Digitalisierung | Standortpolitik

„Alles wird jetzt einfacher“

Thorsten Jochim ©
„Damit herrscht Rechtssicherheit“, sagt Datenschützer Michael Will

Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, erklärt, weshalb er das EU-U.S. Data Privacy Framework für einen Durchbruch hält.

Von Martin Armbruster, IHK-Magazin 10/2023

Herr Will, hat der EU-Angemessenheitsbeschluss, das sogenannte EU-U.S. Data Privacy Framework, jetzt endlich Klarheit für den Datentransfer in die USA gebracht?
Ja, die Verantwortlichen für die Datenexporte haben unbestreitbar schwierige Zeiten hinter sich. Aber jetzt haben wir Rechtssicherheit. Wir sind selbst erleichtert über dieses Ergebnis, weil das Bayerische Landesamt für Datenschutzaufsicht das Thema Datentransfer in die USA mit den deutsch-amerikanischen Datenschutztagen begleitet und stets für einen konstruktiven Dialog geworben hat.

Was ist Ihrer Ansicht nach die entscheidende Verbesserung?
Die EU-Kommission hat mit ihrer Entscheidung bestätigt, dass bei den Datentransfers in die USA jetzt unter bestimmten Bedingungen bei den zertifizierten Unternehmen ein angemessenes Datenschutzniveau gewährleistet ist. An zertifizierte US-Unternehmen können Bayerns Firmen ohne weitere Voraussetzungen Daten exportieren.

Das grüne Licht der EU gilt aber nur für US-Unternehmen, die sich für den EU-U.S. Data Privacy Framework zertifizieren lassen.
Richtig. Zertifiziert werden können US-Unternehmen, die der Aufsicht der Federal Trade Commission (FTC) oder des US-Verkehrsministeriums (Department of Transportation, DoT) unterliegen und verbindlich erklärt haben, sich an bestimmte Datenschutzgarantien für ihre Geschäftsprozesse zu halten.

US-Unternehmen - zertifiziert oder nicht? Hier schneller Check online

www.dataprivacyframework.gov/s/participant-search

„Gleichwertiges Schutzniveau“

Was nutzt der EU-Beschluss nicht zertifizierten Unternehmen?
Auch die profitieren davon. Bislang griff man zu Standardvertragsklauseln. Mehrere bayerische Großkonzerne haben außerdem spezielle Datentransfertools, sogenannte Binding Corporate Rules, genutzt. Aber auch Übermittlungen mit solchen Tools werden jetzt einfacher. Mit Blick auf Datenzugriffe von US-Sicherheitsbehörden bietet das US-Recht nun ein gleichwertiges Schutzniveau, wie wir es in Europa haben.

Halten Sie das für den Durchbruch?
Ja, absolut, das ist nach Jahren der Rechtsunsicherheit, aus meiner Sicht beginnend mit den Snowden-Enthüllungen, ein bemerkenswertes Ergebnis langer Verhandlungen in Washington und Brüssel.

Endlich: Klagerecht in USA für europäische Bürger

Weiterer Kritikpunkt war, dass EU-Bürger in den USA keine Chance hatten, ihre Rechte einzuklagen. Dafür gab es nur einen Ombudsmann, der fast nichts zu tun hatte.
Auch da haben wir jetzt ganz neue Möglichkeiten. In den USA gibt es dafür erstmals ein spezielles Gericht, das ausdrücklich die Aufgabe hat, die Arbeit der Nachrichtendienste auch im Einzelfall zu überprüfen. Die Europäische Kommission bewertet das als angemessenen Rechtsschutz. Auch jedem bayerischen Bürger ist dadurch in den USA ein Klagerecht garantiert.

Wie kann denn ein bayerischer Bürger dieses Instrument nutzen?
Erste Anlaufstelle ist seine Datenschutzaufsichtsbehörde. Wir kümmern uns darum und stoßen das dafür in den USA vorgesehene Prüfverfahren an. An dessen Ende kann auch die Anrufung des neuen US-Gerichts stehen, wenn der Bürger das wünscht. Sein Ansprechpartner bleibt die für seinen Wohnort zuständige Datenschutzbehörde.

