu verzichten.
Vor allem für Unternehmen gibt es bei Nutzung US-amerikanischer Dienste jedoch vieles zu beachten, denn die Daten der eigenen Kunden können nicht bedenkenlos in die USA übermittelt werden, wo die Regelungen der DSGVO nicht greifen.
Für einen datenschutzrechtlich angemessenen Umgang mit personenbezogenen Daten müssen Vereinbarungen mit den US-Unternehmen getroffen werden, die Regelungen für die Datenverarbeitung umfassen.
Wesentlich einfacher wäre es, wenn datenschutzrechtliche Vereinbarungen auf staatlicher Ebene getroffen werden würden, die für alle Unternehmen gelten. Doch das Thema Datenschutz wird in der EU und den USA sehr unterschiedlich gehandhabt.
EU & USA: Datenschutz-Vergleich
In der EU gilt seit 2016 die Datenschutzgrundverordnung. Sie umfasst zahlreiche wichtige Regelungen rund um den Datenschutz, darunter
wie Unternehmen personenbezogene Daten verarbeiten dürfen,
wie personenbezogene Daten gespeichert und wann sie gelöscht werden müssen,
was eine Datenschutzerklärung beinhalten muss,
welche Rechte Betroffene haben,
in welchem Umfang Betroffene über ihre Rechte aufgeklärt werden müssen,
wer in einem Unternehmen für die Verarbeitung personenbezogener Daten verantwortlich ist.
Damit ist der Umgang mit personenbezogenen Daten in der EU sehr detailliert geklärt. In den USA ist Datenschutz ein weniger wichtiges Thema oder zumindest deutlich unklarer geregelt als in der EU.
Die sehr unterschiedliche Gesetzeslage in der EU und den USA macht es notwendig, bei der Datenübermittlung auf einen gemeinsamen Nenner zu kommen. Das hat sich bislang jedoch als schwierig erwiesen, denn die Fortschritte bei solchen offiziellen Abkommen lassen bislang zu wünschen übrig.
Datenschutzabkommen zwischen der USA und der EU: Ein kurzer Überblick
Bei der Datenübermittlung in ein Drittland muss ein sogenannter Angemessenheitsbeschluss als Rechtsgrundlage bestehen. Zuletzt fungierte das Privacy Shield als solcher Angemessenheitsbeschluss bei der Datenübermittlung in die USA, auf den EU-Unternehmen sich stützen konnten.
Das erste Datenschutzabkommen zwischen der EU und den USA war Safe Harbor („sicherer Hafen“), dessen Regelungen zwischen 2000 und 2015 galten.
Safe Harbor gab Regelungen wie eine Informationspflicht, ein Widerspruchsrecht, Maßnahmen zur Datensicherheit und ein Auskunftsrecht vor.
Unternehmen mussten jedoch nur öffentlich erklären, dass sie sich an diese Regeln halten, ohne dass eine externe Prüfung und Zertifizierung erfolgten. Daher verwundert es nicht, dass Safe Harbor im Oktober 2015 für beendet erklärt wurde.
Im Jahr 2016 folgte die Nachfolgeregelung, der Privacy Shield.
Im Unterschied zum Vorgänger Safe Harbor mussten Unternehmen sich durch eine Selbstzertifizierung dazu verpflichten, die datenschutzrechtlichen Regelungen des Abkommens einzuhalten. Die Selbstzertifizierung erfolgte durch die Eintragung in eine Liste des US-Handelsministeriums.
Unternehmen drohten bei einem Verstoß gegen die Regelungen nun Sanktionen.
Im Juli 2020 hatte der Europäische Gerichtshof im Rahmen des Schrems-II-Urteils das Privacy Shield jedoch aufgehoben, da es nach dessen Ermessen nicht den datenschutzrechtlichen Standards der EU entsprach und somit nicht mit der europäischen Datenschutzgrundverordnung vereinbar war.
