DSGVO: Hoffnung für den Datenexport in die USA und die Nutzung von Rechenzentren von US Unternehmen: Neues Data Privacy Framework?

Worum geht es? Der EuGH im Juli 2020 in seiner Entscheidung Schrems II entschieden, dass Daten nur dann aus der EU in ein anderes Land übertragen werden dürfen, wenn faktisch (!) sichergestellt sei, dass in dem betreffenden Land ein Datenschutzniveau herrsche (und auch faktisch durchgesetzt werden könne), welches dem Niveau der EU entspräche. Das genau sei bei den USA nicht der Fall. Die USA haben im Nachgang der Anschläge im Jahr 2001 ihre Sicherheitsbehörden mit Befugnissen ausgestattet, die weitgehende Zugriffsmöglichkeiten auf jedwede und damit auch auf personenbezogene Daten ermöglicht (patriots act). Der EuGH ist der Ansicht, dass der Prozess, mit dem auf die personenbezogenen Daten zugegriffen werden könne und die Voraussetzungen für einen solchen Zugriff nicht (!) dem erforderlichen Datenschutzniveau entspräche.

Das hatte zur Konsequenz, dass insbesondere die Dienste der großen US Anbieter (z.B. Microsoft, Google, AWS) eigentlich ab dem Juli 2020 nicht mehr benutzt werden durften. In Ermangelung von Alternativen auf dem Markt drückten die deutschen Aufsichtsbehörden mehrheitlich die Augen zu, wenn die Unternehmen weiter Dienste von AWS, Google oder Microsoft verwendeten. Aber der eigentliche Konflikt und war und ist aktuell nicht zu lösen, weil diese Unternehmen die vom EuGH gestellten Voraussetzungen nicht erfüllten. Noch einmal klar ausgedrückt: Ein Rechenzentrum eines US Unternehmens darf man auch dann nicht benutzen, wenn es in Deutschland steht und Dienste wie 365 oder Google Mail stehen eben auch dann „auf der schwarzen Liste“, wenn es keine brauchbaren Alternativen gibt.

Im März 2022 gaben die EU Kommission und die US Regierung bekannt, dass sie an einem Abkommen arbeiten, das den Bedenken des EuGH Rechnung trägt. Am 7. Oktober hat der US Präsident Joe Biden eine Exekutivorder erlassen, die den Bedenken des EuGH Rechnung tragen soll. Es werden verbindliche Regelungen eingeführt, die angeblich alle vom EuGH angesprochenen Punkte berücksichtigen.

Nun ist es an der EU Kommission, diese Order zur „Data Privacy Framework“ zu prüfen und ggf. für angemessen zu halten. Im März 2023 wird eine Entscheidung erwartet.

Einzelheiten kann man sich hier anschauen:

https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

Was bis dahin gilt: Vermutlich –  (aber das ist reine Schätzung von mir) werden die Datenschutzbehörden der Bundesländer es bei dem Status Quo belassen. Man kann davon ausgehen, dass alle (auch die Aufsichtsbehörden) darauf hoffen, dass eine Lösung des Problems nun unmittelbar bevorsteht. Da auch den Behörden klar ist, welche Folgen die aktuelle wirtschaftliche Krise hat, wird man nicht zusätzliche Hürden aufstellen, wenn eine Lösung im März naheliegt. Was aber geschieht, wenn die Kommission den Vorschlag ablehnt oder der EuGH dann eine neue Entscheidung Schrems erlassen hat, werden wir sehen müssen.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen