EU-Kommission erklärt Datenschutz in den USA für ausreichend – sind US Clouds und Tools jetzt sicher?

– Florian Padberg –

Nach langen Verhandlungen und Unsicherheiten wegen der rechtswidrigen Erklärung des europäisch-amerikanischen Datenabkommens „Privacy Shield“ im Sommer 2020 hat die EU-Kommission nun das Datenschutz-Niveau in den USA als ausreichend eingestuft, nachdem im Rahmen des Folgeabkommens mehrere zusätzliche Maßnahmen zum Schutz europäischer Betroffener definiert und inzwischen auch umgesetzt wurden. Diese Entscheidung schafft eine neue Rechtsgrundlage für Unternehmen, um Daten von EU-Bürgern problemlos in die USA zu übertragen. Doch Datenschutzaktivist Max Schrems kündigt bereits eine erneute Klage gegen die neue Vereinbarung an und stellt das „Data Privacy Framework“ in Frage.

Problemloser Datentransfer

Die EU-Kommission hat den Level des Datenschutzes in den USA als ausreichend eingestuft und damit eine neue Rechtsgrundlage geschaffen, um Unternehmen den problemlosen Transfer von Daten von EU-Bürgern in die USA zu ermöglichen. Die Entscheidung der EU-Kommission folgt auf jahrelange Verhandlungen über die Erfüllung der europäischen Datenschutzanforderungen durch die USA. 2020 hatte der Europäische Gerichtshof (EuGH) das europäisch-amerikanische Datenabkommen „Privacy Shield“ für rechtswidrig erklärt. Seitdem war die Rechtslage unsicher, denn die USA galten fortan als „unsicherer Drittstaat“.

Das neue „Data Privacy Framework“ wird als solide angesehen und erfüllt alle Bedingungen des EuGH. Es begrenzt den Zugriff der US-Geheimdienste auf Daten von Europäern auf ein „notwendiges und angemessenes“ Maß und bietet einen wirksamen Weg für europäische Bürger, gegen Verstöße in den USA vorzugehen.

Wirtschaftsverbände begrüßen die Entscheidung, da Unternehmen nun wieder Rechtssicherheit bei der Übertragung personenbezogener Daten zwischen der EU und den USA haben.

Ist eine erneute Klage zu erwarten?

Max Schrems kündigte jedoch eine neue Klage gegen die Vereinbarung an und kritisiert, dass die neuen Maßnahmen weitgehend eine Kopie alter Prinzipien seien, und dass die USA und die EU unterschiedliche Vorstellungen von „Verhältnismäßigkeit“ beim Datensammeln haben.

Die Kommission ist jedoch zuversichtlich, dass die Vereinbarung diesmal rechtlich auf festem Boden steht und dass die Bedingungen des obersten Gerichtshofs erfüllt sind.

Was bedeutet die Einigung nun für die Nutzung von US-Clouds und Tools?

Um es kurz zu sagen: Für eine gewisse Zeit wird die Nutzung von US-Diensten deutlich risikoärmer für die Unternehmen, denn die grundsätzliche Rechtsgrundlage dafür ist nun wieder vorhanden. Da der Ausgang des vermutlich „Schrems III“ genannten neuen Verfahrens vor dem EuGH aber nicht eindeutig prognostiziert werden kann, sollten Unternehmen aus der EU weiterhin kritisch prüfen, ob ein geplantes US-Tool tatsächlich die hohen Anforderungen an den Datenschutz auch wirksam umsetzt. Wenn man also als Reaktion auf das „Privacy Shield“-Urteil bereits eine vernünftige Lösung aus der EU gefunden hat, ist von einem hektischen Wechsel zurück zum US-Tool sicher abzuraten.

Ausserdem ist zu beachten, dass US-Anbieter erst dem neuen Verfahren „beitreten“ müssen – wie auch immer dieser Prozess genau aussieht. In den kommenden Wochen und Monaten sollte man daher durchaus prüfen, ob der Anbieter eines im Einsatz befindlichen oder vorgesehenen US-Tools sich auch wirklich hat zertifizieren lassen.

Auch wenn die Standard-Datenschutz-Klauseln der EU-Kommission für den Datentransfer aus 2021 nun nicht mehr zwingend nötig sind um eine zusätzliche Garantie im Rahmen des Auftragsverarbeitungsvertrags zu bieten, wäre es sicher zu begrüßen, wenn diese sich in neu abgeschlossene AVVs trotzdem integrieren liessen – dies würde auf ein gewisses kontinuierliches Commitment des Anbieters in Sachen Datenschutz hindeuten.

Die neue Rechtslage erlaubt vor allem eines: Sich wieder mehr auf die tatsächliche Leistungsfähigkeit und das grundlegende Verständnis von Datensicherheit und Datenschutz eines Anbieters bei der Auswahl konzentrieren zu können, anstatt zuerst zu schauen, wo er ansässig ist.