Datenaustausch EU & USA
22. April 2022

Datenaustausch EU und USA: Einigung auf ein neues Abkommen zum Tausch von Daten

Der Datenaustausch zwischen der EU und den USA ist seit vielen Jahren ein Thema von hoher Brisanz. Hier fehlte bisher eine rechtssichere Regelung für den transatlantischen Austausch von Daten. Das blieb nicht ohne juristische Folgen. Der Europäische Gerichtshof (kurz: EuGH) strafte gleich in zwei Urteilen die unsichere Rechtslage ab. Diese wurde zwar durch den sogenannten Privacy Shield inoffiziell in Form von Absprachen flankiert, entbehrte als angebliches Datenschutzschild aber eine gesetzlichen Grundlage. Zwei Jahre nach dem letzten Urteil des EuGH zu dem Thema gibt es jetzt eine grundsätzliche Einigung für den transatlantischen Datentausch zwischen der EU und den USA. 

Warum ist ein neues Abkommen überhaupt notwendig?

Die Verarbeitung von personenbezogenen Daten regelt in Europa die Europäische Datenschutzgrundverordnung (kurz: DSGVO). Sie legt fest, unter welchen Bedingungen eine Verarbeitung rechtmäßig ist. Ebenfalls regelt die DSGVO die Voraussetzungen, wenn personenbezogene Daten rechtskonform einer Verarbeitung zugeführt werden sollen. Das gilt auch für den Austausch von Daten innerhalb der EU. Der Datenaustausch stellt nach dem Willen des europäischen Gesetzgebers eine Verarbeitungstätigkeit dar und unterliegt somit den Vorgaben des Art. 6 der DSGVO

Geht es um den Datenaustausch zwischen einem EU-Land und einem Land außerhalb der EU, bedarf es nach Maßgabe der DSGVO einer Prüfung, ob in dem Drittland ein entsprechendes Datenschutzniveau gewährleistet wird. Die Prüfungspflicht ergibt sich aus Art. 44 DSGVO. Nach Art. 45 DSGVO wird in bestimmten Länder per Angemessenheitsbeschluss der EU-Kommission ein angemessenes Datenschutzniveau angenommen. Gehört das Drittland nicht zu den Ländern mit Angemessenheitsbeschluss, fordert die DSGVO nach Art. 46 „geeignete Garantien“ für einen rechtmäßigen Datenaustausch. In Betracht kommen dabei insbesondere Verträge und Abkommen zwischen den beteiligten Ländern.

Privacy Shield als Abkommen für den Datenaustausch zwischen der EU und den USA

Um den Erfordernissen aus Art. 46 DSGVO nachzukommen, wurde 2015 der sogenannte EU-US Privacy Shield, auch als EU-US-Datenschutzschild bezeichnet, beschlossen. Er beinhaltet sowohl Zusicherungen durch die US-Regierung als auch den bereits erwähnten Angemessenheitsbeschluss der EU-Kommission. Diese beschloss ebenfalls im Juli 2016, dass durch den Privacy Shield die Wahrung des Datenschutzniveaus der EU gewährleistet wird

Inhalt des Privacy Shields als Datenschutzabkommen war der Schutz von personenbezogenen Daten beim Datentransfer von der EU in die USA. Dieser ist beispielsweise immer dann gefragt, wenn Dienstleister wie Google die über Google Analytics in Europa erhobenen Daten zur Verarbeitung in die USA übermitteln. Problematisch sind in diesem Zusammenhang aber die Vielzahl an datenschutzfeindlichen Gesetzen in den USA. Sie stehen dem durch die DSGVO geforderten Datenschutz direkt entgegen.

Warum war der Privacy Shield für den Datenaustausch zwischen der EU und den USA unzureichend?

Zwar wurde der Privacy Shield von der EU-Kommission als ausreichend für den Datenaustausch angesehen. Dies sah der EuGH aber ganz anders. Er entschied in zwei viel beachteten Entscheidungen, dass der Privacy Shield den Anforderungen der DSGVO an den Schutz von personenbezogenen Daten nicht genügt. Sowohl im sogenannten Schrems I-Urteil vom 06. Oktober 2015 als auch im Schrems II-Urteil vom 16. Juli 2020 verwarfen die Richter aus Luxemburg den Privacy Shield. In der Begründung führte der EuGH vor allem US-Gesetze wie den Foreign Intelligence Surveillance Act (kurz: FISA) und den Cloud Act an.

