Spätestens seit der Datenschutz-Grundverordnung (DSGVO) wissen wir, wie hoch das Schutzniveau für elektronische Informationen in den Ländern der Europäischen Union (EU) ist. Es gilt, dieses Niveau auch für Daten sicherzustellen, die in Drittländer außerhalb der EU geschickt werden, also etwa in die Schweiz, nach Großbritannien, Indien oder in die USA. Dreh- und Angelpunkt ist dabei die Frage, ob es in dem jeweiligen Drittland einen unserer Regelung entsprechenden, angemessenen Datenschutz gibt. Dies prüft und entscheidet die EU-Kommission für jedes Land gesondert. Angemessenheitsbeschlüsse existieren etwa für Japan, Kanada, Israel, Neuseeland, Uruguay und die Schweiz, sodass der Austausch sensibler Daten mit diesen Ländern keinen zusätzlichen Voraussetzungen unterliegt.
Umgang mit unsicheren Drittländern
Außerhalb dieser „Daumen hoch“-Länder ist ein Datentransfer in ein sogenanntes „unsicheres Drittland“ nur möglich, wenn individuelle Garantien zwischen den Transferpartnern gegeben werden. Für den Mittelstand ist dabei der Weg über Standardvertragsklauseln (Standard Contractual Clauses, kurz SCC) am praktikabelsten.
In diesen SCC verpflichten sich zwei oder mehr Vertragspartner (Datenexporteur und Datenimporteur) zur Anwendung des Europäischen Datenschutzrechts. Die Klauseln sind von der EU ganz genau vorgegeben, Abweichungen nur möglich, wenn sie den Datenschutz erhöhen – nicht umgekehrt. Jüngst hat man die Klauseln überarbeitet, seit 27. Dezember 2022 müssen alle alten SCC-Versionen durch die neue Version ersetzt sein.
Sonderfall USA
Die USA sind für Deutschland ein wichtiger Exportmarkt für den Maschinen- und Anlagenbau. Ihren Status als „unsicheres Drittland“ verdanken sie vor allem ihren Staatsschutzbehörden und Geheimdiensten mit den weit gehenden, nach europäischen Maßstäben zu weit gehenden Überwachungsbefugnissen. Dies war einer der Hauptgründe, warum bereits zwei frühere transatlantische Datenschutzabkommen (Safe Harbor und Privacy Shield) vor dem Europäischen Gerichtshof (EuGH) scheiterten, zuletzt 2020 durch das „Schrems II“-Urteil.
Ein neues Abkommen ist nun in der Mache, und die EU prüft, ob aufgrund dessen dann wieder ein Angemessenheitsbeschluss für die USA ergehen kann. Doch es ist umstritten, ob die Bedenken des EuGH im neuen Regelwerk ausgeräumt wurden. „Dennoch halten wir vor dem Hintergrund der im Entwurf aufgeführten und einzuhaltenden Prinzipien eine DSGVO-konforme Umsetzung für machbar“, sagt Dr. Christian Hess, Jurist in der Rechtsabteilung des Verbands Deutscher Maschinen- und Anlagenbau (VDMA). „Der vorliegende Entwurf ist ein wichtiger Schritt zu mehr Rechtssicherheit im Datenaustausch zwischen der EU und den USA.“
USA: SCC + TIA
Derweil bleibt für den Datentransfer über den Atlantik nur der Rückgriff auf die Standardvertragsklauseln SCC. „Dabei ist stets eine umfangreiche Datentransfer-Folgenabschätzung – Transfer Impact Assessment, kurz TIA – erforderlich, die Unternehmen nicht selten vor enorme Herausforderungen stellt“, gibt Christian Hess zu bedenken. Der VDMA befürworte daher eine schnelle Aufnahme der Verhandlungen über ein neues Datenschutzabkommen. „Im Ergebnis würden die USA dann nicht mehr als ‚unsicherer Drittstaat‘ gelten, sondern es wird ein angemessenes Schutzniveau unterstellt. Eine einfache, rechtssichere Datenübermittlung wäre dann wieder möglich“, so der Verbandsjurist. Zu rechnen ist damit frühestens Mitte des Jahres.
