© Pe3k./shutterstock.com
Können Systeme aus den USA (noch) risikofrei genutzt werden?

Wirtschaft vs. EU-Datenschutz


Dieser Artikel fasst die datenschutzrechtlichen Entwicklungen der letzten Monate für Transfers von Daten in die USA zusammen. Das umfasst essenzielle Handlungsempfehlungen, deren wirtschaftliche Praktikabilität und Risiken für Unternehmen.

Digitale Anwendungen und Systeme aus den USA sind aus dem Unternehmensalltag nicht wegzudenken. Nichtsdestotrotz gibt es grundsätzliche datenschutzrechtliche Bedenken, die regelmäßig Urteile und aufsichtsbehördliche Stellungnahmen verursachen. Zwar gibt es die „einfache“ Möglichkeit, auf Angebote aus dem Europäischen Wirtschaftsraum auszuweichen. Das dürfte recht praxisfern und oftmals mit weniger Leistung bei hohen zusätzlichen Kosten verbunden sein. Daher geht dieser Artikel auf diese Lösungsoption nicht genauer ein.

Bitte beachten:

Der Artikel dient zu Informationszwecken und kann keine entsprechende individuelle juristische Beratung ersetzen.

Auf Gesetzgebungsebene wurden neue Herausforderungen innerhalb der Datenschutz- Grundverordnung mit erweiterten Betroffenenrechten und Prinzipien formuliert, die seit fast fünf Jahren Einfluss auf die wirtschaftliche Realität und auf die Nutzung von Angeboten aus den USA nehmen. Diese weitreichenden datenschutzrechtlichen Anforderungen betreffen auch US-amerikanische Anwendungen und Dienste, die sich nach dem Marktortprinzip [1] an die Gesetzeslage des Zielmarktes richten müssen. Das bedeutet, dass europäische Gesetze und datenschutzrechtliche Vorschriften für diese Unternehmen gelten. Zudem sind diese verpflichtet, bei der Wahl von Dienstleistern und Anwendungen die Sicherheit der personenbezogenen Daten im Empfängerland bei der Vorauswahl zu berücksichtigen.

Bedeutung von Angemessenheit

Sämtliche personenbezogenen Daten dürfen innerhalb der Europäischen Union frei verkehren [2]. Sofern personenbezogene Daten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes transferiert werden, ist eine Autorisierung für einen solchen Transfer erforderlich [3]. Das bedeutet nicht, dass ein Entwickler oder Geschäftsführer diese spontan aussprechen kann. Vielmehr ist aus einem vorgegebenen rechtlichen Katalog eine Grundlage zu bestimmen. Ansonsten dürfen personenbezogene Daten aus datenschutzrechtlicher Perspektive nicht in die USA oder andere Drittländer übermittelt werden. Die wichtigsten Autorisierungsgrundlagen für solche Transfers sind die Folgenden:

  • Angemessenheitsbeschluss: Für die Erstellung eines Angemessenheitsbeschlusses bewertet die Europäischen Kommission sämtliche Gesetze eines Landes, internationale Verpflichtungen und die praktische Einhaltung der Regeln. Bei einem positiven Prüfungsergebnis ergeht ein Angemessenheitsbeschluss von der EU-Kommission. Dieser stellt eine Gleichwertigkeit mit den Europäischen Datenschutzregeln fest. Sofern eine solche Angemessenheit festgestellt wird, dürfen personenbezogene Daten, wie in der EU ohne weitere Hindernisse transferiert werden [4]. Bis vor dem Urteil „Schrems II“ bestand eine bereichsspezifische Angemessenheit für Datentransfers in die USA (Privacy Shield).

  • EU-Standardvertragsklauseln: Unternehmen können diese bilateralen Vertragsergänzungen mit Dienstleistern, die als Datenimporteure fungieren, abschließen [5]. Es werden vertragliche Garantien für ein Schutzniveau zwischen den Vertragsparteien festgelegt.

Neben diesen zwei wichtigsten Instrumenten stehen noch weitere Optionen zur Verfügung, z. B. verbindliche Unternehmensrichtlinien. Sie werden einer Datenschutzaufsichtsbehörde zur Genehmigung vorgesetzt und beinhalten verbindliche Vorgaben für konzerninterne Transfers aus datenschutzrechtlicher Perspektive, die z. B. die Einhaltung von Auskunftsrechten und diesbezügliche Prozesse erläutern [8]. Eine Genehmigung von verbindlichen Unternehmensrichtlinien ist allerdings sehr aufwendig und zeitintensiv. Eine weitere Option sind Ausnahmeregelungen für Einzelfälle, unter anderem eine ausdrückliche Einwilligung in den Transfer nach risikobasierter Information [9]. Diese Informationen müssen allerdings den Anforderungen von Art. 12 et. Seq. DSGVO genügen. Für jeden konkreten Fall muss eine Autorisierungsgrundlage bestimmt werden.

Bestehende Angemessenheitsbeschlüsse

Derzeit bestehen solche Beschlüsse nur...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang