Kommt (endlich) die unkomplizierte Datenübermittlung in die USA?

Was sind die Hürden beim Datentransfer in Drittländer?

In der EU gilt die DSGVO, welche ein hohes Datenschutzniveau im EU-Raum konstituiert. Werden personenbezogene Daten bearbeitet, muss ein hoher Datenschutzstandard eingehalten werden. Auch bei Datenexporten ins Ausland stellt die DSGVO die Verantwortlichen vor regulatorische Hürden.

Warum ist ein angemessenes Datenschutzniveau wichtig?

In der heutigen Zeit bearbeiten Unternehmen personenbezogene Daten meist nicht selbstständig. Immer häufiger kommen bei einer Datenbearbeitung Dritte ins Spiel – so z.B. ein ausländischer Cloud-Anbieter und nicht selten haben diese ihren Sitz in den USA. Da in solchen Konstellationen Daten ins Ausland exportiert werden, können sich datenschutzrechtliche Problemstellungen ergeben. Dies, weil andere Staaten regelmässig ein anderes Datenschutzniveau aufweisen.

Bei einem Datentransfer innerhalb der EU gilt aufgrund der einheitlichen Anwendung der DSGVO derselbe Datenschutzstandard. Bereits anders sieht es aus, wenn sich Dritte z.B. in der Schweiz befinden. Ob die Schweiz ein angemessenes Datenschutzniveau bietet, prüft die zuständige europäische Kommission. Wird beschlossen, dass das betreffende Drittland ein angemessenes Schutzniveau aufweist, erfolgt ein Angemessenheitsbeschluss. Damit stehen der Datenübermittlung in dieses Land kaum noch regulatorische Schranken im Weg.

Betreffend die Schweiz hat die europäische Kommission am 26. Juli 2000 einen Angemessenheitsbeschluss erlassen. Ein Datentransfer zwischen dem EU-Raum und der Schweiz ist in der Folge relativ einfach möglich. Um diesen Angemessenheitsbeschluss aufrecht zu erhalten, hatte die Revision des Datenschutzgesetzes unter anderem zum Ziel, sich dem Datenschutzniveau der EU anzugleichen.

Wieso ist der Datenexport in die USA problematisch?

Für die USA gibt es aktuell keinen Angemessenheitsbeschluss, weshalb die USA von der EU nicht als Land mit angemessenem Datenschutzniveau qualifiziert werden. Dies ist problematisch, weil viele Anbieter von Softwarelösungen ihren Sitz in den USA haben (z.B. Dropbox).

Besonderer Beliebtheit erfreuen sich Alternativen zum Angemessenheitsbeschluss, so z.B. «geeignete Garantien», worunter Standarddatenschutzklauseln, die sog. SCC (externer Link) fallen (vgl. hierzu unseren Blog «Datenexporte: Eine Anleitung»).

Oftmals ist dem Datenschutz mit den SCC noch nicht genüge getan: Ein besonderes Problem sind unbefugte Zugriffe durch US-Behörden auf die übermittelten Daten. Diese können nicht durch Vertragsklauseln unterbunden werden, da die US-Behörden nicht an die Verträge zwischen dem Verantwortlichen und dem Auftragsdatenverarbeiter gebunden sind. Zumindest sehen die SCC besondere Verpflichtungen bei einem Behördenzugriff vor (vgl. Klausel 15 der SCC). Der Datenimporteur muss den Exporteur über Behördenzugriffe soweit möglich informieren. Zudem muss er die Rechtmässigkeit eines solchen Zugriffs prüfen und allenfalls die Verfügung gerichtlich anfechten.

Um unbefugte Behördenzugriffe zu vermeiden, sollten verantwortliche Unternehmen geeignete technische und organisatorische Massnahmen ergreifen, welche den US-Behörden die Einsicht in die personenbezogenen Daten verunmöglichen. Beispiele für solche Massnahmen sind die Anonymisierung resp. die Pseudonymisierung der Daten. Ebenfalls kann geprüft werden, ob Daten aufgeteilt werden können, sodass die heiklen Daten nicht in die USA exportiert werden müssen. Bei der Evaluation von technischen Massnahmen muss beachtet werden, dass das US-Unternehmen auch dann keine personenbezogenen Daten den Behörden ausliefern kann, wenn es durch die Behörden gezwungen wird.

Was verspricht das neue EU-US DPF

Die USA möchten durch das EU-US DPF als Land mit angemessenem Datenschutzniveau angesehen werden. Dies hätte zur Folge, dass personenbezogene Daten in diesem Rahmen frei zwischen der EU und den USA fliessen könnten. Das EU-US DPF umfasst die verbindliche Garantie, dass der US-Behördenzugriff auf das beschränkt wird, was zum Schutz der nationalen Sicherheit notwendig und verhältnismässig ist. Zudem sieht das EU-US DPF neue Rechtsbehelfe vor. Hierfür soll auch ein neues unabhängiges Datenschutzüberprüfungsgericht (engl. «Data Protection Review Court», kurz «DPRC») geschaffen werden. Dieses Gericht soll über Beschwerden gegen den Datenzugriff durch US-Sicherheitsbehörden entscheiden.

Ausblick

Aufgrund dieser erweiterten Garantien soll nun ein Angemessenheitsbeschluss erfolgen, welcher den Datentransfer in die USA massgeblich vereinfacht. Hierfür entwirft die europäische Kommission zurzeit einen Entwurf eines entsprechenden Beschlusses, welcher das Verfahren einleitet. Im Anschluss wird eine Stellungnahme vom Europäischen Datenschutzausschuss (auch «EDSA») sowie von einem Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, eingeholt. Schliesslich prüft das Europäische Parlament den Angemessenheitsbeschluss. Es wird damit gerechnet, dass ein allfälliger Angemessenheitsbeschluss ca. März 2023 erfolgen könnte. Wenn das Verfahren erfolgreich abgeschlossen wird, können künftig personenbezogene Daten im Rahmen des EU-US DPF frei zwischen der EU und den USA fliessen.

Ob mit diesem EU-US DPF eine langfristige Lösung geschaffen wurde, wird sich in der Zukunft zeigen.