Worum geht es? Der EuGH im Juli 2020 in seiner Entscheidung Schrems II entschieden, dass Daten nur dann aus der EU in ein anderes Land übertragen werden dürfen, wenn faktisch (!) sichergestellt sei, dass in dem betreffenden Land ein Datenschutzniveau herrsche (und auch faktisch durchgesetzt werden könne), welches dem Niveau der EU entspräche. Das genau sei bei den USA nicht der Fall. Die USA haben im Nachgang der Anschläge im Jahr 2001 ihre Sicherheitsbehörden mit Befugnissen ausgestattet, die weitgehende Zugriffsmöglichkeiten auf jedwede und damit auch auf personenbezogene Daten ermöglicht (patriots act). Der EuGH ist der Ansicht, dass der Prozess, mit dem auf die personenbezogenen Daten zugegriffen werden könne und die Voraussetzungen für einen solchen Zugriff nicht (!) dem erforderlichen Datenschutzniveau entspräche.
Das hatte zur Konsequenz, dass insbesondere die Dienste der großen US Anbieter (z.B. Microsoft, Google, AWS) eigentlich ab dem Juli 2020 nicht mehr benutzt werden durften. In Ermangelung von Alternativen auf dem Markt drückten die deutschen Aufsichtsbehörden mehrheitlich die Augen zu, wenn die Unternehmen weiter Dienste von AWS, Google oder Microsoft verwendeten. Aber der eigentliche Konflikt und war und ist aktuell nicht zu lösen, weil diese Unternehmen die vom EuGH gestellten Voraussetzungen nicht erfüllten. Noch einmal klar ausgedrückt: Ein Rechenzentrum eines US Unternehmens darf man auch dann nicht benutzen, wenn es in Deutschland steht und Dienste wie 365 oder Google Mail stehen eben auch dann „auf der schwarzen Liste“, wenn es keine brauchbaren Alternativen gibt.
Im März 2022 gaben die EU Kommission und die US Regierung bekannt, dass sie an einem Abkommen arbeiten, das den Bedenken des EuGH Rechnung trägt. Am 7. Oktober hat der US Präsident Joe Biden eine Exekutivorder erlassen, die den Bedenken des EuGH Rechnung tragen soll. Es werden verbindliche Regelungen eingeführt, die angeblich alle vom EuGH angesprochenen Punkte berücksichtigen.
Nun ist es an der EU Kommission, diese Order zur „Data Privacy Framework“ zu prüfen und ggf. für angemessen zu halten. Im März 2023 wird eine Entscheidung erwartet.
Einzelheiten kann man sich hier anschauen:
Was bis dahin gilt: Vermutlich – (aber das ist reine Schätzung von mir) werden die Datenschutzbehörden der Bundesländer es bei dem Status Quo belassen. Man kann davon ausgehen, dass alle (auch die Aufsichtsbehörden) darauf hoffen, dass eine Lösung des Problems nun unmittelbar bevorsteht. Da auch den Behörden klar ist, welche Folgen die aktuelle wirtschaftliche Krise hat, wird man nicht zusätzliche Hürden aufstellen, wenn eine Lösung im März naheliegt. Was aber geschieht, wenn die Kommission den Vorschlag ablehnt oder der EuGH dann eine neue Entscheidung Schrems erlassen hat, werden wir sehen müssen.