Wir berichteten im August letzten Jahres von den rechtlichen Entwicklungen hinsichtlich der Datentransfers in die USA. Der Europäische Gerichtshof (EuGH) hatte im Juli 2020 ein Abkommen zum Datenschutz mit den USA („Privacy Shield“) für ungültig erklärt, weitere Anforderungen an andere rechtliche Mechanismen formuliert und die Aufsichtsbehörden zur Durchsetzung gemahnt. Mit weitreichenden Folgen auch an Hochschulen. Die Nutzung vieler (US-) Cloud-Dienste beinhaltet eine entsprechende Datenübertragung. Oft sind auch bei europäischen Alternativen im Hintergrund US-Plattformen im Einsatz. Für die Kooperation mit wissenschaftlichen Partnern in den USA entstehen hier Schranken. In der Praxis sind die Auswirkungen also sehr vielfältig.
Die EU-Kommission hatte natürlich unmittelbar begonnen, ein neues Abkommen mit den USA zu verhandeln, das den Anforderungen des EuGH entspricht. Ob ein solches Abkommen zu erreichen ist, bleibt aber sehr fraglich. Die kritisierten Aspekte sind tief im US-amerikanischen Rechtssystem verwurzelt. Dass auf Anfrage von Europäern in den USA Gesetze angepasst werden, ist kaum zu erwarten. In jedem Fall zeichnet sich damit kurzfristig keine Lösung auf diesem Terrain ab.
In Erwartung des EuGH-Urteils hatten bereits vor dessen Entscheidung die meisten Unternehmen sogenannte Standardvertragsklauseln abgeschlossen. Diese ebenfalls von der EU-Kommission beschlossenen Verträge zwischen den beteiligten Unternehmen stammten noch aus 2010. Damals begannen die ersten Überlegungen zur Datenschutzgrundverordnung. Eine Aktualisierung erhielt nun also höhere Priorität und in der Tat liegen seit 4. Juni nun die neuen Versionen der Verträge vor. Falls die alten Verträge noch Bestandteil einer Kooperation sind, besteht nun eine Übergangsfrist von eineinhalb Jahren, um auf die neuen Verträge umzustellen.
Aufgrund der rechtlich unsicheren Situation haben die Aufsichtsbehörden für den Datenschutz weitere Klärung angestrebt. Ziel ist es dabei, eine einheitliche Rechtsauslegung zu finden. Der europäische Datenschutzausschuss (EDSA), ein Gremium, in dem die Aufsichtsbehörden der Mitgliedsstaaten Konsistenz herstellen müssen, hatte seither an „Praxisleitfäden“ gearbeitet. Ein noch nicht abschließend veröffentlichter, aber abgestimmter Entwurf der Maßnahmen, die die Standardvertragsklauseln ergänzen, liegt seit November 2020 vor. Im Wesentlichen wird ein allgemeiner Prozess zur Beurteilung von Drittstaatentransfers beschrieben. Dieser dürfte nur in seltenen Fällen für die US-Transfers eine gangbare Lösung ermöglichen. Beispielsweise kann man weitgehend pseudonymisierte Forschungsdaten im Ergebnis übertragen. Der Analyseprozess dahin darf aber als aufwendig bezeichnet werden. Die eigentliche Idee des EU-Gesetzgebers (DSGVO), durch Kommissionsentscheidungen den freien Datenverkehr zu vereinfachen, ist hier weitgehend konterkariert. Der offizielle Beschluss des sicher nur geringfügig geänderten Entwurfs des Handlungsleitfadens dürfte nicht mehr in weiter Ferne liegen. Damit werden die Anforderungen belastbarer, entsprechende Handlungen damit dringlicher. Nicht alle offenen Fragen sind hier aber abschließend beantwortet und einige Themen bleiben unklar. So ist rechtlich beispielsweise offen, ob eine vertraglich festgelegte Verarbeitung bei einem US-Dienstleister in einem europäischen Rechenzentrum den Anforderungen genügt. Die Aufsichtsbehörden und Gerichte scheinen hier uneinig.
Der EuGH hatte in seinem Urteil die Datenschutzaufsicht zur Rechtsdurchsetzung gemahnt. Der Finger zeigte dabei nicht nur nach Irland - der eigentliche Auslöser des Falls war ein Rechtsstreit mit Facebook im Zuständigkeitsbereich der irischen Aufsicht - sondern auch auf die anderen Aufsichtsbehörden. In Europa werden erste Untersagungen von US-Datentransfers bekannt. Nach einem Jahr war demnach nun genug Zeit für eine Umstellung. Bei den deutschen Aufsichtsbehörden ist die Spannbreite noch recht groß: einige haben bereits klare Aussagen zu einzelnen Systemen getroffen, andere halten sich hier noch zurück. Kürzlich haben sich aber mehrere Aufsichtsbehörden in Deutschland zu einer Fragebogenaktion entschlossen, bei der Unternehmen offenlegen sollen, wie sie seither handeln. Das muss als erster Schritt verstanden werden.
RUBinform 01/2021 | Kai-Uwe Loser
Bildquelle: iStock.com/gabort71