Der europäische Gerichtshof (EuGH) hat das transatlantische Datenschutzabkommen EU-US Privacy Shield für ungültig erklärt, weil personenbezogene Daten europäischer Nutzer auf Servern in den USA nicht hinreichend vor dem Zugriff durch US-Geheimdienste und Behörden geschützt seien. Damit ist in vielen Unternehmen die rechtliche Grundlage für den transatlantischen Transfer weggefallen. Eine Übergangsfrist sieht das EuGH-Urteil nicht vor.
Laut DSGVO dürfen personenbezogene Daten nur in Länder Drittländer übermittelt werden, wenn dort ein vergleichbares, „angemessenes“ Datenschutzniveau herrscht (Artikel 44 – 49 DSGVO). Bei Verstößen können die Aufsichtsbehörden Sanktionen verhängen. Laut EU-Kommission gilt Vergleichbarkeit für Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay – aber nicht für die USA.
Die Firmen bewegen sich somit in einer rechtlichen Grauzone. Eine schwierige Situation, zumal häufig Cloud-Dienste wie MS Azure, Amazon Web Services (AWS) oder US-Software mit Telemetrie-Funktionen wie MS Office 365 eingesetzt werden. Auch SaaS (Software as a Service) – Produkte wie das Videokonferenz-Tool Zoom, die Nutzung von Social-Media-PlugIns, der Einsatz von Tracking-Diensten (Google Analytics) oder das Ablegen von Daten auf Cloudspeichern wie One Drive sind kritisch geworden.
Transatlantischer Datenverkehr kann praktisch nur noch auf Basis der sogenannten Standardvertragsklauseln (SCC) erfolgen. Nach diesen von der EU-Kommission vorformulierten Vertragsklauseln muss der Datenimporteur im Drittland die Einhaltung des Datenschutzniveaus nach DSGVO sicherstellen. Als vollständig rechtssicher gilt das allerdings nicht, zumal nicht klar ist, ob dies im Rahmen der US-Gesetzgebung überhaupt machbar ist.
Binding Corporate Rules (BCR) – Regelungen zum Umgang mit personenbezogenen Daten sind ebenfalls möglich. Diese stellt das jeweilige Unternehmen selbst auf. Sie durchlaufen dann ein aufwendiges und teures Genehmigungsverfahren, deshalb werden sie selten angewendet. Kaum praktikabler erscheint es, die Einwilligungen der Betroffenen einzuholen, die freiwillig erfolgen und dokumentiert werden müssen, außerdem jederzeit widerrufen werden können.
Der Europäische Datenschutzausschuss (EDSA) hat eine Checkliste zu den häufigsten Fragen in Sachen Datenübermittlung in Drittländer zusammengestellt. Danach muss geprüft werden, ob „Ausnahmen für bestimmte Fälle“ (nach Art. 49 DSGVO) zur Anwendung kommen können, wenn ein angemessenes Schutzniveau nicht zu erreichen ist. Sollte dies nicht möglich sein, ist der Datentransfer auszusetzen. Wird die Datenübermittlung ohne angemessenes Schutzniveau in ein Drittland fortgesetzt, muss der für den Transfer Verantwortliche die Aufsichtsbehörde darüber informieren.
Die Empfehlungen des EDSA finden Sie auf der FAQ-Seite. Ferner hat der europäische Datenschutzausschuss neue Leitlinien zu Standarddatenschutzklauseln herausgegeben, die auch die derzeitige Situation hinsichtlich einer Gemeinsamen Verantwortlichkeit (Joint Controllership) näher beleuchten.