Viele Deutsche Unternehmen wissen nicht, dass sie ihre Daten in den USA liegen.
Alle Unternehmen innerhalb der EU sollten inzwischen verstanden haben, dass die DSGVO (Datenschutz-Grundverordnung), ein essentieller Bestandteil des Alltags geworden ist.
Sobald Microsoft 356, Google Workspace, Meta oder Amazon im Einsatz sind, findet meist ein Datenaustausch zwischen den USA und der EU statt.
Auch wenn es inzwischen die Möglichkeit gibt, die Datenspeicherung auf EU-Raum einzugrenzen, ist oftmals noch der Einblick in die Daten, aus sogenannten Drittländern, möglich.
Doch gerade in der aktuellen Zeit, wo die politische Lage zwischen den USA und der EU so unvorhersehbar ist, wie seit langem nicht mehr, stellen sich viele Deutsche Unternehmen die folgende Frage: Was ist eigentlich das Problem und wie gehe ich am besten damit um?
Die Fragen sind berechtigt. Politik und Datenschützer:innen sind seit vielen Jahren im Austausch und noch immer sieht NOYB von Max Schrems Schwachstellen in aktuellen Regelungen.
Was ist das Problem beim Datenschutz zwischen den USA und der EU?
Das grundlegende Problem besteht darin, dass die USA und die EU unterschiedliche Anforderungen an den Datenschutz stellen.
Die DSGVO stellt sehr hohe Anforderungen an den Schutz personenbezogener Daten, auch bei der Übermittlung in sogenannte Drittstaaten außerhalb der EU.
Die USA gelten datenschutzrechtlich nicht als sicheres Drittland, weil:
- US-Behörden weitreichende Zugriffsmöglichkeiten auf Daten haben (z.B. durch Gesetze wie den CLOUD Act oder FISA 702).
- Es keinen vergleichbaren Datenschutz wie in der EU gibt, insbesondere kein einklagbares Recht für EU-Bürger auf Datenschutz in den USA.
Wie wurde bisher versucht , um den Datenschutz zwischen den USA und der EU zu harmonisieren?
Es gibt immer wieder Initiativen, um einen gleichen gemeinsamen Nenner zu finden, doch Datenschützer:innen stellen immer wieder deutliche Schwächen fest. Max Schrems gilt hier als Vorreiter und setzt sich aktiv für die Sicherung des Datenschutzes ein.
Safe Harbor (bis 2015) — gescheitert
- Ein Abkommen zur Erleichterung von Datentransfers in die USA.
- Vom EuGH („Schrems I“-Urteil) für ungültig erklärt.
Privacy Shield (2016–2020) — gescheitert
- Nachfolger von Safe Harbor.
- Wieder vom EuGH („Schrems II“-Urteil) gekippt, weil US-Überwachungsgesetze im Konflikt mit EU-Recht stehen.
Aktuell: EU-U.S. Data Privacy Framework (seit 2023)
- Neues Abkommen zwischen EU und USA, um sicheren Datentransfer zu ermöglichen.
- Die EU-Kommission hat einen Angemessenheitsbeschluss erlassen — das heißt: Datenübertragungen an zertifizierte US-Unternehmen sind wieder theoretisch erlaubt.
- Diese Angemessenheitsbeschlüsse für zertifizierte Unternehmen besagen, dass die Datenschutzstandarts des Unternehmens gleichwertig mit die der DSGVO sind.
Und jetzt auch noch die Unsicherheit durch die aktuelle USA Politik.
Es ist aktuell nicht vorhersehbar, in welche Richtung sich der Datenschutz zwischen den USA und der EU bewegen. In jüngster Vergangenheit wurde deutlich, dass sich langfristige Abkommen rasand ändern können.
So beobachtet die EU die Veränderungen in den USA sehr scharf, ob die datenschutzrechtlichen Standards der Angemessenheitsbeschlüsse noch eingehalten werden können. Kippt dies, würden zahlreiche Unternehmen in den USA plötzlich die datenschutzrechliche Grundlage fehlen, um der DSGVO zu genügen.
Besorgniserregend ist, dass in den USA das “PCLOB” (Privacy and Civil Liberties Oversight Board), ein zentrales Kontrollorgan für den Datenschutz und Bürgerrechte, faktisch handlungsunfähig gemacht wurde, durch die Aufforderung zum Rücktritt von demokratischen Mitgliedern.
Dies untergräbt die unabhängige Aufsicht über US-Geheimdienste und gefährdet die Grundlage des Angemessenheitsbeschlusses.
Was bedeutet das jetzt für Unternehmen in der EU?
Wie am Anfang des Artikels angemerkt, findet schnell ein Datenaustausch zwischen dem eigenen Unternehmen und der USA statt.
Die Faustregel lautet: Wer personenbezogene Daten in die USA überträgt (z.B. über Tools wie Google Analytics, Meta, Microsoft, Amazon Web Services), sollte genauer hinschauen:
Prüfung: Ist der Anbieter nach dem EU-U.S. Data Privacy Framework zertifiziert? Schaue, ob ein Angemessenheitsbeschluss verfügbar ist.
Vertrag: Welche datenschutzrechtliche Regelungen sind im Vertrag vorhanden? Sind Standardvertragsklauseln (SCC) als zusätzliche Absicherung integriert? Gibt es einen Vertrag für die Auftragsdatenverarbeitung (ADV)?
Risikoanalyse: Um das Risiko vollumfänglich einschätzen zu können, könnte eine „Datenschutz-Folgenabschätzung (DSFA)“ sinnvoll sein, insbesondere bei sensiblen Daten.
Transparenz: Es ist wichtig, die Informationspflicht ggü. der Nutzer:innen und der Aufsichtsbehörde nachzukommen. Vollumfängliche Datenschutzerklärungen und rechtlich und technisch korrekte Cookie-Consent-Banner sind u.a. unerlässlich.
Technische Schutzmaßnahmen: Prüfe, inwiefern technische Verschlüsselungen und Anonymisierungen beim Umgang mit Daten angewendet werden. Wenn möglich, sollte die Serverstandortwahl auf ein EU-Land oder sogar Deutschland angepasst werden.
Und jetzt? Konkrete Empfehlung:
Wer aktuell Google Workspace, Microsoft 356, Meta oder andere Tools von Unternehmen aus den USA oder anderen unsicheren Drittstaaten im Einsatz hat, sollte die oben genannten Prüfpunkte durchgehen.
In den meisten Fällen, dürfte der Einsatz dieser Tools durch ein Angemessenheitsbeschluss geregelt sein. So zumindest bei Google, Microsoft und Meta und zum jetzigem Zeitpunkt.
Trotzdem bleibt die politische Unsicherheit bestehen und aktuelle Abkommen zwischen den USA und der EU könnten sich schnell verändern. Dann sollte man als Unternehmen entweder bereits vorgesorgt haben oder schnell reagieren können.
Jetzt vorsorgen bedeutet, die Datenhoheit komplett in der EU, oder noch besser, in Deutschland zu sichern.
Hierfür gibt es konkrete Anbieter, die vergleichbare Tools mit Sitz in Deutschland oder der EU anbieten, und komplett den Datenschutz einhalten. Als Unternehmer löse ich so komplett die Unsicherheit hinsichtlich der USA auf und setze mich für einen verantwortungsvollen Umgang mit Daten ein.