Foto von Nico El Nino

Zwischen den Staaten der EU und den USA werden Daten aller Art in kaum vorstellbarer Quantität übermittelt. Darunter fallen auch personenbezogene Daten im Anwendungsbereich der DSGVO, die Einschränkungen des internationalen Transfers unterliegen. Unter Stichworten wie Safe-Harbour-Abkommen, Privacy-Shield und Schrems-Urteilen hat sich ein unübersichtliches rechtliches Problemfeld herausgebildet, das eine kaum zu überschätzende praktische Relevanz aufweist.

Unsicherheit über die Zulässigkeit von Datentransfers zwischen der EU und den USA tangiert so gut wie alle digital operierenden Unternehmen. Das liegt nicht nur an den engen Beziehungen beider Wirtschaftsräume und des damit einhergehenden Datenaustauschs. Vor allem auch die datenschutzrechtliche Ausgestaltung digitaler Produkte und Geschäftsmodelle stößt auf rechtliche Ungewissheit. Das gilt zuvorderst für die Anbieter von web- und cloudbasierten Produkten. Ohne die Hinzuziehung von US-basierten Dienstleistern im IT-Sektor entstehen enorme Ressourcen- und Fähigkeitslücken. Das wichtigste und beste Beispiel sind dabei freilich US-basierte Cloud-Anbieter wie Google oder Amazon Web Service, zu denen es schlicht (noch) kaum konkurrenzfähige europäische Alternativen gibt.

Spiegelbildlich entstehen auch auf Auftraggeberseite Unsicherheiten. Wer digitale Dienstleistungen zur Datenverarbeitung (insbesondere SaaS-Leistungen) in Anspruch nehmen will, findet in der Liste der Unterauftragsverarbeiter regelmäßig auch US-Unternehmen.

Die Rechtslage und ihre Entwicklung im Überblick

Die DSGVO gibt ein Drei-Stufen-System für die Übermittlung personenbezogener Daten ins Ausland vor:

• Innerhalb der EU ist eine Datenübermittlung ohne weiteres möglich.
• In ein Drittland kann die Übermittlung stattfinden, wenn die EU-Kommission ein vergleichbares Schutzniveau festgestellt und einen Angemessenheitsbeschluss gefasst hat (Art. 45 DSGVO).
• Besteht kein Angemessenheitsbeschluss, ist die Datenübermittlung zulässig, wenn sie im Einzelfall mit geeigneten Garantien verknüpft ist (Art. 46 DSGVO).

Die Gretchenfrage war also zunächst, ob die USA ein sicheres Drittland mit Angemessenheitsbeschluss ist. Nach den Schrems-Urteilen des EuGH ist dies aktuell nicht mehr der Fall. Die datenschutzrechtliche Beziehung zwischen der EU und den USA ist durch staatliche Abkommen und korrigierende Entscheidungen des EuGH geprägt. Zunächst wurde im Rahmen des Safe-Harbour-Abkommens zwischen der EU und den USA eine gegenseitige Anerkennung vereinbart. Der EuGH kippte das Safe-Harbour-Abkommen im Schrems-I-Urteil (Entscheidung vom 6.10.2015, C-362/14). Es folgte das Privacy-Shield-Abkommen, welches auf Zertifizierungen einzelner Unternehmen abstellte. Auch das Privacy-Shield-Abkommen wurde durch das Schrems-II-Urteil (Entscheidung vom 16.7.2020, C-311/18) überholt, maßgeblich aufgrund zu weitreichender Zugriffsbefugnisse  der US-Sicherheitsbehörden.

Unsicherheit bei der praktischen Ausgestaltung

Die USA sind datenschutzrechtlich derzeit also ein unsicheres Drittland, womit nur eine Datenübermittlung aufgrund geeigneter Garantien möglich ist. Genau dies ist aber mit großen Unsicherheiten in der praktischen Umsetzung verbunden. Besondere Probleme bereitet dabei der Konzernbezug großer US-Unternehmen. Zwar besteht etwa die Möglichkeit, einen Hosting-Vertrag mit einer europäischen Tochtergesellschaft zu schließen und die Speicherung auf Server in der EU zu beschränken. Die faktische Zugriffsmöglichkeit der US-Muttergesellschaft respektive durch US-Behörden bleibt aber auch dann problematisch. Wichtig ist daher die Einbeziehung der durch die EU-Kommission ausgestalteten Standarddatenschutzklauseln (engl. SCC) auf vertraglicher Ebene und die Implementierung zusätzlicher technischer Maßnahmen wie bestimmte Verschlüsselungen. Aus dem Abschluss der SCC ergibt sich für die Vertragsparteien die Pflicht, eine Risikoeinschätzung mittels eines Transfer Impact Assessments (TIA) durchzuführen um zu beurteilen, ob ein angemessener Schutz der personenbezogenen Daten gewährleistet ist. Für den Datentransfer innerhalb von Unternehmensgruppen kommen zudem interne verbindliche Datenschutzvorschriften nach Art. 47 DSGVO (Binding Corporate Rules – BCR) in Betracht.

Ein angemessenes Schutzniveau muss im Einzelfall bestehen und geprüft werden. Gerade diese umfangreichen Überprüfungen und Implementierung hinreichender technischer Sicherheitsmaßnahmen stellt europäische Unternehmen in der Praxis derzeit vor große Herausforderungen.

Neue Lichtblicke – Klarstellende Urteile und politischer Wille

Klarstellende Urteile oder behördliche Handlungsempfehlungen zur Erreichung eines angemessenen Schutzniveaus bestehen leider nur unzureichend. Lichtblicke für den transatlantischen Datentransfer lassen sich dennoch erkennen.

Das OLG Karlsruhe (Beschluss v. 7.9.2022, 15 Verg 8/22) brachte jüngst Ruhe in die Diskussion um US-Cloud-Provider als Unterauftragsverarbeiter. Es entschied im Zusammenhang mit der Vergabe einer IT-Leistung im Gesundheitsbereich, dass ein IT-Dienstleister nicht allein deshalb vom Vergabeverfahren ausgeschlossen werden darf, weil es eine Luxemburger Tochtergesellschaft eines US-Konzerns als Unterauftragsverarbeiter einbindet. Ein solches Setup kann eben rechtskonform ausgestaltet werden und rechtfertigt somit keinen Ausschluss.

Noch wichtiger ist aber die erkennbare politische Absicht, ein neues Abkommen zwischen der EU und den USA abzuschließen und somit den Weg für einen erneuten Angemessenheitsbeschluss freizumachen. Bereits seit Frühjahr 2022 werden hierzu Gespräche zwischen der EU und den USA geführt. US-Präsident Biden hat ein Dekret zur Ausverhandlung eines Abkommens diesen Monat unterzeichnet.

Die transatlantische Brücke ist zu wichtig und zu stabil, um Unsicherheiten beim Datentransfer über diese Brücke langfristig aufrechtzuerhalten. Alternativen zu einem umfangreichen Datenaustausch zwischen beiden Wirtschaftsräumen bestehen nicht. Auch derzeit gibt es Möglichkeiten für einen rechtskonforme Ausgestaltung. Langfristig wird der Datentransfer über die transatlantische Brücke auch wieder einfacher werden.