Die persönlichen Daten vieler Europäer gelangen in die USA. Das geschieht im Rahmen von Wirtschaftsbeziehungen, durch Nutzung US-amerikanischer Cloud-Dienste oder durch Facebook, Google, Amazon und andere, die die Daten ihrer Nutzer in die USA senden und dort speichern.
Löchriges Privacy Shield
Der Datentransfer aus Europa in ein anderes Land ist nur erlaubt, wenn die Daten dort ebenso geschützt sind wie in der EU. Weil das in den USA nicht der Fall ist, vereinbarten die EU und die USA ein Abkommen namens „Privacy Shield“, das den Schutz der europäischen Daten in den USA gewährleisten sollte. Doch der EuGH ist der Ansicht, dass das Privacy Shield dazu nicht ausreicht und erklärte, dass Datentransfers in die USA unter dem Privacy Shield ab sofort rechtswidrig sind.
Der EuGH begründete sein Urteil damit, dass die personenbezogenen Daten jenseits des Atlantiks nur unzureichend gegen Überwachung und Zugriff von Dritten gesichert seien. US-Firmen seien dazu verpflichtet, den US-Behörden wie der NSA und dem FBI ohne richterlichen Beschluss Zugang zu allen Daten zu gewähren.
Datentransfer mit Standardvertragsklauseln
Als rechtliche Grundlage für den Datentransfer in die USA werden neben dem Privacy Shield auch die von der EU erstellten Standardvertragsklauseln genutzt. Viele US-Firmen wie Facebook, Google, Amazon oder Microsoft sichern den Transport von Daten in die USA damit rechtlich ab. Die Standardvertragsklauseln gelten zwar weiterhin, werden aber vom EuGH ebenfalls als problematisch eingeschätzt. Das hohe europäische Gericht kündigte an, die Standardvertragsklauseln einer gründlichen Analyse zu unterziehen.
Wie geht es weiter?
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, sieht schwere Zeiten für den Datenschutz aufziehen. Denn die Problematik betrifft nicht nur die USA, sondern auch Länder wie China oder auch Großbritannien nach dem Brexit: „Unter dem Strich bleibt die Erkenntnis: In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht. Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.“ (https://bit.ly/30jPiLn)
Die AKDB selbst verarbeitet die Daten ihrer Kunden in eigenen Rechenzentren und bietet insoweit die höchstmögliche Sicherheit gerade in datenschutzrechtlicher Hinsicht. Auch dort wo die Zusammenarbeit mit internationalen Partnern stattfindet, hat die AKDB seit jeher dem Datenschutz höchste Priorität eingeräumt und Datenübertragungen außerhalb der europäischen Union ausgeschlossen.