Datenschutz jetzt auch in den USA?

EU-Kommission sieht einen sicheren Datenverkehr mit den USA als möglich – was bringt das den deutschen Unternehmen?

Die EU-Kommission hat am 13.12.2022 neue gesetzliche Regelungen für die Zulässigkeit der Nutzung amerikanischer IT-Unternehmen bei der Verarbeitung personenbezogener Daten angekündigt. Kommission und US-Vertreter haben gemeinsam die US-amerikanische gesetzlichen Regelungen zu Gunsten der EU-Datenschutzgrundrechte angepasst. Das EU-Parlament und die Mitgliedsstaaten werden in den nächsten Monaten der Frage nachgehen, ob das US-amerikanische Datenschutzsystem mit dem europäischen Menschenrechtssystem vergleichbar sind. Ab dann wird es die Aufgabe der europäischen Auftraggeber sein, Theorie und Praxis zu vergleichen. Es wird sich der Betroffene bemühen müssen, seine Rechte im Zweifel auch in den USA geltend zu machen.

Ist das US-Recht europäischem Datenschutzverständnis angemessen?

Die EU-Kommission hat die Anforderungen des europäischen Datenschutzrechtes aus den Entscheidungen des EuGHs auf die USA mit dem Ergebnis angewendet, dass dort nunmehr die Möglichkeiten gesetzlich eingeräumt wurden, den Zugriff durch Sicherheitsbehörden zu reduzieren und gerichtlich unabhängige Prüfungen zuzulassen. Ob und wie dies wirklich wirksam wird, werden die kommenden Jahre zeigen. Bis dahin bleibt das Schadensrisiko bei den Betroffenen und den Nutzern der Dienstleistungen.

• Der Verantwortliche muss in jedem Fall die Rechtsgrundlage der konkreten Datenverarbeitung kennen und umsetzen.
• Der Verantwortliche muss den Betroffenen vor der Datenübermittlung informieren und auf die Übermittlung von Daten außerhalb Europas hinweisen.
• Der Auftragnehmer muss diese Aufgaben ebenfalls umsetzen und im Fall einer Datenschutzverletzung unverzüglich eingreifen können.
• Die Datenschutzaufsichtsbehörden müssen in der Lage sein, gegen solche Vorfälle unverzüglich vorzugehen und wirksam die Anforderungen der DSGVO umsetzen.

Wie können Unternehmen nun reagieren?

Der neue Angemessenheitsbeschluss stellt die rechtliche Situation vor dem Schrems-II-Urteil des EuGHs im Jahr 2020 wieder her und schafft damit erneut eine rechtliche Zulässigkeit bei gleichzeitiger Unklarheit. Ob diese praktisch tatsächlich zu einem Schutz der personenbezogenen Daten führen wird, ist eher unwahrscheinlich. Bereits jetzt lassen sich online-Verlage die Datenübermittlung der „kostenlosen“ Nutzer an jeweils über 200 weitere Unternehmen per Einwilligung zusichern. Auch wenn Aufsichtsbehörden hiergegen einschreiten, ist der Widerstand noch nicht groß genug.

Weitere gesetzliche Regelungen sind zu erwarten oder bereits beschlossen. Neben der Telekommunikation werden weitere Bereiche gesetzlich geregelt. Das Gesetz über digitale Märkte wird ab 2. Mai 2023 gelten. Dies wird die Anforderungen an Unternehmen und die Datenschutzbeauftragten erhöhen. Massive erpresserische Angriffe auf die IT-Infrastruktur werden Schäden und Kosten erhöhen. Die sog. Cyber-Versicherungen sind hier bisher nur selten hilfreich, da die erforderliche technische Sofort-Hilfe im Schadensfall oft nicht vorliegt. Abmahnwellen von Anwälten werden Kosten und Risiken provozieren.

Neue Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern in den USA hilfreich?

Die Kommission hatte bereits den Versuch unternommen, über neue Standardvertragsklauseln die Datenübermittlung in die USA zu erleichtern. Allerdings erzwangen diese eine intensive Prüfung der Dienstleister in den USA, was zu erheblichen Konflikten mit den Dienstleistern, deren nationale Sicherheitsbehörden und die europäischen Datenschutzaufsichtsbehörden führte. Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Datenschutzgrundverordnung erfüllt werden. Und sie schließen die weiteren Unterauftragnehmer ein. Die Frist für die Umsetzung endete bereits am 27. September 2022, die Auswirkungen für die Praxis bleiben jedoch dauerhaft hoch.

Hilft hier das Hinweisgeberschutzgesetz vor drohenden Rechtsverstößen?

Auch wenn die Bundesregierung bereits seit über einem Jahr die Frist zur Umsetzung der EU-Richtlinie hat verstreichen lassen, steht nun die Umsetzung an. Der Bundestag wird den gesetzlichen Schutz von Hinweisgebern mit der Pflicht für Unternehmen umsetzen, interne Meldestellen auch für anonyme Hinweisgeber einzurichten.

ECOVIS hat dieses Verfahren bereits 2021 für Kunden eingerichtet und umgesetzt. Mit dem neuen Angemessenheitsbeschluss der EU-Kommission gegenüber US-amerikanischen IT-Dienstleistern wird die Bedeutung eines qualifizierten und unabhängigen Schutzes für die Hinweisgeber steigen. In seiner abschließenden Beratung hat der Bundestag das Gesetz an einigen Stellen verbessert – und die Einrichtung anonymer Kommunikationsmöglichkeiten mit interner und externer Meldestelle.

Was hat das Unternehmen nun zu tun?

• Prüfen Sie Ihre Datenverarbeitungen auf Übermittlung von Daten an IT-Dienstleister oder Sub-Dienstleister mit Sitz in den USA. Lassen sie sich nicht von einer angeblichen „GDPR-Zulässigkeit und geringen Kosten“ überzeugen.
• Ermitteln sie die Bedingungen, Regeln und Beschwerdemöglichkeiten für den europäischen Betroffenen.
• Überarbeiten sie Ihre internen Datenschutzhinweise gegenüber Mitarbeiter, Kunden und Auftragnehmer.
• Stimmen sie sich mit ihrem Datenschutzbeauftragten ab und ergänzen sie die Dokumentationen im Verfahrensverzeichnis. Schulen sie ihre Mitarbeiterinnen und Mitarbeiter zu den neuen Anforderungen bei möglichen Schutzverletzungen gegen die Datenschutzvorschriften.

ECOVIS unterstützt sie auch hier weiter bei den erforderlichen Maßnahmen.