Neue Entwicklungen in der Datenübermittlung zwischen der EU und den Vereinigten Staaten

Picture of Claudio Berther
Claudio Berther

Legal Counsel & Data Protection Officer, Yokoy

Der Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten ist wahrscheinlich eines der umstrittensten Datenschutzthemen der letzten Jahre. Der folgende Blogartikel beleuchtet den Angemessenheitsbeschluss bezüglich USA, den die Europäische Kommission am 10. Juli 2023 veröffentlicht hat und den neuen EU-US Data Privacy Framework.

Hintergrund

Im Jahr 2013 enthüllte Edward Snowden zahlreiche Massenüberwachungsprogramme der Vereinigten Staaten. NOYB (None of your Business), eine Non-Profit-Organisation unter der Leitung des österreichischen Rechtsanwalts Max Schrems, klagte gegen die Übermittlung von Daten von Facebook Irland an den US-Mutterkonzern und den anschließenden Zugriff durch die US-Überwachungsbehörden. 


Das damals geltende Safe-Harbour-Abkommen wurde für ungültig erklärt, was bedeutete, dass es nicht mehr als Rechtsgrundlage für die Übermittlung von Daten in die Vereinigten Staaten verwendet werden konnte. Im Jahr 2018 trat die DSGVO in Kraft. Der Nachfolger von Safe Harbour, Privacy Shield, wurde von NOYB erneut angefochten. 


Die berühmte Entscheidung Schrems II vom 16.7.2020 kam im Wesentlichen zum selben Ergebnis und erklärte das Privacy Shield für nichtig.  Es konnte also nicht als Rechtsgrundlage für die Übermittlung von Daten in die Vereinigten Staaten verwendet werden. 


In dieser Entscheidung hiess es auch, dass die Standardvertragsklauseln weiterhin gültig seien, aber zusätzliche Massnahmen ergriffen werden müssten, was in der Datenschutz-Community und bei den Firmen zu einiger Unsicherheit und vielen Fragen führte. 


Die Standardvertragsklauseln wurden am 4.6.2021 aktualisiert, um einige der Bedenken auszuräumen.

EU-US Data Privacy Framework

Die US-Regierung und die Vertreter der EU waren sich der Notwendigkeit bewusst, die in der Schrems-II-Entscheidung genannten Mängel zu beheben, und handelten ein drittes Abkommen aus, das nun EU-US-Privacy Framework genannt wird. 

 

Auf der Grundlage einer Executive Order über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-Nachrichtendienste wurden neue verbindliche Schutzmassnahmen eingeführt, um die vom Europäischen Gerichtshof angesprochenen Punkte zu berücksichtigen. 

 

So dürfen die US-Nachrichtendienste nur in dem Masse auf Daten zugreifen, wie es notwendig und verhältnismässig ist, und es wurde ein unabhängiger und unparteiischer Rechtsbehelfsmechanismus eingerichtet, um Beschwerden von Europäern über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit zu bearbeiten und zu lösen. 

 

Auf der Grundlage dieser Verbesserungen hat die EU-Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss für die Vereinigten Staaten erlassen.

Was ist eine Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist ein in der DSGVO vorgesehener Übermittlungsmechanismus zur rechtssicheren Übermittlung von Daten in ein Drittland (d. h. in einem Nicht-EU-Staat). 

 

Dabei handelt es sich um eine Feststellung der EU-Kommission, dass dieses spezifische Land, seine Gesetze und Verfahren einen angemessenen Schutz der Privatsphäre natürlicher Personen gewährleisten und die Daten ohne zusätzliche Bedingungen übermittelt werden können. 

 

Eine Liste der Länder, für die dies zutrifft, finden Sie  hier.

Ein Hinweis für unsere Schweizer Kunden

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die folgende Stellungnahme veröffentlicht. Der Datentransfer ist nach wie vor legal, auch wenn die Verhandlungen über ein Abkommen noch nicht abgeschlossen sind. Yokoy ist auch bereit für das neue Bundesgesetz über den Datenschutz, das am 1. September 2023 in Kraft tritt.

Blick nach vorn

Am selben Tag, an dem diese Entscheidung erging, kündigte NOYB eine weitere gerichtliche Anfechtung dieser Entscheidung an. Es bleibt also abzuwarten, ob das neue Abkommen Bestand haben wird oder nicht. Bislang haben die Gerichte solche Abkommen zweimal gekippt, und es ist möglich, dass dies ein drittes Mal geschieht.

Was haben wir bei Yokoy getan, um Ihre Daten zu schützen?

Für die Module Yokoy Expense und Yokoy Invoices gibt es die Möglichkeit, den einzigen Subprozessor zu deaktivieren, der Daten in den Vereinigten Staaten speichert. 

 

 

Yokoy Pay’s Partner Marqeta verfügt über strenge Sicherheitsvorkehrungen und wird von Visa und Mastercard genutzt, um den gleichen Dienst zu erbringen, den Marqeta für Yokoy anbietet. Die Übermittlungen zwischen unserem Hauptsitz in der Schweiz und der EU oder dem Vereinigten Königreich sind ebenfalls durch einen Angemessenheitsbeschluss der EU-Kommission abgedeckt. 

 

Unsere Unterauftragsverarbeiter sind auf unserer Website mit ihren technischen und organisatorischen Maßnahmen transparent aufgeführt. Sie können  hier gefunden werden.

 

Yokoy führte auch eine Datenschutz-Folgeabschätzung durch, die zu dem Schluss kam, dass aufgrund der fraglichen Daten (hauptsächlich Spesendaten, die durch die Spesenrichtlinien unserer Kunden bestimmt werden) und der umfangreichen Sicherheitsmaßnahmen, die sowohl wir als auch unsere Partner ergriffen haben, ein Zugriff der US-Überwachungsbehörden aus Gründen der nationalen Sicherheit unwahrscheinlich ist.

 

 

Als Datenschutzbeauftragter von Yokoy kann ich bestätigen, dass wir bisher noch nie eine Anfrage von einer Datenschutz- oder Sicherheitsbehörde der USA oder eines anderen Landes erhalten haben. 

 

 

Sollte dies dennoch der Fall sein, haben wir ein Verfahren eingerichtet, bei dem wir Sie über das Ersuchen informieren (sofern dies zulässig ist) und auch mit Hilfe externer, in diesem Bereich erfahrener Anwälte sicherstellen, dass das Ersuchen rechtmässig und verhältnismässig ist.

 

 

Unabhängig von dieser Entscheidung war die Übermittlung von Daten in der Vergangenheit immer rechtmässig. Wir werden die Entwicklungen weiterhin beobachten. Wie Sie hier und in dem One-Pager hier sehen können, nehmen wir die Sicherheit Ihrer Daten sehr ernst und werden regelmässig von unabhängigen Dritten geprüft sowohl durch Pen-Testing als auch durch die ISO 27001 Audits des TÜV Rheinland.

Vereinfachen Sie Ihr Ausgabenmanagement​