Für Unternehmer ist es ab sofort leichter, personenbezogene Daten in die USA zu übermitteln. Denn die Übermittlung ist jetzt wieder rechtssicher möglich. Grund ist ein Angemessenheitsbeschluss der EU-Kommission.
Darum geht es: Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur in ein Land außerhalb der Europäischen Union (EU) gesendet werden, wenn das Datenschutzniveau dieses Landes als angemessen gilt. "Die USA haben kein angemessenes Datenschutzniveau. Das hat zur Folge, dass Unternehmen nicht ohne Weiteres Daten übermitteln dürfen", sagt Dr. Gerrit Hötzel, Rechtsanwalt bei der Kanzlei Voelker & Partner in Stuttgart.
Betroffen von dieser Rechtslage dürften nahezu alle Handwerksunternehmen sein – insbesondere, wenn sie eine eigene Internetseite betreiben. Denn an US-Firmen wie Microsoft, Alphabet Inc. (Google), Amazon, Meta Platforms (WhatsApp, Facebook und Instagram) und X (ehemals Twitter) führt fast kein Weg vorbei.
Nahezu alle Handwerksunternehmen betroffen
"Kein Unternehmen arbeitet heute mehr vollständig offline. Zumindest hat jedes Unternehmen in irgendeiner Form eine Homepage, eine E-Mail-Adresse oder sonstige Tools, um mit Kunden in Kontakt zu treten." Selbst das Versenden eines Newsletters oder das einfache Speichern eines Dokumentes fällt darunter, wenn es in einer Cloud gespeichert wird und wenn sich das Rechenzentrum in Amerika befindet. "Sobald es einen US-Bezug gibt, müssen Sie immer in eine Prüfung einsteigen, ob die Daten überhaupt in die USA übermittelt werden dürfen."
Ist das Datenschutzniveau eines Drittlandes nicht angemessen, ist der Datentransfer zwar nicht verboten, aber das deutsche Unternehmen muss zu besonderen Schutzmaßnahmen greifen, indem es beispielsweise eine Einwilligung der betroffenen Personen einholt, was in der Praxis oft nicht praktikabel ist. Oder das Unternehmen schließt fest vorgegebene Standard-Datenschutzklauseln ab.
Mit den Standard-Datenschutzklauseln "verspricht" das jeweilige Unternehmen, ein relativ hohes Datenschutzniveau einzuhalten. "Im Einzelfall galt bislang auf dieser Grundlage das Datenschutzniveau als angemessen, weil das Unternehmen ja ein höheres Datenschutzniveau zusagt. Das war aber schon immer hochriskant", erläutert der Fachanwalt für Informationstechnologierecht.
Angemessenheitsbeschluss macht Datenverkehr rechtssicher
Im Juli erließ die EU-Kommission nun einen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und einer ganzen Gruppe an Unternehmen in den USA. Denn nach Artikel 45 DSGVO kann die EU-Kommission feststellen, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet, so der Bundesbeauftragte für Datenschutz und Informationsfreiheit. Mit dem Angemessenheitsbeschluss macht die EU den Datenverkehr mit solchen Unternehmen in den USA jetzt also rechtssicher.
Doch Vorsicht: Der Angemessenheitsbeschluss ist kein Freifahrtschein für alle Unternehmen. Er gilt nur für Unternehmen, die am "EU-US Data Privacy Framework" (DPF) teilnehmen. "Unternehmen, die sich in den USA danach zertifizieren lassen, gelten als angemessen, obwohl es die sonstigen USA nicht sind", erklärt der Rechtsanwalt. Mit der Zertifizierung nach dem DPF verpflichten sich die US-Firmen, das europäische Datenschutzniveau einzuhalten. Nun da es den Angemessenheitsbeschluss gibt, müssen deutsche Unternehmen für den rechtssicheren Datentransfer mit den USA zwei Maßnahmen durchführen: Wie bisher auch müssen Unternehmer zunächst wissen, dass sie mit einem amerikanischen Dienstleister arbeiten und Daten in die USA übermitteln. Ab sofort sollten sie für jede Geschäftsbeziehung mit einem US-Unternehmen prüfen, ob dieses im DPF gelistet ist. Das DPF-Register ist online abrufbar unter dataprivacyframework.gov/s/participant-search. "Steht das Unternehmen auf der Liste, können die Daten problemlos in die USA übertragen werden“, sagt Rechtsanwalt Gerrit Hötzel, "es bedarf keiner zusätzlichen Schutzmaßnahmen mehr".
Vorsicht bei personenbezogenen Daten von Beschäftigten
Ausnahme: Daten von Beschäftigten eines deutschen Unternehmens könnten von der Zertifizierung ausgenommen sein. "Ob das für das jeweilige Unternehmen der Fall ist, ist ebenfalls im DPF-Register vermerkt." Fehlt es daran, dürfen personenbezogene Daten der eigenen Mitarbeiter nicht in die USA übermittelt werden. Es wäre dann beispielsweise tabu, eine Geburtstagsliste der Belegschaft in einer Cloud in den USA zu speichern.
Nach der Prüfung der DPF-Liste müssen Unternehmen im zweiten Schritt ihre Datenschutzbestimmungen aktualisieren. Steht ein US-Unternehmen auf der Liste, "sollte die Klausel an die bestehende Formulierung angepasst werden", sagt der Fachanwalt für Informationstechnologierecht, "in der Regel genügen zwei bis drei Sätze".
Bedeutet konkret: Es bedurfte schon in der Vergangenheit eines zusätzlichen Abschnitts in den Datenschutzbestimmungen, wenn ein Geschäftspartner in den USA ansässig war und personenbezogene Daten übermittelt wurden. "Dieser zusätzliche Abschnitt kann nun einfacher gestaltet werden und ist zugleich deutlich rechtssicherer", sagt Dr. Gerrit Hötzel. Folgende Informationen wären nötig:
- Name des Unternehmens, dessen Dienst in Anspruch genommen wird.
- Wo das Unternehmen seinen Sitz hat (in den USA).
- Einräumen, dass die USA über kein angemessenes Datenschutzniveau verfügt.
- Hinweis auf die Zertifizierung des Unternehmens im DPF.
Ist das amerikanische Unternehmen nicht im DPF gelistet, müssen für eine Datenübermittlung weiterhin besondere, zusätzliche Sicherheitsmaßnahmen erfolgen, die aber – wie schon erwähnt – riskant und nicht rechtssicher sind.
Nur Datenübermittlung kein Problem mehr
Zu beachten ist: "Nur die Übermittlung der Daten in die USA stellt kein Problem mehr dar." Ob deutsche Unternehmen darüber hinaus etwa die Funktionen von WhatsApp oder Google Analytics problemlos einsetzen können, das sei unter ganz anderen, weiteren Aspekten zu bewerten.
Da der EuGH bereits 2015 und 2020 vorherige und inhaltlich durchaus ähnliche Angemessenheitsbeschlüsse zu den USA für ungültig erklärt hat (Safe-Harbor-Abkommen und EU-US Privacy Shield), steht auch die aktuelle Situation unter Beobachtung. "Es wird allseits erwartet, dass der EuGH in absehbarer Zeit darüber erneut entscheiden wird." Der Ausgang ist bestenfalls offen. Neue Entwicklungen bleiben abzuwarten. Bis dahin besteht aber erst einmal Ruhe und Sicherheit, wenn die oben genannten Anpassungsmaßnahmen erfolgen.