Auch im Jahr 2021 gibt es zahlreiche Herausforderungen, denen sich Unternehmen annehmen müssen. Eine Stärkung der Datensicherheit, die nachweisbare Einhaltung geltender gesetzlicher Datenschutzvorschriften und der wirksame Schutz geistigen Eigentums sind und bleiben Dauerbrenner. Für Unternehmen treffen in ihrem Datenaustausch mit Dritten, ganz besonders aber bei den Datenströmen in die USA, gleich alle drei Punkte zu und sorgen somit für reichlich Handlungsbedarf. Gerade bezüglich des Datenverkehrs von der EU in die USA bedarf es dringend einer belastbaren und nachhaltigen rechtlichen Grundlage, zumal der Trend zur Cloud ungebrochen ist und täglich Fakten schafft. Bei der Suche nach echtem Datenschutz und digitaler Souveränität rückt daher auch das europäische Projekt GAIA-X als Abhilfe zunehmend in den Fokus.
Hinweis: Dieser Beitrag ist der Auftakt einer Blogserie, welche sich mit Datensicherheit und Datenhoheit für Unternehmen auseinandersetzt. Zuerst wird die grundsätzliche Problematik für Unternehmen im Datentransfer zwischen Europa und den USA beleuchtet, wofür zunächst die wichtigsten rechtlichen Grundlagen der vergangenen Jahre angesprochen werden. Anschließend wird sich mit dem Projekt GAIA-X befasst, welches eine europäische Alternative für Datenschutz nach europäischen Standards sowie digitale Souveränität bieten soll. Es erfolgt dann eine Einschätzung darüber, wie sich der gegenwärtige Stand des Projekts für Unternehmen darstellt. Abschließend wird eine Prognose darüber abgegeben werden, welche gangbaren Wege bezüglich Datensicherheit und Datenkontrolle Unternehmen einschlagen können.
Vom Safe Harbour Agreement bis zum CLOUD Act: Datenschutz in Europa und den USA
Es ist seit langem bekannt, dass in Europa ein fundamental anderer Ansatz im Umgang mit Daten herrscht als in den USA. Die Speicherung, Verarbeitung und Weitergabe von Daten – auch zu kommerziellen Zwecken – ist in den Vereinigten Staaten deutlich laxer gehandhabt als in der EU. Gesetzgebungen, die dem Umgang mit Daten einen rechtlichen Rahmen auf annähernd DSGVO-Niveau geben, gibt es nur in einem Bundesstaat.
Am 1. Januar 2020 trat nämlich der California Consumer Privacy Act (CCPA) in Kraft, um den Datenschutz zu stärken und Verbrauchern in Kalifornien mehr Rechte darüber zuzugestehen, was mit ihren Daten geschieht und wer diese verwenden darf. Der CCPA weist in seiner Intention und Zielsetzung somit deutliche Parallelen zur DSGVO auf. Er hat das Potenzial, in den USA Schule zu machen und als Vorlage für weitere Gesetzgebungen zu dienen – ein wichtiger Schritt in Richtung größeren Datenschutzes und verbesserter Verbraucherrechte. Bis dato ist der CCPA jedoch auf Kalifornien beschränkt und die USA sind noch weit davon entfernt, derlei Gesetzgebung mit landesweiter Gültigkeit zu haben.
Für den Datentransfer von Europa in die USA gab es daher Abkommen wie das Safe Harbour Agreement und den EU-US Privacy Shield; diese sollten den DSGVO-konformen Schutz für die personenbezogenen Daten europäischer Bürger gewährleisten, die in die USA übertragen werden. Der Europäische Gerichtshof (EuGH) kippte jedoch beide, weil sie dies in der Realität eben nicht leisteten. Eine Klatsche für die Politik, welche die Abkommen trotz warnender Stimmen von Datenschützern geschlossen hatte. Die Urteile des EuGHs waren zudem klare Ansagen, dass zukünftige Übereinkünfte dieser Art, sofern sie Bestand haben sollten, echten Datenschutz gewährleisten müssen. Dies bedeutet eine immense Herausforderung, solange US-Anbieter weiterhin amerikanischer Gesetzgebungen wie dem PATRIOT Act, USA FREEDOM Act und dem CLOUD Act unterliegen. Diese sichern beispielsweise Behörden und Geheimdiensten den Zugriff auch auf personenbezogene Daten von EU-Bürgern. Befürchtungen, dass wirtschaftlich gewinnbringende Daten aus der EU von amerikanischer Seite abgegriffen werden können (und auch werden), stehen ebenfalls im Raum.
