Die meisten großen Tech-Giganten sind in den USA ansässig. Die Nutzung der Dienste von Apple, Microsoft, Google & Co. ist für Unternehmen oftmals alternativlos. Da die USA ein Drittland im Sinne der DSGVO sind, muss der Datentransfer dorthin spezifisch abgesichert sein. Seit dem EuGH-Urteil in Sachen Schrems II ist das kein einfaches Unterfangen. Nun zeichnet sich eine Lösung in Form eines neuen Angemessenheitsbeschlusses ab.
Unternehmen müssen für den Einsatz von Drittanbietern, die personenbezogene Daten in die USA transferieren, die Absicherung dieses Transfers nach den Vorgaben der Art. 44 ff. DSGVO sicherstellen. Dies erfordert nach dem Schrems II Urteil des EuGH ein „Transfer Impact Assessment“, eine Risikobewertung, ob die gewählten Maßnahmen zu einem hinreichenden Sicherheitsniveau führen. Dies führt in der Praxis regelmäßig zu ganz erheblichen Herausforderungen. Neue Entwicklungen sind dabei stets im Blick zu halten. Wir haben Ihnen einige wesentliche Neuerungen zusammengefasst:
Beschluss der DSK zu Drittlandtransfers
Erwähnenswert ist zunächst der Beschluss der Datenschutzkonferenz (DSK) vom 31. Januar 2023 zur Bewertung von Zugriffsmöglichkeiten von Drittland-Behörden auf personenbezogene Daten. Genau diese Zugriffsmöglichkeit von Sicherheitsbehörden in den USA war ein entscheidender Grund für den EuGH, die Sicherheit personenbezogener Daten in den USA anzuzweifeln.
Gem. Art. 44 ff. DSGVO ist eine Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation nur unter bestimmten Bedingungen zulässig: Im Drittland muss ein angemessenes Datenschutzniveau gesichert sein. Dies beinhaltet auch, dass Zugriffe von Sicherheitsbehörden nur entsprechend den EU-Standards zulässig sein dürfen, also u.a. nur in verhältnismäßigem Umfang und mit effektiven Rechtsmitteln gegen einen solchen Zugriff.
Aber wann liegt überhaupt eine „Übermittlung“ vor, für die die Art. 44 ff. DSGVO zu beachten sind? Die DSK hält dazu jetzt fest, dass nicht bereits die bloße Gefahr eines Zugriffs auf Daten aus den USA heraus eine Drittlandübermittlung sei. Dies ist folgerichtig, da nach der DSGVO-Beschreibung der Übermittlung in Art. 44 ff. und den zugehörigen Erwägungsgründen eben der Zugriff als solcher entscheidend ist, nicht aber eine (abstrakte) Gefahr. Aber hilft eine solche Aussage in der Praxis?
Eher nicht: Zum einen muss ich als Unternehmen einen operativ handhabbaren Modus finden. Tools können nicht spontan ausgetauscht werden, wenn sich eine solche Gefahr einmal konkretisieren oder realisieren sollte. Zum anderen relativiert die DSK ihre Aussage auch selbst: Die abstrakte Gefahr eines Datenzugriffs könne dazu führen, dass beim Einsatz als Auftragsverarbeiter die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt. Dies gelte auch für die EU-Töchter von US-Unternehmen, wenn eben aufgrund der US-Regeln das Risiko besteht, dass die Töchter über die US-Mütter zur Datenherausgabe gezwungen werden könnten.
Damit geht es „zurück auf Los“: Die DSK hält den Einsatz der US-Tools, auch bei EU-Tochterunternehmen als Anbietern, im Ergebnis für kritisch. Dies hilft in der Praxis nicht.
Richtlinie des Europäischen Datenschutzausschusses (EDSA)
Neu gefasst sind weiter die Leitlinien des EDSA, in denen der Begriff des Drittstaatentransfers konkretisiert wird (Guidelines 05/2021, jetzt in der Version 2.0 vom 14.02.2023). Revolutionäre, neue Erkenntnisse ergeben sich aus diesen also nicht. Auch hieraus ergibt sich für die Praxis daher wenig Hilfestellung.
EU-US Datenabkommen 3.0
Eine echte rechtssichere Erleichterung könnte dagegen ein neuer Angemessenheitsbeschluss für die USA bringen: Das EU-US Datenabkommen 3.0 bietet hierfür die Grundlage. Der Entwurf der Kommission für den Angemessenheitsbeschluss liegt bereits seit einiger Zeit vor.
Nach ursprünglicher Kritik an dem Entwurf begrüßt der EDSA inzwischen getroffene Anpassungen, auch wenn wesentliche Kritikpunkte bleiben.
Dennoch: Die Zeichen stehen auf „grün“, es wird erwartet, dass der Angemessenheitsbeschluss im Laufe dieses Jahres erlassen wird. Optimisten erwarten dies schon im Sommer, realistischer ist der Erlass im Herbst 2023. Ist der Angemessenheitsbeschluss wirksam, bringt das eine echte Hilfe in der Praxis. Auch wenn NOYB und der Aktivist Max Schrems ihre Ankündigung wahrmachen sollten und erneut vor den EuGH ziehen, bleibt der Angemessenheitsbeschluss wirksame Grundlage für Datentransfers in die USA, bis der EuGH ihn – sollte dies erneut der Fall sein – für unwirksam erklärt.