Unter den Beobachtern der politischen Lage in der USA macht sich Unruhe bereit. Die jüngsten politischen Entscheidungen in den USA können im Hinblick auf Software und Dienstleistungen von US-Unternehmen problematisch werden. Die Frage ist, wie lange IT-Organisationen in der EU und Deutschland (noch) auf US-Produkte setzen können. Denn was passiert, wenn Datentransfers in die USA nicht mehr rechtmäßig sein sollten? Es folgt eine Einordnung.
Internationale Datentransfers im Datenschutz
Europäische Organisationen unterliegen bei der Verarbeitung personenbezogener Daten der Europäischen Datenschutz-Grundverordnung (DSGVO). Diese regelt neben grundsätzlichen (rechtlichen) Anforderungen im Datenschutz eben auch diejenigen Voraussetzungen, die für einen Datentransfer in ein Drittland gelten. Dabei ist ein Drittland ein Land, das außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums ansässig ist.
Um nun als Organisation Daten aus der EU/EWR in ein Drittland zu transferieren, direkt (z.B. Mail mit Personaldaten) oder indirekt (z.B. Zugriff auf personenbezogene Daten durch einen US-amerikanischen Mutterkonzern auf Daten in der EU), muss eine valide Rechtsgrundlage vorliegen. Diese regelt Artikel 44 ff. DSGVO. Demnach sind dafür
- Ein Angemessenheitsbeschluss der EU-Kommission erforderlich,
- Ein Datentransfer vorbehaltlich geeigneter Garantien (z.B. Abschluss von Standardvertragsklauseln und zusätzlicher technischer und organisatorischer Maßnahmen),
- Verbindliche interne Datenschutzvorschriften (innerhalb einer Unternehmensgruppe).
EU-US-Data Privacy Framework als Mechanismus für den Datentransfer
Nachdem bisherige Datenschutzabkommen als Transfermechanismus im Sinne eines Angemessenheitsbeschlusses durch den Europäischen Gerichtshof gekippt wurden (Stichwort: Schrems II), ist seit Mitte 2023 das sogenannte „EU-US-Data Privacy Framework“ in Kraft. Allerdings gilt das Framework nicht pauschal. Die amerikanischen Organisationen / Datenimporteure müssen sich dazu zertifizieren lassen. Dafür ist der Nachweis einer Reihe von Verhaltensweisen erforderlich, die ein „höheres Datenschutzniveau“ versichern.
Die Liste der zertifizierten Organisationen ist zu finden unter: Data Privacy Framework.
Das Framework im Mittelpunkt der Kritik
Seit dem Amtsantritt der neuen Regierungsadministration in den USA wird nun Kritik laut. Die Sorge ist, dass die politischen Maßnahmen innerhalb der USA dafür sorgen, die schützenden Verhaltensweisen der zertifizierten Organisationen abzuschaffen oder gar zu untergraben. Unter anderem wurden Mitglieder des „Privacy and Civil Liberties Oversight Board“ (PCLOB), einem Kontrollorgan für Datenschutz und Bürgerrechte in den USA, zum Rücktritt aufgefordert. Die Frage ist dementsprechend, ob und wie lange die EU-Organe damit noch das Data Privacy Framework als Angemessenheitsbeschluss sehen.
Aktueller Stand und Ausblick
Einzelne Anfragen bei nationalen Aufsichtsbehörden haben ergeben, dass diese (bisher) weiterhin keinen Anlass dafür sehen, dass das Data Privacy Framework keine valide Rechtsgrundlage wäre. Insofern ist akut kein Handlungsbedarf für deutsche Organisationen vorhanden.
Im Sinne weiterer Entwicklungen und genereller Unabhängigkeit von politischen Entwicklungen, insbesondere in Drittländern, sollten Organisationen aber ihre genauen Bedarfe analysieren. Gibt es eventuell europäische Alternativen, die für IT-Vorhaben und Verarbeitungstätigkeiten in Frage kommen? Bieten diese einen ähnlichen oder gar gleichen Funktionsumfang? Hier gilt es, ganz genau Anforderungen zu notieren und den Markt zu prüfen. Ansonsten empfiehlt es sich, die Entwicklungen weiterhin eng zu verfolgen und sich mit seinem Datenschutzteam auf Alternativen anstatt des Data Privacy Framework vorzubereiten. Falls Sie dazu Fragen haben, melden Sie sich gerne!
Unser letzter Blogpost mit Verbindungen zum Thema Datenschutz im Drittland: DeepSeek und der Datenschutz – Rewion IT-Beratung & Services