Insbesondere durch das Schrems II-Urteil waren viele europäische Unternehmen zum Umdenken beim Datentransfer von Kundendaten in die USA gezwungen. 

Was wird beim neuen Abkommen zum Datenaustausch zwischen der EU und den USA besser?

Das nun beschlossene Abkommen, auch als „Privacy Shield 2.0“ bekannt, soll ohne die Mängel des ursprünglichen Privacy Shields auskommen. Es soll für den transatlantischen Datentransfer endlich eine rechtskonforme Basis bieten. Die fehlende Rechtssicherheit war besonders für Unternehmen problematisch. Sie waren bei der Nutzung von Analysetools wie Google Analytics oder auch Maildienstleister:innen und Hostinganbieter:innen der Gefahr ausgesetzt, entgegen der DSGVO-Vorgaben zu handeln.

Die DSGVO schreibt für Unternehmen den Datenschutz personenbezogener Daten zwingend vor. Dies betrifft sämtliche Unternehmensbereiche, bei denen Mitarbeitende in Kontakt mit persönlichen Daten kommen. Hier drohen Unternehmen nicht nur Bußgelder im Falle einer Nichtbeachtung, sondern auch Imageschäden, wenn sie die DSGVO außer Acht lassen. Mitarbeitende sollten daher stets auf dem aktuellsten rechtlichen Stand zum Thema Datenschutz sein. 

Mit rechtlich-regulatorischen E-Learnings können Unternehmen Mitarbeitende datenschutzrechtlich schulen. Abhängig vom jeweiligen Unternehmensbereich ist der Berührungspunkt mit personenbezogenen Daten unterschiedlich stark ausgeprägt. Hier ergeben sich beim Thema Datenschutz für Führungskräfte andere Schwerpunkte als beispielsweise für den Umgang mit personenbezogenen Daten im Bereich Marketing

Was kommt auf Unternehmen durch die neue Einigung zu?

Das neue Abkommen verspricht für Unternehmen die schon lange notwendige Rechtsgrundlage, an der es bisher fehlte und die im wirtschaftlichen Miteinander zu einer regelrechten Datenblockade führte. Wie und in welcher Form die Einigung verabschiedet wird, ist allerdings noch offen. Ebenfalls ist noch offen, ob der Privacy Shield 2.0 einer Prüfung durch die Gerichte standhalten wird. 

Bereits jetzt wird aber auf Seiten von Unternehmen und Verbänden die schnelle Umsetzung der Einigung gefordert. Dies gerade auch unter dem Gesichtspunkt der Rechtssicherheit, die für Unternehmen und für einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA unerlässlich ist. 

Übrigens betrifft die fehlende Rechtsgrundlage auch die Arbeit von sozialen Netzwerken wie den Facebook-Konzern Meta. Hier wurde schon im Herbst 2021 kommuniziert, dass Dienste wie Facebook oder Instagram aufgrund der fehlenden Rechtsgrundlage unter Umständen in Europa eingestellt werden müssten. 

Fazit

Europäische Unternehmen und auch Verbraucherverbände sehen der zwischen EU-Kommissionschefin Ursula von der Leyen und US-Präsident Joe Biden in Brüssel beschlossenen Einigung mit hohen Erwartungen, aber auch mit Sorge entgegen. Der durch die Schrems-Urteile bekannt gewordene österreichische Jurist Max Schrems kündigte schon jetzt neue Klagen durch seine Datenschutzorganisation Noyb für den Fall an, dass das neue Abkommen nicht in Einklang mit den EU-Datenschutzvorschriften verfasst würde. 

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Mitarbeitenden nicht nur zum Thema Datenschutz, sondern auch in anderen Bereichen. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Datenschutzverletzungen und Non-Compliance schützen und Risiken beim Umgang mit personenbezogenen Daten frühzeitig identifizieren und umgehen. Neben unseren Online-Schulungen zur DSGVO und zum Datenschutz bieten wir zusätzliches Wissen in unserem kostenlosen Whitepaper „Datenschutz und Digitalisierung“ und in unseren aktuellen Blogbeiträgen.

29. April 2022
Social Engineering Definition: Das steckt hinter dem digitalen Angriffsversuch!
15. April 2022
Social Media Hacking: So nutzen Cyberkriminelle die sozialen Medien!
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,64 von 5 Sternen 2175 Bewertungen auf ProvenExpert.com