Wie können Unternehmen angesichts der sich weltweit verändernden Datenschutzlandschaft grenzüberschreitende Geschäfte abwickeln und gleichzeitig die Vorschriften einhalten? Dies war in den letzten Jahren eine brennende Frage.

Es ist üblich, dass Unternehmen eine globale Präsenz haben oder in mehreren Ländern tätig sind. Die Notwendigkeit, Datenübermittlungen in Bereichen einzurichten, die einer strengen Regulierung unterliegen, wie z. B. die Allgemeine Datenschutzverordnung der EU (GDPR), hat zu Hindernissen geführt. Ein aktualisierter Rahmen für Datenübertragungen zwischen den USA und der EU wurde kürzlich fertiggestellt. Betroffene Unternehmen müssen verstehen, wie diese Änderung zustande gekommen ist, welche neuen Anforderungen durch den Rahmen auferlegt werden und was Analysten für die Zukunft des Datentransfers zwischen der EU und den USA vorhersagen.

Die Geschichte

Fast 25 Jahre lang gab es zwischen der EU und den USA eine Art Abkommen, um die Datenübermittlung zu beschleunigen und gleichzeitig einen angemessenen Schutz zu gewährleisten. Als die Datenschutz-Grundverordnung (GDPR) die Datenschutzlandschaft in der EU drastisch veränderte, waren erhebliche Überarbeitungen des Datenübertragungsprozesses erforderlich. Werfen Sie einen Blick auf die Zeitachse:

• Im Jahr 2000 wurde der Safe-Harbor-Rahmen zwischen der EU und den USA geschaffen, um grenzüberschreitende Übermittlungen zu ermöglichen. Er wurde im Oktober 2015 für ungültig erklärt.
• Im Juli 2016 trat das neue Privacy-Shield-Rahmenwerk in Kraft.
• Im Juli 2020 erging die bahnbrechende Entscheidung Schrems II, mit der das Privacy-Shield-Rahmenwerk aufgrund des verminderten Datenschutzes, der gegen die Datenschutz-Grundverordnung verstößt, und der Besorgnis über die Überwachung durch die USA während der Übermittlungsaktivitäten für ungültig erklärt wurde. Die EU erklärte, sie erkenne nicht an, dass die USA über angemessene Datenschutzvorkehrungen verfügten.
• Im Juni 2021 schuf die Europäische Kommission neue Standardvertragsklauseln (SCCs), die die Rechenschaftspflicht und Transparenz verbessern. Die Standardvertragsklauseln gelten für die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in andere Länder und gewährleisten, dass grenzüberschreitende Aktivitäten mit den GDPR-Standards übereinstimmen.
• Nach dem Wegfall des Privacy Shield haben sich die Unternehmen für die Datenübermittlung zwischen der EU und den USA den neuen SCCs zugewandt. Dabei handelt es sich um einen komplexeren und unvorhersehbaren Mechanismus, der zeitaufwändige Folgenabschätzungen für Datentransfers erfordert.
• Im März 2022 erzielten die EU und die USA eine grundsätzliche Einigung über die Einführung eines anderen Mechanismus für Datenübermittlungen, der das Verfahren straffen, eine Selbstzertifizierung ermöglichen und den Schutz der Privatsphäre verbessern würde.
• Im Oktober 2022 unterzeichnete Präsident Biden eine Durchführungsverordnung, in der er die Schritte zur offiziellen Umsetzung des neuen Rahmens darlegte und erneut die Selbstzertifizierung und die verstärkte Aufsicht über Datenübermittlungen erwähnte.
• Am 10. Juli 2023 schloss die Europäische Kommission den Angemessenheitsbeschluss für den neuen EU-US-Datenschutzrahmen ab und erklärte, dass die Bestimmungen für die Überwachung in den USA und die Rechtsmittel der Verbraucher zufriedenstellend seien.

