Vor mittlerweile Jahren trat die DSGVO in Kraft – mit dem wesentlichen Zweck, Rechtssicherheit in den Datenschutz zu bringen. Für Datentransfers in die Vereinigten Staaten ist dies allerdings noch nicht gelungen. Eine Dauerbaustelle?

Übermittlungen in die USA an der Tagesordnung

Viele Unternehmen können gar nicht anders, als personenbezogene Daten nach Amerika zu transferieren. Manche sind Teil eines Konzerns mit einem Mutterkonzern in den USA: Dorthin müssen dann die Daten auch berichten. Hinzu kommt, dass beinahe alle Unternehmen Internetservices nutzen, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen, die meist über Server in den USA laufen.

Die USA als sogenanntes Drittland

Wenn auch Ihr Unternehmen Daten in die USA übermittelt, muss es sich an die Vorgaben der DSGVO halten. Der Knackpunkt: Die USA sind bekanntlich EU-Mitgliedsstaat, sondern ein sogenanntes Drittland. Das US-Recht richtet sich demnach nicht an die Vorgaben der DSGVO. Darum sind Maßnahmen erforderlich, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Die elegante Lösung: generelle Vorgaben

Für Unternehmen wäre es ideal, wenn generelle Regelungen der EU bestehen würden, die dies gewährleisten. So könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ laut Art. 45 DSGVO). Diesen per se goldenen Weg hat die EU im engen Zusammenwirken mit den USA zweimal versucht zu beschreiten.

Passé: „Safe Harbour“ und „Privacy Shield“

Einen buchstäblich sicheren Hafen für Datenübermittlungen in die USA sollten die „Safe-Harbour-Regelungen“ schaffen. Daraufhin sollte der „Privacy Shield“ als ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA fungieren.

Beide Vorhaben – umfassende Regelungswerke – konnten beim Europäischen Gerichtshof keine Gnade finden. Seine Entscheidungen sind bekannt unter den Kurzbegriffen „Schrems I“ und „Schrems II“. Die Begriffe gehen zurück auf den österreichischen Juristen Schrems, der jeweils die Verfahren in die Wege geleitet hatte, die zu den finalen Entscheidungen geführt haben.

Unschlüssigkeit im Berufsalltag

Aktuell herrscht in den Unternehmen eine gewisse Ratlosigkeit vor. Das spüren alle Mitarbeitenden, die mit Datenübermittlungen in die USA zu tun haben. Die Standard-Aufforderungen lauten nicht selten: derartige Übermittlungen auf das Notwendigste beschränken.

Von der EU entworfene „Standardvertragsklauseln“ sind häufig die Rechtsgrundlage für Datentransfers, aber aufwendig in der Handhabung. Einwilligungen betroffener Personen eignen sich nicht als breit anwendbare Rechtsgrundlage: Der Aufwand ist schlichtweg zu groß.

Happy birthday, DSGVO! Der Wunsch nach einer Rechtsgrundlage

Zum dritten Geburtstag der Datenschutz-Grundverordnung hoffen viele Unternehmen auf ein besonderes Geburtstagsgeschenk, das die EU schnürt: eine praktisch sinnvoll nutzbare Rechtsgrundlage für Datentransfers in die USA. Die EU und die USA haben bereits versprochen, in der nächsten Zeit intensive Bemühungen anzustellen, um dies in die Wege zu leiten.

Klicken Sie um den Beitrag zu Bewerten
[Total: 0 Average: 0]
Über uns

Persönlich, pragmatisch, professionell: Die 3 P Datenschutz GmbH ist seit vielen Jahren als externer Dienstleister für Datenschutz und IT-Sicherheit tätig.

Rechtliches
Kontakt

3 P Datenschutz GmbH
Sanderstraße 47
86161 Augsburg

  • info@3-p-datenschutz.de
  • +49 821 65088580
© 3 P Datenschutz GmbH 2024
Nach oben scrollen