Vor allem der Zugriff auf personenbezogene Daten durch US-Geheimdienste war nicht ausreichend geregelt. Zudem hatten EU-Bürger quasi keine Chance, bei einem Zugriff auf ihre Daten ihre Rechte gegenüber den US-Behörden geltend zu machen. Auch basierte das Privacy Shield lediglich auf einer Zusicherung von US-Unternehmen, für ein angemessenes Datenschutzniveau zu sorgen, und nicht auf einem verbindlichen Vertrag mit der US-Regierung.
Seit der Aufhebung des Privacy Shield stehen wir also wieder am Anfang, was Regelungen zum Datenschutz bei der Datenübermittlung in die USA betrifft.
Was ist das Trans-Atlantic Data Privacy Framework?
Am 25. März 2022 wurde bekannt gegeben, dass zwischen der EU und den USA nach einem Jahr intensiver Verhandlungen ein neues Datenschutzabkommen geschlossen wurde: Das Trans-Atlantic Data Privacy Framework. Bis jedoch ein offizielles Dokument mit allen Vereinbarungen und Regelungen fertiggestellt wird, kann es noch Monate dauern. Dann muss das Abkommen noch vom Europäischen Gerichtshof abgesegnet werden. Die US-amerikanischen Behörden lassen dazu verlauten:
„The new Trans-Atlantic Data Privacy Framework underscores our shared commitment to privacy, data protection, the rule of law, and our collective security as well as our mutual recognition of the importance of trans-Atlantic data flows to our respective citizens, economies, and societies.“
In einem Fact Sheet der Europäischen Kommission heißt es zum Trans-Atlantic Data Privacy Framework unter anderem:
Daten werden frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
Verbindliche Schutzmaßnahmen sollen den Zugriff auf Daten durch US-Nachrichtendienste einschränken.
Ein Zugriff soll nur dann möglich sein, wenn er nötig ist, um die nationale Sicherheit zu gewährleisten, ohne dass die Rechte und Freiheiten des Individuums beeinträchtigt werden.
Durch ein zweistufiges Rechtsbehelfssystem sollen EU-Bürger über den Zugriff auf ihre Daten durch US-Nachrichtendienste Beschwerde einlegen können, die von einem neuen „Data Protection Review Court“ geprüft werden sollen.
Beteiligte US-Unternehmen sind dazu verpflichtet, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium durch eine Selbstzertifizierung zu bestätigen.
Damit soll das Trans-Atlantic Data Privacy Framework die Sicherheitslücken und Unzulänglichkeiten des Privacy Shield schließen. Ob die Regelungen im neuen Abkommen jedoch den hohen datenschutzrechtlichen Standards in der EU gerecht werden, bleibt abzuwarten. Die Gesetze zum Datenschutz in den USA sollen sich erstmal nicht ändern.
Der Entwurf zu einem neuen Datenschutzabkommen weckt Hoffnung, dass nach dessen Inkrafttreten, falls es dazu kommen sollte, die Datenübermittlung in die USA und damit eine Arbeit deutscher Unternehmen mit US-amerikanischen Anbietern künftig deutlich sicherer und unkomplizierter sein wird.
Unternehmen mit Sitz in der EU, die zur Einhaltung der Regelungen der DSGVO verpflichtet sind, können sich bei einer Datenübermittlung in die USA dann einfach auf das Datenschutzabkommen stützen. Bis es jedoch so weit ist, müssen EU-Unternehmen weiterhin den Umgang mit personenbezogenen Daten individuell mit den jeweiligen US-Unternehmen vertraglich klären.
Sie nutzen US-amerikanische Dienste oder arbeiten mit Unternehmen mit Sitz in den USA zusammen und möchten sichergehen, dass die Übermittlung personenbezogener Daten in die USA den Regelungen der DSGVO entspricht?
Holen Sie sich Sicherheit und legen Sie den Datenschutz in Ihrem Unternehmen in kompetente Hände. Als externer Datenschutzberater unterstützt die Immerce Consulting Sie bei allen Fragen rund um DSGVO-konformen Datenschutz.
