Datentransfer in die USA – eine Dauerbaustelle?

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft.

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben.

Der aktuelle Stand: Ratlosigkeit

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.

Ein dringender Geburtstagswunsch

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen.