Die Wahrheit über Konformität und Datenschutz zwischen der EU und den USA

Was ist das Amerikanische Gesetz zum Datenschutz?

Das Amerikanische Gesetz zum Datenschutz (ADPPA) ist der jüngste Versuch, ein überparteiliches Datenschutzgesetz in den USA zu schaffen.

Vor vier Jahren wurde die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union zum Gesetz erhoben. Jeder, der personenbezogene Daten von EU-Bürgern verarbeitet, muss sich natürlich an die Verordnung halten. Die Einhaltung der DSGVO ist also wirklich ein globales Thema.

In den USA sieht es dagegen anders aus. Es gibt derzeit kein nationales Datenschutzgesetz, das US-Bürger schützt. Stattdessen haben einige Bundesstaaten ihre eigenen Bundesgesetze ausgearbeitet. Besonders hervorzuheben ist der California Consumer Privacy Act (CCPA), der die Menschen in Kalifornien auf ähnliche Weise wie die DSGVO schützt.

Sie können sich denken, dass unterschiedliche Regeln auf bundesstaatlicher Ebene den Datenschutz zu einem komplexen und verwirrenden Thema machen. Ein US-amerikanisches Bundesgesetz könnte die Dinge für Unternehmen vereinfachen, die Verbraucherdaten erheben, speichern und verarbeiten.

Das große Versprechen des Amerikanischen Gesetzes zum Datenschutz besteht darin, dass es die Rechte des Einzelnen auf Privatsphäre sowie die Anforderungen für Unternehmen weltweit, die personenbezogene Daten von US-Bürgern verarbeiten, klar definieren würde.

Aus internationaler Sicht ist dies jedoch komplex. Es gibt spezifische Probleme, mit denen die USA und die EU zu kämpfen haben, wenn es um den Schutz personenbezogener Daten geht, wenn diese über den Atlantik geschickt werden. Das Debakel um das EU-US Privacy Shield-Rahmenabkommen ist das perfekte Beispiel hierfür. Wird also ein neuer Rahmen helfen?

Was ist der Transatlantische Datenschutzrahmen?

Der Transatlantische Datenschutzrahmen (TDPA) ist ein neues rechtliches Abkommen zwischen der EU und den USA, welches den EU-US Privacy Shield ersetzen soll. Ein Ersatz ist erforderlich, da der Gerichtshof der Europäischen Union (EuGH) im Jahr 2020 den Privacy Shield für ungültig erklärt hat. Unternehmen haben also derzeit keinen spezifischen Rahmen für DSGVO-konforme Datenübermittlungen zwischen der EU und den USA.

Der Privacy Shield sollte eine DSGVO-konforme Lösung für den Datenaustausch zwischen der EU und den USA sein. Es ist jedoch anders gekommen.

Das größte Problem des Privacy Shield ist, dass es keine ausreichenden Beschränkungen gibt, die regeln, wann, wie und warum US-amerikanische Geheimdienste auf Daten von EU-Bürgern zugreifen können. Nationale Sicherheitsgesetze in den USA geben der US-Regierung freie Hand, auf alles zuzugreifen, was sie will. Datenschutzverfechtern innerhalb der EU missfällt dies. Wenn ein in der EU ansässiges Unternehmen Daten in US-Rechenzentren gespeichert hat, könnten die CIA, das FBI und sogar die örtlichen Strafverfolgungsbehörden Zugriff darauf beantragen, und es gibt nur begrenzte rechtliche Möglichkeiten, diesen Zugriff zu verweigern. Dasselbe gilt für jedes US-amerikanische Unternehmen mit Kunden und Abonnenten aus der EU.

Ein bestimmter Aktivist stand bei all dem im Mittelpunkt: Max Schrems. Nachdem die DSGVO in Kraft getreten war, reichte er Klagen gegen Technologiekonzerne wie Facebook, Google und Apple ein. Die Klage (Schrems II) führte schließlich zur Ungültigkeit des Privacy Shield.

Der neue TDPA-Rahmen (auch Privacy Shield 2.0 genannt) schlägt einige Änderungen am rechtlichen Übermittlungsmechanismus vor, um ihn mehr mit der DSGVO in Einklang zu bringen. Die EU und die USA haben sich bereits im März 2022 verpflichtet, ein überarbeitetes Abkommen in Kraft zu setzen. Das Weiße Haus hat in einer offiziellen Erklärung Folgendes dazu gesagt:

Anders formuliert: Es fließt viel Geld über den Atlantik (nicht nur Daten), und beide Seiten wollen weiterhin Geschäfte miteinander machen.

Was passiert jetzt?

