Auf einen Blick
Am. 10 Juli 2023 erließ die Europäische Kommission einen neuen Abgemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen Europa und den USA.
Die USA gelten demnach als sicheres Drittland für den Verkehr von personenbezogenen Daten gem. Art. 45 Datenschutzgrundverordnung (DSGVO). Dieses Datenabkommen soll die rechtlichen Unsicherheiten beseitigen, die nach dem sog. Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) herrschten. Der EuGH kippte das damalige Datenabkommen, den „Privacy Shield“, weil das Datenschutzniveau in den USA nicht den Standards der EU entsprach (siehe auch Datenübertragung in die USA unter Berufung auf den „Privacy Shield“ nicht zulässig). Kritikpunkte waren die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf Daten von Europäern sowie eine fehlende unabhängige Stelle zur Überprüfung von Datenschutzverstößen. Hier haben die USA Besserung gelobt. Nachrichtendienste sollen nur noch auf europäische Daten zugreifen können, wenn dies notwendig und verhältnismäßig ist. Außerdem soll ein Gericht zur Überprüfung von Datenschutzverstößen eingerichtet werden.
Relevanz für KMU
Vor allem kleine und mittlere Unternehmen, die keine eigene IT-Abteilung haben, sind auf externe Lösungen angewiesen. Seien es Tools zum Zusammenarbeiten, gemeinsame Kalender und andere Softwarelösungen oder schlicht Cloudspeicher. Diese stammen oft von amerikanischen Unternehmen, die als Vorreiter eine starke Position im Markt haben und darum ihre Dienste kostengünstig oder gar teilweise kostenfrei anbieten können. Beispiele hierfür sind Amazon, Microsoft, Google oder Apple. Aber auch der Bereich der sozialen Medien ist ohne US-Unternehmen kaum vorstellbar, hier sind als Plattformen etwa Instagram, Facebook oder YouTube zu nennen.
Herausforderungen und Potentiale
Das Datenabkommen ist eine große Erleichterung für alle Unternehmen, vor allem aber für kleine und mittlere. Durch den Fall des „Privacy Shields“ entstand eine Lücke und es war den Unternehmen auferlegt für die Rechtmäßigkeit ihres Datentransfers in die USA zu sorgen. Dazu mussten sie sicherstellen, dass die amerikanischen Unternehmen ein Schutzniveau für die Daten bieten, wie es die DSGVO in Europa vorgibt. Dies geschah meist durch vertragliche Vereinbarungen und Garantien. Doch genau das war für kleine und mittlere Unternehmen kaum bis gar nicht umzusetzen und teilweise auch nicht durch die amerikanischen Unternehmen zu leisten.
Das neu Datenabkommen macht solche vertraglichen Vereinbarungen überflüssig. Der Angemessenheitsbeschluss stellt fest, dass die USA ein gleichwertiges Schutzniveau bieten. Unternehmen müssen also keine speziellen Schutzmaßnahmen mehr ergreifen, sondern können sich als Rechtfertigung für den Datentransfer auf den Angemessenheitsbeschluss berufen. Solange dieser gilt, können Daten ohne weiteres Dazutun in die USA übertragen werden.