Können wir immer noch US-amerikanische Unternehmen nutzen, um persönliche Daten zu verwalten?

Wenn Sie nach einer Lösung suchen, um Ihre Daten und Ihre Website zu hosten, eine E-Mail-Kampagne zu versenden oder die Besuche auf Ihrer Website zu verwalten, kommen Ihnen sehr schnell die großen Namen amerikanischer Unternehmen in den Sinn. Sei es Microsoft, Amazon, Google oder andere. Auch wenn die Nutzung europäischer Unternehmen kein Problem darstellt, sollten Sie daran denken, dass es problematisch sein kann, personenbezogene Daten außereuropäischen Unternehmen (außerhalb des Europäischen Wirtschaftsraums) anzuvertrauen, da diese Länder die DSGVO nicht unbedingt einhalten. Es gibt zwar Länder, deren Regelungen die Europäische Kommission als gleichwertig betrachtet, das sind die Länder, die einen "Angemessenheitsbeschluss" erhalten haben, und die USA gehören nicht dazu.

Da der europäische Markt für die USA sehr interessant ist und Europa ein Interesse daran hat, dass der Datenaustausch ohne große Sorgen ablaufen kann, wurde ein erstes Abkommen, das sogenannte "Safe Harvbour", von beiden Seiten unterzeichnet. Da dieses Abkommen vom Europäischen Gerichtshof wegen Verletzung des Datenschutzes für nichtig erklärt wurde, wurde ein neues Abkommen, das Privacy Shield, unterzeichnet. Aber, oh Schreck, im Juli 2021 wurde es vom Europäischen Gerichtshof erneut für nichtig erklärt. 

Die Gründe sind sehr klar: Mehrere US-amerikanische Vorschriften, erlauben es den US-Behörden, von US-Unternehmen Zugang zu Informationen über die ihnen vorliegenden Daten zu verlangen, selbst wenn diese Daten europäische Bürger oder Einwohner betreffen. 

Und diese Zugangsanfragen sind real, mehrere Tausend Anfragen pro Jahr werden auf dieser Grundlage gestellt, und da einige davon vertraulich sind, werden die betroffenen Personen nicht informiert. Diese Regelung steht natürlich im Widerspruch zur DSGVO, zu deren Grundsätzen Transparenz und Information der betroffenen Personen gehört.

Und so ist seit Juli 2021 die Nutzung von US-amerikanischen Unternehmen nicht einfach!

Das European Data Protection Board, in dem alle europäischen Datenschutzbehörden vertreten sind, hat Empfehlungen vorgeschlagen, die recht kompliziert umzusetzen sind und darin bestehen, die rechtlichen Möglichkeiten zu analysieren, die es ermöglichen würden, auf amerikanische Unternehmen zurückzugreifen. Aber man muss zugeben, dass nach deren Prüfung und nach der Analyse der zahlreichen Dokumente, die von den amerikanischen Unternehmen angeboten werden, um zu versuchen, die europäischen Unternehmen und Organisationen zu überzeugen, immer noch die Möglichkeit besteht, dass die amerikanischen Behörden Zugang zu Ihren Daten haben und daher die Zusammenarbeit mit einem amerikanischen Unternehmen ein Problem im Hinblick auf die DSGVO darstellt.

Es gibt eine technische Lösung, die es in bestimmten Fällen ermöglicht, auf die Dienste amerikanischer Unternehmen zurückzugreifen. Wenn nämlich die Daten, die Sie in einer amerikanischen Cloud hosten, von Ihnen verschlüsselt werden und Ihr amerikanischer Subunternehmer somit keinen Zugriff auf die Daten hat, ist die DSGVO eingehalten. Diese Art von Lösung funktioniert aber beispielsweise nur für das Hosting, nicht aber, wenn Sie E-Mail-Adressen für eine E-Mail-Kampagne anvertrauen.

Andererseits hört man oft, dass es keine Probleme mehr gibt, wenn die Server des amerikanischen Unternehmens in Europa stehen. Nichts davon ist weniger wahr. Denn nach amerikanischem Recht müssen US-Unternehmen unabhängig vom Standort der Server auf Anfragen von Behörden reagieren. 

Wir dürfen nicht vergessen, dass mehrere Datenschutzbehörden eine klare Entscheidung bezüglich Google Analytics getroffen haben, das nun in Europa verboten ist, da es gegen die DSGVO verstößt. Weitere Entscheidungen könnten in Bezug auf andere US-amerikanische Onlinedienste fallen.

Es gibt jedoch europäische Lösungen, die in einigen Fällen die von amerikanischen Unternehmen angebotenen Dienste ersetzen können.

Im März 2022 berichteten Präsident Biden und die Präsidentin der Europäischen Kommission, dass eine Einigung über die Wiederaufnahme des Datenhandels zwischen Europa und den USA erzielt worden sei. Es wurde jedoch kein Text vorgeschlagen und es dauerte bis Oktober 2022, bis Präsident Biden eine Ausführungsanordnung unterzeichnete und die Europäische Kommission ankündigte, dass sie an einem Angemessenheitsbeschluss arbeite, der die USA als ein Land anerkennen würde, dessen Gesetzgebung mit der DSGVO gleichgesetzt werden würde.

Denn bis die Eignungsentscheidung offiziell wird, müssen mehrere Schritte durchlaufen werden:

• die Meinung des European Data Protection Board einholen
• das Europäische Parlament wird sich wahrscheinlich mit diesem Thema befassen
• der Europäische Rat muss seine Zustimmung geben

Und so wird es bestenfalls bis Mitte 2023 dauern, bis diese Meilensteine erreicht sind, sofern sie überhaupt erreicht werden.

Die DSGVO-Experten sind sich einig! Präsident Bidens Executive Order geht nicht auf alle Kritikpunkte des Gerichtshofs ein, und es ist wahrscheinlich, dass das neue EU-US-Abkommen erneut vom Gerichtshof gekippt wird, was die derzeitige Rechtsunsicherheit verlängern würde.

Wenn es europäische Lösungen gibt - und das sind immer mehr -, empfehlen wir Ihnen, diesen Lösungen den Vorzug zu geben. Wenn Sie keine gleichwertigen europäischen Lösungen finden, ist es das Mindeste, Ihre Entscheidung für eine amerikanische Lösung zu dokumentieren und die Datenübertragung so weit wie möglich zu begrenzen.