Stand der Dinge zum Zeitpunkt der Veröffentlichung dieses Artikels:

• Das Amerikanische Gesetz zum Datenschutz wurde von einem Ausschuss des Repräsentantenhauses verabschiedet und geht zur vollständigen Abstimmung im Repräsentantenhaus über. Dies bedeutet, der Kongress hat zugestimmt, die Möglichkeit einer Rechtsetzung in Betracht zu ziehen. Das Gesetz muss jedoch noch durch das Repräsentantenhaus und den Senat verabschiedet und von US-Präsident Joe Biden unterzeichnet werden.

• Der Transatlantische Datenschutzrahmen ist im Grundsatz vereinbart und wird in Rechtsdokumente umgesetzt, die als Executive Order von Präsident Joe Biden erlassen werden sollen.

• Das EU-US Privacy Shield-Rahmenwerk wird weiterhin anwendet, es ist jedoch nicht ausreichend, um die vollständige Einhaltung der DSGVO zu gewährleisten.

Als der Privacy Shield für ungültig erklärt wurde, gab es für Unternehmen weiterhin Möglichkeiten, die DSGVO einzuhalten. Die EU forderte Standardvertragsklauseln (SCCs) sowie ggf. ergänzende Maßnahmen. Eine Standardvertragsklausel ist im Grunde ein rechtliches Abkommen zwischen Datenverantwortlichen und Datenverarbeitern auf beiden Seiten des Atlantiks (bzw. außerhalb der EU) darüber, wie personenbezogene Daten behandelt und verarbeitet werden. Die ergänzenden Maßnahmen sind zusätzliche Schritte zum Schutz der Privatsphäre der EU-Bürgerinnen und Bürger und sollen sicherstellen, dass die Unternehmen diesen Verpflichtungen nachkommen.

Man sollte meinen, dass alle Bedenken und Verwirrung vorbei sein werden, wenn das Amerikanische Gesetz zum Datenschutz und der TDPA-Rahmen in Kraft treten. Doch das wird nicht unbedingt der Fall sein. Hier ist unsere Einschätzung, was als nächstes passieren wird...

Probleme mit dem TDPA-Rahmen

Der Transatlantische Datenschutzrahmen kann zwar einige Bedenken hinsichtlich des Zugriffs der US-Geheimdienste ausräumen, birgt aber immer noch einige Probleme.

Zum einen wird es treffend als „Privacy Shield 2.0“ bezeichnet, denn die Zertifizierung hat sich nicht wesentlich seit der letzten Version verändert. Das vielleicht größte Problem ist, dass beide Rahmenwerke ein Selbstzertifizierungsverfahren beinhalten.

Im Grunde kann jedes Unternehmen mit Sitz in den USA auf die Privacy Shield-Webseite gehen, einen Antrag ausfüllen, einige Informationen aus seiner Datenschutzerklärung einreichen und sich zertifizieren lassen. Diese Selbstzertifizierung ist jedoch keine Garantie für die Einhaltung der DSGVO.

In einer Klage der Bundeshandelskommission (Federal Trade Commission FTC) wird beispielsweise behauptet, dass Twitter sich bei der Selbstzertifizierung auf der Privacy Shield-Webseite falsch als konform mit der Vereinbarung dargestellt habe. Mehr als 3 000 aktive Selbstzertifizierungen sind auf der Privacy Shield-Liste aufgeführt, und es ist schwer zu glauben, dass sie alle rechtmäßig sind.

Das Fazit lautet, dass Sie sich nicht auf den TDPA-Rahmen verlassen sollten, wenn Sie sicherstellen wollen, dass Sie oder ein Anbieter, mit dem Sie zusammenarbeiten, DSGVO-konform handeln. Solange es kein beschlossenes Gesetz ist, ist der TDPA-Mechanismus nicht viel mehr als ein „Handschlag“ zwischen der EU und den USA.

Probleme mit dem Amerikanischen Gesetz zum Datenschutz

Das Amerikanische Gesetz zum Datenschutz enthält einige Maßnahmen, die von Verfechtern des Datenschutzes und der Bürgerrechte unterstützt werden. Darunter fallen Vorschriften zur Bekämpfung von Diskriminierung sowie strengere Anforderungen an die Cybersicherheit. Sie können sich sicher sein: Ein umfassendes Datenschutzgesetz in den USA wäre für fast jeden eine gute Sache, vor allem, wenn es mit der DSGVO übereinstimmt.

Es gibt jedoch noch jede Menge Unsicherheiten im Zusammenhang mit diesem Gesetzentwurf. Es könnte noch viel passieren, bis das Gesetz beschlossen wird (vorausgesetzt, es wird beschlossen). Lobbyisten großer Technologieunternehmen könnten Änderungen fordern, und die Zwischenwahlen könnten das Kräfteverhältnis im Kongress verändern.

Ein weiteres Problem besteht darin, dass das Amerikanische Gesetz zum Datenschutz die bundesstaatlichen Datenschutzgesetze aussticht. Einigen führenden Politikern und einflussreichen Befürwortern wird das nicht gefallen. Sie vertreten die Meinung, dass ein Bundesgesetz eine Grundlage für den Datenschutz bieten sollte, welche die Bundesstaaten durch eigene Vorschriften erweitern können.

Es ist frühestens Ende 2022 mit der Verabschiedung des Amerikanischen Gesetzes zum Datenschutz zu rechnen. Und bleiben wir realistisch: Die Erfolgsbilanz des Kongresses bei der schnellen und effizienten Gesetzesverabschiedung ist allgemein bekannt. Falls die Gesetzesvorlage verabschiedet wird, haben Unternehmen zwei Jahre Zeit, um sich an das neue Gesetz anzupassen (wie bei der DSGVO im Jahr 2016). Das bedeutet, ein US-amerikanisches Bundesgesetz zum Datenschutz würde frühestens 2025 in Kraft treten. Was machen wir bis dahin?

Mailjets Ansatz zur Datenschutzgesetzgebung

Bei Sinch Mailjet warten wir nicht auf Datenschutzgesetze und internationale rechtliche Abkommen, die uns vorschreiben, wie wir mit dem Schutz von Daten umzugehen haben. Wir agieren proaktiv.

Mailjet nimmt den Datenschutz und die Einhaltung der DSGVO sehr ernst. Wir waren das erste Unternehmen weltweit, das eine DSGVO-Zertifizierung von AFNOR erhalten hat. Und das nur wenige Wochen, nachdem die DSGVO in Kraft getreten ist. Außerdem war Mailjet der erste E-Mail-Service-Provider, der die ISO 27001-Zertifizierung erhalten hat, was bedeutet, dass wir das höchste Datenschutz- und Sicherheitsniveau der Branche bieten. Das war sechs Monate vor Inkrafttreten der DSGVO.

Statt Änderungen und Anpassungen der Datenschutzgesetze abzuwarten, kommen wir ihnen zuvor und ergreifen Maßnahmen. Unsere Kunden können sicher sein, dass ihre Daten bei uns geschützt sind.

Gemeinsam mit unserem Schwesterunternehmen Sinch Mailgun wird Mailjet weiterhin Standardvertragsklauseln bei unseren Kunden einsetzen, und wir werden regelmäßig Datenschutz- und Sicherheitsrisiken unter die Lupe nehmen. Wir können nachweisen, dass wir die Vorschriften und Best Practices einhalten, da wir ISO-Zertifizierungen anstreben und uns Prüfungen durch Dritte unterziehen, die auch DSGVO-Kontrollen umfassen.

Was aber für E-Mail-Marketer in der EU und in den USA am wichtigsten ist...

Mailjet wurde in Frankreich gegründet und ist in Europa präsent. Wir haben Rechenzentren in Ländern wie Deutschland und Belgien. Das macht es für uns einfacher, die Daten von EU-Bürgerinnen und Bürgern zu schützen, da sie nicht den Atlantik überqueren müssen.

Darüber hinaus folgen wir dem Prinzip der Datenminimierung, d.h die Zugriffsrechte auf Kundendaten sind streng reglementiert. Als weitere Ebene stellen wir den Datenschutz durch die Gestaltung unseres Produktes sicher und achten darauf, zusätzliche organisatorische und technische Maßnahmen in unsere IT-Systeme einzubauen.

Weitere Informationen zu Mailjet und Datenschutz finden Sie hier:

• Sehen Sie unsere Vereinbarung über die Datenverarbeitung (AV-Vertrag) ein

• Lesen Sie einige FAQs zu den Themen Sicherheit und Datenschutz bei Mailjet

• Erhalten Sie nützliche Informationen aus diesem Artikel über Datenschutz und Sicherheit bei Mailjet

• Erkunden Sie unseren DSGVO-Hub und erfahren Sie mehr über Datenschutzbestimmungen

Eine Frage des Vertrauens

Damit Ihr Unternehmen DSGVO-konform sein kann, brauchen Sie Drittanbieter und Partner, die Datenschutzgesetze verstehen und einhalten. Das gilt auch für Ihren E-Mail-Service-Provider.

Wir von Sinch Mailjet sind stolz darauf, in Sachen Datenschutz und Sicherheit ganz vorne mit dabei zu sein. Wir tun mehr, als nur die persönlichen Daten unserer Kunden und die privaten Daten sämtlicher Abonnenten auf ihren Listen zu schützen.

Wenn andere Unternehmen Ihnen sagen, dass Sie unbesorgt sein können, weil die neue Version des Privacy Shield und das Amerikanische Gesetz zum Datenschutz alles einfacher machen werden, sollten Sie ihnen nicht glauben.

Wenn Mailjet Ihnen sagt, dass Sie sich keine Sorgen machen müssen, können Sie sicher sein, dass wir die Datenschutzgesetze sehr genau kennen. Wir wissen, was zu tun ist, um Vorschriften wie die DSGVO einzuhalten. Wenn Sie also einen ESP suchen, dem Sie vertrauen können: Wir sind immer für Sie da.