Transatlantisches Datenabkommen schwankt – fällt es auch? Datentransfer mit den USA gefährdet
Seit seinem Amtsantritt hält US-Präsident Donald Trump internationale Politik und Wirtschaft in Atem. Eine Maßnahme, die in den großen Medien in Deutschland bislang jedoch nur marginale Aufmerksamkeit erfahren hat, ist der massive Eingriff beim Privacy and Civil Liberties Oversight Board (kurz: PCLOB) Ende Januar. In der IT-Branche hat die Entlassung von vier der fünf Mitglieder dieses Gremiums hingegen für Aufsehen gesorgt. Ein Thema für Insider? Nicht nur! Denn einstimmig wird befürchtet, dass die massive Einschränkung des Gremiums erhebliche Auswirkungen auf den transatlantischen Datenverkehr haben könnte, da das PCLOB ist eine zentrale Stütze des EU-US Data Privacy Framework ist. Und mit nur einem verbliebenen Mitglied dürfte das PCLOB seinen Aufgaben wohl kaum ausreichend nachkommen können. Gleichzeitig steht auch die politische Unabhängigkeit in Frage – besagtes Mitglied wurde von der republikanischen Partei entsandt.
PCLOB als zentrale Stütze des EU-US Data Privacy Framework
Das PCLOB wurde 2004 vom Kongress als unabhängige Behörde eingerichtet, die vor allem sicherstellen soll, dass auch bei Maßnahmen zum Schutz vor Terrorismus (Erlasse und Reformen von Gesetzen und Vorschriften) Privatsphäre und bürgerliche Freiheiten gewährleistet werden. Aufgrund dieser Ausrichtung wurde ihr 2022 vom ehemaligen US-Präsidenten Joe Biden auch die Aufgabe übertragen, den besonderen Schutz von Daten von EU-Bürger:innen zu gewährleisten, wie er für einen Datenaustausch mit der EU erforderlich ist – eine Maßnahme, die notwendig geworden war für das Zustandekommen des EU-US Data Privacy Framework.
Dieser ersetzte die jeweils nach EuGH-Urteilen von 2015 und 2020 gekippten Rahmenabkommen „Safe Harbor“ und „Privacy Shield“. Bereits deren Anliegen war der besondere Schutz personenbezogener Daten von EU-Bürger:innen in den USA, wo der Datenschutz vergleichsweise unreguliert ist und staatliche Behörden gleichzeitig größere Zugriffsmöglichkeiten auf Daten von Internetkonzernen und Cloud-Dienstleistern wie Facebook, Google oder auch Microsoft haben. Der Transfer von personenbezogenen Daten in Länder, deren Datenschutz nicht mindestens dem EU-Standard entspricht, ist allerdings verboten ist, daher bedarf es entsprechender Rahmenabkommen, die diesen Standard gewährleisten. Die beiden Vorgänger-Abkommen waren jedoch wegen mangelnder behördlicher Aufsicht auf US-Seite für ungültig erklärt worden. Ein Problem, dass nun erneut den Data Privacy Framework zu Fall bringen könnte.
Bereits im Oktober 2024 – also noch in Zeiten der Biden-Administration – hatte die EU-Kommission im Zuge einer Evaluierung bereits auf Nachbesserungsbedarf beim Datenschutzniveau in den USA hingewiesen, der Angemessenheitsbeschluss behielt jedoch seine Gültigkeit. Ob dies bei der nächsten anstehenden Evaluierung (spätestens vier Jahre nach der letzten Überprüfung) der Fall sein wird, ist fraglich. Sofern das Abkommen bis dahin nicht ohnehin durch erneute Klagen zu Fall gebracht worden sein sollte. Was Rechtsunsicherheit und Zusatzaufwand für deutsche Unternehmen bedeuten würde.
EU Data Boundary: Die EU-Datengrenze für die Microsoft Cloud
Welche Möglichkeiten bieten sich Unternehmen heute schon, um im Fall eines Falles vorbereitet zu sein oder sich auch unabhängig davon sicher aufzustellen? Vorweg: Hektischer Aktionismus ist nicht angezeigt. Denn auch nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ kam es nicht zur Disruption im Datenverkehr zwischen der EU und den USA. Dennoch ist es sinnvoll, geeignete Optionen zu sondieren und umzusetzen, um zukünftigen Unsicherheiten so weit wie möglich zu entgehen. Denn die datenschutzrechtlichen Diskrepanzen dürften sich in den kommenden Jahren kaum verringern. Eine Möglichkeit könnte sein, Dienste aus anderen EU-Ländern oder Staaten mit entsprechendem Datenschutzniveau zu wählen. Sollte es hier keine passende Alternative geben, könnten Standardvertragsklauseln das Mittel der Wahl sein. Im Idealfall sollten sich auch US-Dienstleister auf das Scheitern des Datenabkommens vorbereiten. Unternehmen sollten diesbezüglich Anfragen an ihre Dienstleister stellen.
Ein Beispiel, wie US-Unternehmen sich besser auf den EU-Datenschutz einstellen können, ist die EU Data Boundary von Microsoft. Damit schafft das Unternehmen eine klare datenschutzrechtliche Grundlage für Kunden in Europa, u.a. für Dienste wie Azure, Dynamics 365 und Microsoft 365. Seit 2023 wurden Daten in drei Schritten in den EU-Raum verlagert, so dass Datensouveränität und Transparenz gewährleistet werden. Lediglich in Fällen von Cybersicherheitsbedrohungen können Daten zum Schutz auch in anderen Regionen verarbeitet werden. Microsoft verspricht für diesen Ausnahmefall Echtzeitwarnungen und robuste Schutzmaßnahmen. Eine weitere Ausnahme stellt die Nutzung von Copilot dar, dem KI-Assistenten in Microsoft 365 dar. Da für diesen Dienst Microsoft Azure Open AI Services erforderlich sind, die nur in bestimmten Regionen verfügbar sind, müssen Kunden zur Nutzung der Verarbeitung außerhalb der EU zustimmen – ansonsten steht der Dienst nicht zur Verfügung. Noch. Denn gerade in dem zukunftsrelevanten Bereich der KI, der zusätzlich durch das umfassende KI-Gesetz geschützt und reguliert wird, dürften EU-konforme Datenschutzmaßnahmen zu erwarten sein.
Wir von Tecman Deutschland stehen als sicherer Partner auch in bewegten Zeiten an der Seite unser Kunden und besprechen gerne mit Ihnen alle Aspekte einer sorgenfreien Nutzung von Microsoft Dynamics 365 Business Central in der Cloud. Nehmen Sie gerne Kontakt mit uns auf!