Vor mittlerweile Jahren trat die DSGVO in Kraft – mit dem wesentlichen Zweck, Rechtssicherheit in den Datenschutz zu bringen. Für Datentransfers in die Vereinigten Staaten ist dies allerdings noch nicht gelungen. Eine Dauerbaustelle?
Übermittlungen in die USA an der Tagesordnung
Viele Unternehmen können gar nicht anders, als personenbezogene Daten nach Amerika zu transferieren. Manche sind Teil eines Konzerns mit einem Mutterkonzern in den USA: Dorthin müssen dann die Daten auch berichten. Hinzu kommt, dass beinahe alle Unternehmen Internetservices nutzen, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen, die meist über Server in den USA laufen.
Die USA als sogenanntes Drittland
Wenn auch Ihr Unternehmen Daten in die USA übermittelt, muss es sich an die Vorgaben der DSGVO halten. Der Knackpunkt: Die USA sind bekanntlich EU-Mitgliedsstaat, sondern ein sogenanntes Drittland. Das US-Recht richtet sich demnach nicht an die Vorgaben der DSGVO. Darum sind Maßnahmen erforderlich, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).
Die elegante Lösung: generelle Vorgaben
Für Unternehmen wäre es ideal, wenn generelle Regelungen der EU bestehen würden, die dies gewährleisten. So könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ laut Art. 45 DSGVO). Diesen per se goldenen Weg hat die EU im engen Zusammenwirken mit den USA zweimal versucht zu beschreiten.
Passé: „Safe Harbour“ und „Privacy Shield“
Einen buchstäblich sicheren Hafen für Datenübermittlungen in die USA sollten die „Safe-Harbour-Regelungen“ schaffen. Daraufhin sollte der „Privacy Shield“ als ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA fungieren.
Beide Vorhaben – umfassende Regelungswerke – konnten beim Europäischen Gerichtshof keine Gnade finden. Seine Entscheidungen sind bekannt unter den Kurzbegriffen „Schrems I“ und „Schrems II“. Die Begriffe gehen zurück auf den österreichischen Juristen Schrems, der jeweils die Verfahren in die Wege geleitet hatte, die zu den finalen Entscheidungen geführt haben.
Unschlüssigkeit im Berufsalltag
Aktuell herrscht in den Unternehmen eine gewisse Ratlosigkeit vor. Das spüren alle Mitarbeitenden, die mit Datenübermittlungen in die USA zu tun haben. Die Standard-Aufforderungen lauten nicht selten: derartige Übermittlungen auf das Notwendigste beschränken.
Von der EU entworfene „Standardvertragsklauseln“ sind häufig die Rechtsgrundlage für Datentransfers, aber aufwendig in der Handhabung. Einwilligungen betroffener Personen eignen sich nicht als breit anwendbare Rechtsgrundlage: Der Aufwand ist schlichtweg zu groß.
Happy birthday, DSGVO! Der Wunsch nach einer Rechtsgrundlage
Zum dritten Geburtstag der Datenschutz-Grundverordnung hoffen viele Unternehmen auf ein besonderes Geburtstagsgeschenk, das die EU schnürt: eine praktisch sinnvoll nutzbare Rechtsgrundlage für Datentransfers in die USA. Die EU und die USA haben bereits versprochen, in der nächsten Zeit intensive Bemühungen anzustellen, um dies in die Wege zu leiten.