© vectorpouch/Shutterstock.com
Warum der US-Transfer von Daten kompliziert werden kann

Häfen, Schilder, große Probleme


Mit der Datenschutz-Grundverordnung (DSGVO) existiert ein Regelwerk, das ein einheitliches Datenschutzrecht in allen Mitgliedsstaaten der Europäischen Union festlegt. Wenn Daten mit Personenbezug, also beispielsweise Name, Telefonnummer, E-Mail-Adresse, Schuhgröße, Steuerbescheid, Kfz-Kennzeichen oder auch IP-Adressen, in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermittelt werden, muss sichergestellt werden, dass dort ein angemessenes Datenschutzniveau besteht.

Für manche solcher Drittstaaten existieren von Seiten der EU-Kommission sogenannte Angemessenheitsbeschlüsse. Darin wird den betreffenden Ländern sozusagen amtlich attestiert, dass das dortige Datenschutzniveau geprüft und für angemessen befunden wurde. Solche Beschlüsse liegen aktuell (Stand: Oktober 2020) für folgende Staaten vor: Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay, Japan.

Bis Mitte Juli 2020 fanden sich auch die USA auf dieser Liste. Allerdings wurde die dortige Rechtslage seit den Anschlägen vom 11. September 2001 in datenschutzrechtlicher Hinsicht immer weiter verschärft. Beispielsweise wegen des Cloud Acts oder auch durch den Foreign Intelligence Surveillance Act (FISA) können essenzielle Grundrechte u. a. von EU-Bürgern in den USA nicht gewährleistet werden. Unter bestimmten Voraussetzungen können US-Behörden auch im Ausland auf Daten von solchen Unternehmen zugreifen, die jedenfalls ihren Hauptsitz in den USA haben. Folglich sind auch Daten auf Servern betroffen, die verschiedene US-Unternehmen beispielsweise in Irland betreiben.

Um gleichwohl in den USA ein angemessenes Datenschutzniveau zu installieren, wurde dort vor einigen Jahren mit der sogenannten Safe-Harbor-Regelung (dt.: sicherer Hafen) ein Verfahren geschaffen, in dessen Rahmen sich US-Unternehmen beim US-Handelsministerium registrieren und dadurch bescheinigen lassen konnten, dass sie sich an bestimmte datenschutzrechtliche Vorgaben halten. Dass eine solche Selbstzertifizierung nur eine vergleichsweise geringe Aussagekraft besitzt, dürfte klar sein. Folgerichtig wurde sie auch auf Bestreben von Max Schrems, einem Datenschutzaktivisten aus Österreich, vom Europäischen Gerichtshof (EuGH) für ungültig erklärt (Urteil vom 6. Oktober 2015, Aktenzeichen: C-362/14). Da aber natürlich zahlreiche europäische und amerikanische Unternehmen, Behörden und auch Vereine ein starkes Interesse an einer rechtskonformen Datenübermittlung haben, wurde als Nachfolgeregelung der sogenannte EU-US Privacy Shield (dt. sinngemäß: Privatsphärenschutzschild) ins Leben gerufen; ein vergleichbares Instrumentarium gab es parallel auch für die Schweiz. Allerdings schimpften Datenschutzexperten hierbei schon sehr...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang