Problematik bleibt bestehen

Die EU-Kommission legt neue Standard-datenschutzklauseln vor, die internationale Datentransfers rechtssicherer machen sollen. Hintergrund ist das Urteil des Europäischen Gerichtshofs (EuGH) aus dem Sommer 2020, das den sogenannten Privacy Shield, der den Datenaustausch zwischen der EU und den USA regelte, für ungültig erklärt hat und mit dem zusätzliche Vorgaben für internationale Datentransfers aufgestellt wurden.

Die EU will mit den neuen Standarddatenschutzklauseln mehr Rechtssicherheit für Unternehmen mit einer Datenverarbeitung in den USA oder anderen Drittstaaten schaffen. Das ist ein richtiger Schritt. Für global tätige Unternehmen ist es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können. Die neuen Klauseln lösen jedoch die Problematik der Einzelfallprüfung nicht.

Zugleich stehen Unternehmen nun vor einem riesigen Umstellungsaufwand, ohne dass ihnen erspart wird, die Datenflüsse in die sogenannten Drittstaaten in jedem Einzelfall zu bewerten. Dazu kommen weitere Unklarheiten in den neuen Regelungen: So sollen die Unternehmen zusätzliche Schutzmaßnahmen implementieren, um die Datenströme abzusichern – welche das genau sein sollen, bleibt aber der internen Bewertung überlassen.

Das können viele Unternehmen kaum stemmen. Die häufig genannte Forderung, Daten einfach ausschließlich in Europa zu verarbeiten, ist dabei keine Lösung. Sie ist sowohl technisch als auch praktisch kaum umsetzbar. Vor allem für länderübergreifend oder global agierende Unternehmen und Organisationen mit Standorten in verschiedenen Regionen ist der Datenaustausch für die tägliche Arbeit essenziell.

Europäische Unternehmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien sind davon genauso betroffen wie IT-Unternehmen, die den 24-Stunden-Support global und damit über alle Zeitzonen absichern.