Dienstag, 15. Juni 2021

Datentransfer in die USA – Eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.


Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA
Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten...

Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen oder die bekannten Office-Anwendungen. Meist laufen sie über Server in den USA. Selbst bei Nutzung europäischer Rechenzentren hat der US-Eigentümer Zugriff auf die Daten. Auch dies ist ein Datentransfer.

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der EU-DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der EU-DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 EU-DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 EU-DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für EU-DSGVO-konforme Datenübermittlungen in die USA darstellen.
Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade weil nationale US-Gesetze in zu großem Widerspruch zu den Regeln der EU-DSGVO stehen.

Der aktuelle Stand: Ratlosigkeit

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben und ohne umfassende Zusatzmaßnahmen auch nicht geeignet, die Anforderungen des Europäischen Gerichtshofs zu erfüllen. Einwilligungen betroffener Personen taugen aus praktischen Gründen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.

Ein dringender Geburtstagswunsch

Den dritten Geburtstag der EU-DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die Verhandlungen hierzu laufen seit mehreren Monaten, ein Ergebnis ist aber noch nicht in Sicht. 

Dringender Handlungsbedarf trotz unklarer Rechtslage

Trotz der vielen offenen Rechtsfragen und dem großen Aufwand bei der Gestaltung rechtskonformer Datentransfers ist es brandgefährlich, den Kopf einfach in den Sand zu stecken. Sie Anfang Juni führen die deutschen Datenschutzaufsichtsbehörden koordinierte Überprüfungen internationaler Datentransfers durch. Hier drohen nicht nur Bußgelder von bis zu 10 Millionen Euro, sondern auch die sofortige Untersagung der – meist geschäftskritischen – US-Transfers. Vom enormen Imageschaden für die betroffenen Unternehmen ganz zu schweigen.

Was tun?

Angesichts der aktuellen Situation haben Unternehmen jeder Größe – vom kleinen Handwerksbetrieb bis zum international agierenden Konzern – nur eine Möglichkeit: Mit Hochdruck die eigenen Datenverarbeitungsvorgänge überprüfen und wo nötig die fehlenden Dokumentationen nachziehen. In unserer langjährigen Beratungspraxis können wir nur auf sehr wenige Fälle zurückblicken, in denen wir den kompletten Abbruch eines Datentransfers empfehlen mussten. In aller Regel lassen sich praktikable Lösungen finden. Sprechen Sie uns an!


Jetzt Kontakt aufnehmen

Stehen Ihrem Unternehmen Fördermittel zu?

Sie möchten wissen, ob Ihrem Unternehmen Fördermittel für unsere Datenschutz-Beratung zustehen? Nutzen Sie jetzt unseren kostenlosen Fördermittelcheck.


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?