Seit Jahren ist die Rechtsgrundlage für die Datenverarbeitung von personenbezogenen Daten der EU-Bürger durch US-Unternehmen ein strittiges Thema.
Zuletzt wurde das Privacy-Shield-Abkommen durch das sogenannte Schremms II-Urteil des EUGH aufgehoben und die EU-Kommission suchte nach einer politischen Lösung.
Diese Lösung wurde nun vermeintlich in der Angemessenheitserklärung zu einem „angemessenen Schutzniveaus“ der in den USA ansässigen Unternehmen gefunden. Nach Artikel 45 Absatz 3 DSGVO, kann die EU-Kommission ein solches Schutzniveau beschließen und es wären dann keine weiteren Schutzmaßnahmen zutreffen.
Das ganze Prozedere ist möglich geworden, da die US-Regierung ein entsprechendes Dekret erlassen hat. Darin sind vor allem folgende Punkte, die der EUGH kritisch gesehen hatte geregelt:
- Der Zugang der US-Nachrichtendienste zu europäischen Daten soll auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein;
- EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Das klingt auf den ersten Blick toll. Aber was bedeutet es in der Praxis, dass US-Nachrichtendienste nur für den Schutz der nationalen Sicherheit notwendige und verhältnismäßige Zugriffe vornehmen dürfen?
Wer kontrolliert die Verhältnismäßigkeit? Wer legt fest, was notwendig für die nationale Sicherheit ist?
Für mich klingt das nach Augenwischerei und wird, sollte es zu einer erneuten Prüfung durch den EUGH kommen, hoffentlich auch wieder aufgehoben.
In der Praxis gibt es mit dem EU-Standartvertragsklauseln ein vernünftiges und anwendbares Konstrukt wie eine Zusammenarbeit für EU-Unternehmen mit Unternehmen aus Drittländern, z.B. USA, möglich ist.
Verträge auf Grundlage der EU-Standartvertragsklauseln sind rechtssicher und bedürfen nur der Ergänzung der individuellen technischen und organisatorischen Maßnahmen. Sie sind also eine Art Auftragsverarbeitungsvertrag.
Wichtig ist deshalb auch der rechtskonforme Umgang mit diesen Verträgen. Dafür gibt es mit der Data-Trust-Plattform der Yafo-Associates GmbH eine einzigartige Anwendung.