Joe Biden und Ursula von der Leyen sprechen über Datenschutz
Werden die USA nun (wieder) ein sicheres Drittland?
Ein großer Teil der von europäischen Unternehmen verwendeten Cloud-Dienstleister und Software-Anbieter hat seinen Sitz in den USA. Eigentlich kein großes Problem sollte man meinen, schließlich werden täglich auch Waren im Wert von Milliarden Euro und Dollar zwischen den beiden Wirtschaftsräumen ausgetauscht.
Doch ähnlich wie ein Europäisches Auto für die Zulassung in den USA einige spezielle amerikanische Spezifikationen einhalten muss, müssen auch Software-Anbieter aus den USA ihren europäischen Kunden die Erfüllung der Bestimmungen der Datenschutzgrundverordnung (DSGVO) garantieren.
Das Problem!
Das Problem ist dabei weniger, dass die US-Unternehmen die europäischen Daten gerne gewinnbringend an Dritte verkaufen oder selbst nutzen möchten (Facebook/Meta und zwielichtige Datenhändler mal ausgenommen), sondern die einschlägigen US-Gesetze und Verordnungen (executive orders), die in den vergangenen Jahrzehnten zur Verhinderung von Terrorismus und anderen Gefahren der „nationalen Sicherheit“ verabschiedet wurden. „Nationale Sicherheit“ wird dabei sehr weit ausgelegt und so kann es zu unverhältnismäßigen Überwachungsmaßnahmen kommen. Das wird nicht nur vielfach von eifrigen Drehbuchautoren US-amerikanischer Filme und Serien angedeutet, sondern wurde auch erstmals 2012 von Edward Snowden einer breiteren Öffentlichkeit mit stichhaltigen Beweisen bekannt gemacht.
Was können US-Unternehmen tun?
Wie könnten also US-Unternehmen oder die US-Regierung garantieren, dass die Daten europäischer Bürger nicht missbräuchlich verwendet werden und ein mit der EU vergleichbares Datenschutzniveau herrscht? Insbesondere da Datenschutz in den USA zwar ein immer wichtigeres Thema wird, jedoch formal der europäischen Gesetzgebung Jahrzehnte hinterherhinkt. Einzelne Bundesstaaten wie beispielsweise Kalifornien mit dem CCPA haben zwar mittlerweile erste Datenschutzschutzgesetze verabschiedet, die sich auch in ihren Grundsätzen an die DSGVO anlehnen, jedoch bei weitem nicht so umfassend sind. Und von einem national einheitlichen Gesetz für Datenschutz in den USA wird derzeit nur von einigen Aktivisten und progressiv denkenden Juristen geträumt.
In manchen Fällen haben die US-Unternehmen eigene Tochterunternehmen in der Europäischen Union gegründet (oft in Irland wegen der vorteilhaften Steuergesetze), mit denen die Verträge europäischer Kunden formal abgeschlossen werden und so der Eindruck erweckt wird, dass ausschließlich europäische Unternehmen in die Datenverarbeitung involviert sind. Beispiele dafür wären die Microsoft Ireland Operations Ltd. oder die Google Cloud EMEA Ltd.
Die genannten Großkonzerne können sich derartige rechtliche Konstrukte locker leisten. Sie verfügen auch über eigene Rechenzentren in der Europäischen Union. Rein technisch besteht jedoch meist eine Zugriffsmöglichkeit auch von der „Zentrale“ in den USA aus, sodass die einschlägigen US-Gesetze trotzdem zur Anwendung kommen.
Bei Anbietern von Speziallösungen wird es noch etwas schwieriger. Dann werden die Vereinbarungen zur Auftragsverarbeitungen tatsächlich mit den US-Unternehmen abgeschlossen und auch die Daten liegen offensichtlich in US-Rechenzentren.