Der neue Rahmen

Das US-Handelsministerium wird das neue EU-US-Datenschutzrahmenprogramm leiten. Es ist nicht verpflichtend, und Unternehmen können stattdessen andere Mechanismen wie die SCCs nutzen, um Übermittlungen durchzuführen, aber dieser Rahmen wird den Prozess rationalisieren. Hier sind die wichtigsten Merkmale:

• Organisationen müssen öffentlich erklären, dass sie die vorgeschriebenen Datenschutzverpflichtungen bei Übermittlungen einhalten werden. Dazu gehören Datenminimierung, Beschränkungen der gemeinsamen Datennutzung und mehr. Dadurch erhält die Federal Trade Commission die Zuständigkeit für die Durchsetzung, falls erforderlich.
• Unternehmen müssen Einzelpersonen GDPR-ähnliche Schutzmaßnahmen bieten, damit Informationen ohne zusätzliche Sicherheitsmaßnahmen fließen können.
• Um Bedenken hinsichtlich der Überwachung auszuräumen, gibt es nun Beschränkungen, wann bestimmte Behörden auf Informationen aus der EU zugreifen können, eine verstärkte Aufsicht und die Einrichtung eines unabhängigen Rechtsbehelfsverfahrens.
• Einzelpersonen können bei ihrer eigenen nationalen Datenschutzbehörde Beschwerde einreichen, wenn sie den Verdacht haben, dass Informationen falsch gehandhabt werden. Danach werden zusätzliche Ebenen eingerichtet, um Beschwerden an die USA weiterzuleiten, wo sie untersucht, geprüft und vor einem neuen Datenschutzgerichtshof entschieden werden. Dieser Rechtsbehelf wird auch für Übermittlungen außerhalb des neuen Rahmens, einschließlich der SCC-Methode, zur Verfügung stehen.
• Die EU wird das Programm laufend überprüfen, um sicherzustellen, dass es den Status der Angemessenheit beibehält.
• Damit können Organisationen nun Schritte zur Selbstzertifizierung im Rahmen des neuen Rahmens unternehmen. Während viele in der Schwebe warten, haben sich einige dafür entschieden, die Zertifizierungen unter dem außer Kraft gesetzten Privacy Shield aufrechtzuerhalten, obwohl sie nicht genutzt werden.

Prognosen für die Zukunft

Da dies der dritte Versuch ist, einen rationalisierten Datentransfermechanismus einzuführen, stellen sich zwei Fragen. Wird es dieses Mal klappen? Und wenn der neue Rahmen gestrichen wird, was wird dann ausreichen? Die Analysten sind hin- und hergerissen, und die Meinungen gehen weit auseinander.

Der Leiter der Rechtssache Schrems hat bereits verkündet, dass er diesen Rahmen nicht für gültig hält und beabsichtigt, ihn vor Gericht anzufechten. Das Europäische Parlament und andere Datenschutzbehörden haben sich dem angeschlossen. Skeptiker sind der Meinung, dass der Kongress gesetzgeberisch tätig werden muss, um das US-Überwachungsrecht zu ändern und zusätzlichen Schutz zu gewährleisten.

Auf der anderen Seite hat der Präsident der Europäischen Kommission anerkannt, dass der neue Rahmen beispiellose Verpflichtungen enthält, die sichere Überweisungen erleichtern werden. Aber wird dies auch zutreffen? Das wird nur die Zeit zeigen.

In der Zwischenzeit drängen einige Analysten die Organisationen, die Vorteile des Rahmens zu nutzen, um die Belastung der letzten drei Jahre zu mindern. Andere raten, vorsichtiger zu sein, neue Compliance-Verpflichtungen in Betracht zu ziehen und eine Risikoanalyse durchzuführen, bevor sie vorwärts gehen.

Unabhängig davon, für welchen Weg man sich entscheidet, sollte es oberste Priorität sein, die neuen Entwicklungen zu verfolgen. Eine gerichtliche Anfechtung wird wahrscheinlich Jahre dauern, und da die Branche in dieser Frage gespalten ist, ist ungewiss, wie das Urteil ausfallen wird. In der Zwischenzeit werden die Bemühungen der US-Organisationen um die Einhaltung der Vorschriften und die bevorstehenden Entscheidungen des neuen Datenschutzprüfungsgerichts mehr Licht auf das Schicksal des jüngsten EU-US-Datenschutzrahmens werfen.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.