Liste zertifizierter US-Unternehmen online

Konkret: Was sollen Firmen, die bisher Standardvertragsklauseln genutzt haben, im ersten Schritt tun?
Ratsam ist der Blick in die beim US-Handelsministerium online geführte Liste zertifizierter US-Unternehmen unter www.dataprivacyframework.gov/s/participant-search

Es ist davon auszugehen, dass die meisten der weltweit genutzten US-Dienstleister eine Zertifizierung haben. Für Übermittlungen an zertifizierte US-Unternehmen gilt: Die Adäquanzentscheidung hat nach dem Gesetz Vorrang.

Die Klauseln sind also überflüssig?
Nicht ganz. Man braucht bei Datentransfers an Auftragsverarbeiter in jedem Fall weiterhin einen Auftragsverarbeitungsvertrag, der in den Standardvertragsklauseln enthalten ist. Daher würde ich jetzt abwarten, bis die US-Tochterunternehmen entsprechende Lösungen anbieten.

Schrems, Runde 3

Der Aktivist Max Schrems hat eine dritte Klage angekündigt. Befürchten Sie, dass er vor dem Europäischen Gerichtshof wieder Erfolg hat?
Das ist reine Spekulation, daran will ich mich nicht beteiligen. Ich sehe aber in der jetzigen Regelung zahlreiche Aspekte, die direkt auf die bisherigen juristischen Angriffe antworten. Die Executive Order von Präsident Biden hat die Spielräume der US-Sicherheitsdienste deutlich verringert.

Die USA sind in diesem Punkt der EU sehr weit entgegengekommen.
Ja, aber auch die EU-Kommission hat sich stark dafür eingesetzt, spürbare und nachhaltige Verbesserungen in den Punkten zu erreichen, die der EuGH als mangelhaft gerügt hatte.

Clouddienstleister: Einzelfall entscheidet

Was bedeutet das alles, wenn ich US-Clouddienste nutze?
Wenn der Cloudanbieter in den USA sitzt und zertifiziert ist, haben wir mit der Adäquanzentscheidung jetzt die passende Lösung. Damit herrscht Rechtssicherheit. Wenn das Cloud-Unternehmen nicht zertifiziert ist, braucht es einen Standardvertrag. Auch da gibt es einen klaren Vorteil. Auch wenn der Dienstleister mit seinen Servern in Europa sitzt, aber eine US-Tochter oder US-Muttergesellschaft hat, gibt es weiterhin noch ein paar Prüfpunkte, die abzuarbeiten bleiben.

Weil die EU-Entscheidung nur die Verhältnisse in den USA betrifft?
Genau. In den genannten Fällen stehen Verantwortliche und Datenschutzaufsicht vor der Frage: Wie reagieren diese Dienstleister auf Auskunftsersuchen von US-Behörden? Das lässt sich nur im Einzelfall entscheiden. Da schauen wir uns zum Beispiel an, wie zuverlässig der Anbieter in der Vergangenheit war, was die Sicherheitsberichte sagen und so weiter.

Datentransfer überprüfen

Heißt das, ich sollte mir meinen Cloudanbieter genau ansehen?
Das sollte man immer, übrigens nicht nur aus Gründen des Datenschutzes. Es geht auch um den Schutz von Geschäftsgeheimnissen und um IT-Sicherheit. Man muss auch prüfen, ob mit dem Datentransport alles in Ordnung ist. Das ist ein Punkt, den viele übersehen: Zugriff von Nachrichtendiensten kann auch auf dem Weg in die USA erfolgen.    

Zur Person: Michael Will

Michael Will, Jahrgang 1968, ist Jurist und seit Februar 2020 Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in Ansbach.

IHK-Veranstaltungstipp: Kostenfreier Münchner Datenschutz-Tag am 24. November 2023

Wie zukunftsfähig ist die Datenschutzgrundverordnung (DSGVO)? Mit dieser Frage beschäftigt sich der 11. Münchner Datenschutz-Tag am 24. November ab 14 Uhr in der IHK für München und Oberbayern. Namhafte Experten und Unternehmensvertreter setzen sich dort mit den bisherigen Erfahrungen und künftigen Perspektiven der DSGVO auseinander.

Anmeldung zum kostenfreien Datenschutz-Tag

IHK-Infos zum Data Privacy Framework

Aktuelle Informationen zur Datenübertragung in Drittstaaten finden sie auf der IHK-Website.

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat Anwendungshinweise zum EU-U.S. Data Privacy Framework veröffentlicht. Sie erläutern die wichtigsten Fragen zum neuen Angemessenheitsbeschluss.

Verwandte Themen