EU-Standardvertragsklauseln
Das aktuelle Mittel der Wahl für die Nutzung dieser Anbieter sind die „EU-Standardvertragsklauseln“, die von der EU-Kommission zuletzt am 4. Juni 2021 aktualisiert und verabschiedet wurden. Frühere Versionen der Standardvertragsklauseln sind nicht mehr gültig bzw. müssen die Vereinbarungen mit den neuen Klauseln neu abgeschlossen werden.
EuGH – Schrems II
Der Europäische Gerichtshof hat jedoch in seinem vielbeachteten „Schrems-II“-Urteil klar gemacht, dass die Standardvertragsklauseln nur dann verwendet werden können, wenn diese Klauseln auch im Zielland entsprechend durchgesetzt werden können. Falls das nicht möglich sein sollte, müssten zusätzliche technische oder organisatorische Mittel gefunden werden, um die Daten zu schützen und mit einem „Transfer-Impact-Assessment“ muss abgeschätzt werden, wie groß das Risiko für einen unrechtmäßigen Zugriff auf die Daten durch ausländische Stellen wäre.
Hört sich kompliziert an? Ist es auch!
Neues Abkommen? Neues Privacy Shield?
Daher wartet die ganze Branche sehnsüchtig auf ein neues Abkommen zwischen der Europäischen Union und den Vereinigten Staaten, in denen letztere den Europäischen Bürgern ein angemessenes Datenschutzniveau garantieren. Eine simple Absichtserklärung ohne gesetzliche Grundlage und die Bildung entsprechender Stellen in den USA würde jedoch wohl mit den gleichen Argumenten vom Europäischen Gerichtshof als unzureichend beurteilt werden, wie es schon bei „Privacy Shield“ der Fall war.
Datenschutz ist Chefsache!
Während die Datenschutzangelegenheiten früher in der zweiten Reihe (=das US Handelsministerium auf der einen und die zuständige EU-Kommissarin auf der anderen Seite) verhandelt wurden, ist das Thema nun zur „Chefsache“ geworden, mit dem sich die Kommissionspräsidentin und der US-Präsident auseinandersetzen. Dabei soll schon ein grundsätzliches Einvernehmen gefunden worden sein. Das ist nicht nichts, aber leider auch nicht viel. Erst wenn konkrete Schritte wie präsidentiale Dekrete, neue Behörden für Anliegen der Nicht-US-Bürger o.Ä. aufgebaut worden sind, kann sich die Lage entspannen. Da es derzeit an anderen wichtigen politischen Themen nicht gerade mangelt, ist ein rascher Fortschritt hier nicht abzusehen.
Was können wir nun tun?
Somit bleibt aktuell nur die ausführliche Dokumentation über ein erwartbar niedriges Risiko bei der Datenübermittlung und die Etablierung zusätzlicher Maßnahmen bei der Zusammenarbeit mit US-Dienstleistern. So ist beispielsweise Microsoft gerade dabei, die europäischen Rechenzentren technisch so stark von der Konzernmutter abzugrenzen, dass ein Zugriff nur unter Verletzung einer Vielzahl von internen Vorschriften möglich wäre. Es ist zu erwarten, dass auch andere große Dienstleister ähnliche Maßnahmen setzen werden. Zusätzlich sollten Unternehmen auch prüfen, ob nicht europäische Anbieter vergleichbare Leistungen zur Verfügung stellen können.
Lieber etwas Aufwand in die Recherche und Evaluierung von Alternativlösungen investiert als mit der dauernden Unsicherheit über Einwände der Aufsichtsbehörden zu leben. Und selbst wenn die Recherche ergeben sollte, dass es eben kein gleichwertiges europäisches Angebot gibt, so ist diese Information trotzdem wertvoll. Sie kann nämlich als Teil der Dokumentation ebenso als Argumentation für die Nutzung eines bestimmten Dienstleisters verwendet werden und zeigt damit der Behörde, dass man die Problematik gesehen und behandelt hat.
