Die EU-Kommission legt heute neue Standarddatenschutzklauseln vor, die internationale Datentransfers rechtssicherer machen sollen. Hintergrund ist das Urteil des Europäischen Gerichtshofs (EuGH) aus dem Sommer 2020, das das sogenannte Privacy Shield, das den Datenaustausch zwischen der EU und den USA regelte, für ungültig erklärt hat und mit dem zusätzliche Vorgaben für internationale Datentransfers aufgestellt wurden. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung:
„Die EU will mit den neuen Standarddatenschutzklauseln mehr Rechtssicherheit für Unternehmen mit einer Datenverarbeitung in den USA oder anderen Drittstaaten schaffen. Das ist ein richtiger Schritt. Für global tätige Unternehmen ist es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können. Die neuen Klauseln lösen jedoch die Problematik der Einzelfallprüfung nicht. Zugleich stehen Unternehmen nun vor einen riesigen Umstellungsaufwand, ohne dass ihnen erspart wird, die Datenflüsse in die sogenannten Drittstaaten in jedem Einzelfall zu bewerten. Dazu kommen weiter Unklarheiten in den neuen Regelungen: So sollen die Unternehmen zusätzliche Schutzmaßnahmen implementieren, um die Datenströme abzusichern – welche das genau sein sollen bleibt aber der internen Bewertung überlassen. Das können viele Unternehmen kaum stemmen.
Die Bewertung des Datenschutzniveaus in anderen Ländern ist eine hochkomplexe Aufgabe, die Umstellung von technischen Maßnahmen durch die heute vernetzt arbeitende Wirtschaft mit großem Aufwand verbunden. Wir brauchen politische Lösungen für den Drittstaatentransfer– nicht nur für den essenziellen Datenaustausch zwischen den USA und der EU. Für die Zukunft wird es entscheidend sein, dass mehr grundsätzliche sogenannte Adäquanzentscheidungen für wichtige Drittstaaten den Datenaustausch dauerhaft absichern und die Unternehmen von der Einzelfallprüfung befreien.
Die häufig genannte Forderung, Daten einfach ausschließlich in Europa zu verarbeiten, ist dabei keine Lösung. Sie ist sowohl technisch als auch praktisch kaum umsetzbar. Vor allem für länderübergreifend oder global agierende Unternehmen und Organisationen mit Standorten in verschiedenen Regionen ist der Datenaustausch für die tägliche Arbeit essenziell. Europäische Unternehmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien sind davon genauso betroffen wie IT-Unternehmen, die den 24h-Support global und damit über alle Zeitzonen absichern.“
Weitere Informationen gibt es im „Verbändebrief zum Erhalt des internationalen Datentransfers nach Schrems II“, der abrufbar ist unter www.bitkom.org/Bitkom/Publikationen/Verbaendebrief-zum-Erhalt-des-internationalen-Datentransfers-nach-Schrems-II-2021