Was lange währt, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Privacy Framework. Sie kennen dieses Stichwort noch gar nicht? Es geht um eine neue Rechtsgrundla-ge für Datenübermittlungen in die USA. Dabei gilt es einige Fallstricke zu beachten.
Der 16. Juli 2020 weckt böse Erinnerungen
Der 16. Juli 2020 war für alle Unternehmen, die auf Datenübermittlungen in die USA angewiesen sind, ein schwarzer Tag. Denn damals erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum „Privacy Shield“ für nichtig. Von diesem Tag an konnten Unternehmen Datenübermittlungen in die USA nicht mehr auf den Angemes-senheitsbeschluss als Rechtsgrundlage stützen.
Das war schmerzlich, denn Datenübermittlungen auf seiner Basis verursachten nur einen geringen rechtlichen Aufwand. Alle denkbaren Alternativen, auf die sie von da an zurückgreifen mussten, waren für die Unternehmen dagegen zum Teil mit wahren Papierbergen verbunden.
Der rechtliche Schwebezustand hat jetzt ein Ende
Seit dem 10. Juli 2023 gibt es wieder einen Angemessenheitsbeschluss der EU-Kommission, den Unternehmen für Datenübermittlungen in die USA nutzen können. Darin ist festgehalten, dass unter bestimmten Bedingungen in den US-Unternehmen ein angemessenes Datenschutzniveau herrscht.
Wohlgemerkt: unter bestimmten Bedingungen. Aber wenn sie erfüllt sind, funktioniert wieder alles so, wie man es vor dem 16. Juli 2020 mit dem „Privacy Shield“ gewohnt war. Unternehmen in der EU können also wieder personen-bezogene Daten an ihre US-Geschäftspartner übermitteln, ohne dafür umfangreiche zusätzliche Datenschutzrege-lungen vereinbaren zu müssen.
Der Jubel ist trotzdem eher verhalten
Die neuen Regelungen wurden in der Wirtschaft dankbar registriert. Immerhin bringen sie erhebliche Erleichterun-gen für den „Datenschutzalltag“. Echte Begeisterung spürt man allerdings nur selten. Eher herrscht eine gewisse Skepsis, was die Zukunft der neuen Regelungen angeht. Über kurz oder lang wird es auf irgendeinem Weg dazu kommen, dass der EuGH auch sie rechtlich überprüft. Werden sie dann Bestand haben?
Die neuen Regelungen werden bis auf Weiteres tragfähig sein
So verständlich solche Befürchtungen sind – im Augenblick helfen die neuen Regelungen wirklich weiter.
Das Grundschema, nach dem sie funktionieren, ist relativ einfach: US-Unternehmen können sich in den USA in eine Art Datenschutzregister eintragen lassen. Es trägt die Bezeichnung „Data Privacy Framework List“. Dazu müssen sie ziemlich viele Voraussetzungen erfüllen. So müssen etwa ausreichende Datensicherungsmaßnahmen vorhan-den sein.
Wenn ein US-Unternehmen diesen Zertifizierungsprozess erfolgreich abgeschlossen hat, können sich seine Ge-schäftspartner in der EU darauf verlassen, dass in diesem US-Unternehmen ein angemessenes Datenschutzniveau herrscht. Das bildet die rechtliche Basis dafür, dass die Übermittlung personenbezogener Daten dorthin zulässig ist.
Für Personaldaten gelten Besonderheiten
Die Frage, ob auf dieser Basis auch eine Übermittlung von Personaldaten zulässig ist, lautet: „Ja, aber …“. Die Übermittlung solcher Daten an ein US-Unternehmen setzt voraus, dass dieses Unternehmen zusätzliche Verpflich-tungen eingeht. Dazu gehört insbesondere die Verpflichtung, mit den Datenschutz-Aufsichtsbehörden in der EU zusammenzuarbeiten.
Die Zertifizierung ist jedes Jahr zu erneuern
US-Unternehmen, die auf der „Data Privacy Framework List“ stehen, müssen ihre Zertifizierung jedes Jahr erneuern lassen. Sonst werden sie von der Liste gestrichen. Deshalb müssen sich ihre Geschäftspartner in der EU jedes Jahr vergewissern, dass die Zertifizierung erneuert wurde. Im Augenblick richten alle betroffenen Unternehmen in der EU die dafür nötigen Abläufe ein, wenn sie nicht ohnehin schon vorhanden sind.
Microsoft 365 bleibt eine Herausforderung
Viele Unternehmen hatten gehofft, dass der neue Angemessenheitsbeschluss alle vorhandenen Probleme bei Datenübermittlungen in die USA löst. Dies galt besonders für den Einsatz von Microsoft 365. Hier gießen jedoch die ersten Aufsichtsbehörden für den Datenschutz schon wieder Wasser in den Wein. Sie verweisen darauf, dass bei Microsoft 365 weiterhin unklar sei, welche Daten Microsoft in den USA verarbeitet und was dabei geschieht.
Ob diese Behauptung zutrifft, sei dahingestellt. Dass der neue Angemessenheitsbeschluss nicht von der Pflicht befreit, die Datenverarbeitung transparent zu gestalten, steht auf alle Fälle fest. Sofern es Unklarheiten gibt, bietet der Angemessenheitsbeschluss keine Hilfe. Hier gilt es also weiterhin, Lösungen zu finden.