Das Thema Datentransfer zwischen der EU und den USA hatte auch in der Vergangenheit kein stabiles Fundament. Erst gab es Safe Harbor, dann den Privacy Shield, beide wurden vom Europäischen Gerichtshof gekippt. Aktuell bildet nun das EU-US Data Privacy Framework die Grundlage für Datenübermittlungen an zertifizierte US-Unternehmen.
Durch das neue Urteil wird dieses Framework nicht sofort unwirksam sein. Aber das Risiko für ein erneutes Kippen steigt sichtlich. Die Kritiker der aktuellen Regelung werden voraussichtlich argumentieren, dass die USA kein gleichwertiges Schutzniveau gewährleistet, wenn zentrale Kontrollstellen politisch stärker steuerbar sind. Genau an diesem Argument könnten auch Verfahren vor europäischen Gerichten ansetzen.
Für Unternehmen gibt es praktisch oft keine Alternative zum Datentransfer. Betroffen sind hier z.B. die Nutzung von Cloud-Diensten, SaaS-Lösungen, Supportzugriffe, der Einsatz von Analyse-Tools, HR-Systemen sowie konzerninterne Transfers. Diese können nicht einfach gestoppt werden. Umso wichtiger ist nun eine genaue unternehmerische Bewertung der Datenströme: Welche Daten gehen in die USA, an welchen Anbieter, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen?
Zusätzlich sollten Standardvertragsklauseln, Transfer Impact Assessments und technische Schutzmaßnahmen auf Aktualität und Wirksamkeit überprüft werden. Dazu gehören neben der Verschlüsselung auch der Grundsatz der Datenminimierung, klare Zugriffskonzepte und Protokollierung. Gerade für besonders kritische Datenverarbeitungen empfiehlt sich der Blick auf mögliche Alternativlösungen mit Sitz in der EU.