Was bedeutet der gekippte Privacy Shield eigentlich für Ihr Unternehmen? Mehr erfahren...
Gleichwohl fließen fortlaufend ungeheure Datenströme in die USA, vor allem auch über Drittanbieter: Die Entwicklung, (auf Verbraucherseite aber auch seitens Unternehmen) alles in die Cloud zu verlagern sowie die marktbeherrschende Stellung diverser US-Anbieter trugen sicherlich ihren Teil zu diesem Umstand bei.
Immer mehr Daten werden nicht länger lokal gespeichert, sondern gehen in die Cloud - und somit zumeist in den amerikanischen Einflussbereich.
Durch die Urteile des EuGHs entstand enormer Handlungsdruck für europäische Unternehmen, da eine wichtige Grundlage der bisherigen Praxis der Datenübertragung in die USA auf einen Schlag rechtwidrig war. Sie mussten daher alle betroffenen Datenströme identifizieren und zeitnah rechtskonforme Alternativen finden, denn gemäß Datenschutzbehörden sind Gnadenfristen nicht vorgesehen – und bei Verstößen gegen den Datenschutz drohen empfindliche Strafzahlungen.
Neue Standardvertragsklauseln, altes Grundproblem
Im November 2020 wurden zwei Entwürfe überarbeiteter Standardvertragsklauseln von der EU-Kommission veröffentlicht, die den internationalen Datentransfer der EU, darunter auch den transatlantischen, regeln sollen. Bei den modernisierten Entwürfen wurden der Europäischen Datenschutzrat und der Europäische Datenschutzbeauftragte berücksichtigt, ebenso wie das Schrems-II-Urteil vom Juli 2020.
Inwiefern die neuen Standardvertragsklauseln im Ernstfall auch juristisch Bestand haben werden, vor allem angesichts der ungelösten Grundproblematik zwischen DSGVO und der geltenden US-Gesetzgebung (und Praxis im Datenumgang), wird sich zeigen. Solange jedoch die großen US-Hyperscaler, die im Cloud-Geschäft dominant sind, amerikanischer Gesetzgebung Folge leisten müssen, bleiben derlei Übereinkünfte vermutlich ein Spiel auf Zeit – das genau so lange dauert, bis das entsprechende Urteil des EuGHs erfolgt.
Unangefochten an erster Stelle: Die USA dominieren den Cloud-Markt.
Dass die neuen Standardvertragsklauseln eine dauerhafte Lösung sein werden, darf also bezweifelt werden. Für europäische Unternehmen muss gleichwohl Abhilfe her, die langfristige Verlässlichkeit schafft. Es bedarf Lösungen, die den Datenschutz in der Praxis wirksam gewährleisten und für echte Datensouveränität sorgen. Auch mit dieser Zielsetzung wurde das Projekt GAIA-X ins Leben gerufen; spät zwar, aber mit großen Aspirationen. Der Bedarf und die Hoffnungen seitens Unternehmen sind jedenfalls groß.
- Wie steht die deutsche Bundesregierung zur Grundproblematik im Umgang mit Daten in der EU und den Vereinigten Staaten – bietet sie hierfür neue Lösungsansätze an?
- Welche Rolle und Bedeutung sieht die deutsche Bundesregierung in diesem Kontext für das Projekt GAIA-X?
Wie die deutsche Bundesregierung als Mit-Initiator und Treiber von GAIA-X zu deren Rolle Stellung bezog – und wie sie sich zur rechtlichen Grundproblematik im Datenumgang zwischen der EU und den USA äußerte – lesen Sie hier.
