Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.
 |
| Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA |
Ohne Übermittlungen in die USA geht kaum etwas
Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten...
Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen oder die bekannten Office-Anwendungen. Meist laufen sie über Server in den USA. Selbst bei Nutzung europäischer Rechenzentren hat der US-Eigentümer Zugriff auf die Daten. Auch dies ist ein Datentransfer.
Die USA – ein Drittland
Ein Unternehmen, das Daten in die USA
übermittelt, muss die Vorgaben der EU-DSGVO einhalten. Die USA sind bekanntlich
kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht
orientiert sich nicht an den Vorgaben der EU-DSGVO. Deshalb sind Maßnahmen
nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für
natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 EU-DSGVO).
Der goldene Weg: generelle Regelungen
Ideal wäre es für Unternehmen, wenn es
generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die
Europäische Kommission nämlich feststellen, dass diese Vorgaben ein
angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 EU-DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.
„Safe Harbour“ und „Privacy Shield“ sind Geschichte
Zunächst sollten die „Safe-Harbour-Regelungen“
buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen.
Später sollte der „Privacy Shield“ ein Schutzschild für EU-DSGVO-konforme
Datenübermittlungen in die USA darstellen.
Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade weil nationale US-Gesetze in zu großem Widerspruch zu den Regeln der EU-DSGVO stehen.
Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade weil nationale US-Gesetze in zu großem Widerspruch zu den Regeln der EU-DSGVO stehen.
Der aktuelle Stand: Ratlosigkeit
Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag.
Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben und ohne umfassende Zusatzmaßnahmen auch nicht geeignet, die Anforderungen des Europäischen Gerichtshofs zu erfüllen. Einwilligungen betroffener Personen taugen aus praktischen Gründen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.
Ein dringender Geburtstagswunsch
Den dritten Geburtstag der EU-DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die Verhandlungen hierzu laufen seit mehreren Monaten, ein Ergebnis ist aber noch nicht in Sicht.
Dringender Handlungsbedarf trotz unklarer Rechtslage
Trotz
der vielen offenen Rechtsfragen und dem großen Aufwand bei der Gestaltung
rechtskonformer Datentransfers ist es brandgefährlich, den Kopf einfach in den
Sand zu stecken. Sie Anfang Juni führen die deutschen
Datenschutzaufsichtsbehörden koordinierte Überprüfungen internationaler
Datentransfers durch. Hier drohen nicht nur Bußgelder von bis zu 10 Millionen
Euro, sondern auch die sofortige Untersagung der – meist geschäftskritischen –
US-Transfers. Vom enormen Imageschaden für die betroffenen Unternehmen ganz zu
schweigen.
Was tun?
Angesichts
der aktuellen Situation haben Unternehmen jeder Größe – vom kleinen
Handwerksbetrieb bis zum international agierenden Konzern – nur eine
Möglichkeit: Mit Hochdruck die eigenen Datenverarbeitungsvorgänge überprüfen
und wo nötig die fehlenden Dokumentationen nachziehen. In unserer langjährigen
Beratungspraxis können wir nur auf sehr wenige Fälle zurückblicken, in denen
wir den kompletten Abbruch eines Datentransfers empfehlen mussten. In aller
Regel lassen sich praktikable Lösungen finden. Sprechen Sie uns an!