Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Rückblick
Gemäß DSGVO dürfen Unternehmen personenbezogene Daten nur dann in ein Drittland (= Land außerhalb der EU) übermitteln, wenn dieses Land vergleichbare Regelungen vorweisen kann. Im EU-US-Privacy-Shield-Abkommen verpflichteten sich US-amerikanische Unternehmen, Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren und insgesamt den Datenschutz zu beachten. Diese Selbstverpflichtung erkannte die EU als vergleichbare Regelung zum europäischen Datenschutz an. Das Abkommen wurde nun gekippt. Mit dem Schrems-II-Urteil vom 16.07.2020 (Az.: C-311/18) hat der EuGH Transfers von personenbezogenen Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, da in den USA die Verarbeitung personenbezogener Daten aus der EU nach DSGVO-Standards nicht gewährleistet werden könne (Näheres hierzu: https://sidit.de/blog/eughurteil-zum-euus-privacy-shield). Allerdings betonten die EuGH-Richter, dass eine Übermittlung personenbezogener Daten unter Verwendung der EU-Standardvertragsklauseln, unter bestimmten Voraussetzungen, weiterhin möglich bleibe.
Was ist jetzt zu tun?
Nachdem sich der erste Wirbel der Aufregung nach dem Schrems-II-Urteil gelegt hat, steht natürlich für viele europäische Unternehmen, die personenbezogene Daten in die USA transferieren, weiterhin die Frage im Raum: Wie kann ich damit umgehen? Uns liegt es am Herzen, Unternehmen mit praxisorientierten Tipps zu unterstützen. Hier haben wir die wichtigsten Schritte zusammengetragen, die Verantwortliche jetzt unternehmen sollten.
1. Wie ist der Status quo im eigenen Unternehmen?
Unser erster Tipp ist völlig banal: Um reagieren und gegebenenfalls die richtigen Maßnahmen ergreifen zu können, müssen Verantwortliche zunächst eruieren, ob sie denn überhaupt Daten in die USA (oder andere Drittländer) übertragen. So banal, so schwierig. Hier geht es nämlich nicht nur um die direkten Dienstleister eines Unternehmens, an die personenbezogene Daten übermittelt werden. Selbst wenn ein Dienstleister seinen Unternehmenssitz in Deutschland hat, kann es gut sein, dass sich dieser wiederum Subunternehmer bedient, die in den USA oder einem anderen Drittland sitzen und somit personenbezogene Daten eben doch den Weg in ein Drittland nehmen. Dieser Punkt darf bei der Ermittlung des Status quo in einem Unternehmen auf keinen Fall vergessen werden. Die nächste Frage wäre, zu welchem Zweck werden die Daten denn in das jeweilige Drittland übermittelt? Klarheit über diese Punkte zu bekommen ist essentiell für die Beurteilung, was weiter zu tun ist.
2. Risikoabwägung
Hand in Hand mit dem Abschließen von Standardvertragsklauseln geht die Risikoabwägung. Risikoabwägung heißt in diesem Falle, dass anhand der Kategorie der übertragenen Daten im Einzelfall vom Datenexporteur überprüft werden muss, wie hoch das Datenschutzniveau genau sein muss. Das Risiko negativer Auswirkungen muss für Betroffene so gering wie möglich gehalten werden. Hier kommt es immer auf die Art der Dienstleistung an. Werden personenbezogene Daten in die USA übermittelt, um an einem Videochat teilnehmen zu können, ist dies weniger einschneidend, als wenn ein EU-Unternehmen Gesundheitsdaten von Kunden oder Patienten zur Verarbeitung in die USA übermittelt. Will heißen: im ersten Beispiel wird ein erheblich geringeres Schutzniveau gefordert werden müssen als im zweiten Beispiel.
3. Gibt es eine Alternative?
Als nächstes sollte man sich die Frage stellen, ob es vielleicht eine Dienstleister-Alternative gibt? Gibt es Dienstleister innerhalb der EU, die mir das gleiche Produkt oder die gleiche Leistung anbieten, wie ein US-amerikanisches Unternehmen? Wenn ja, macht es vielleicht Sinn, auf ein solches umzusteigen? Klar ist, dass es bei vielen Dienstleistungen, denke man in Zeiten von Corona an den Siegeszug der Videokonferenz-Tools, auch Anbieter in Deutschland oder anderen EU-Ländern gibt. Ebenso ist es mit Cloud-Anbietern. Bei anderen Diensten, bspw. Whatsapp, wird es schon schwieriger sein, eine europäische, gleichwertige Alternative zu finden. Und hier liegt die Betonung auf „gleichwertig“. Wir haben schon häufig darauf hingewiesen, dass es aus datenschutzrechtlicher Sicht Sinn macht, auf Messengerdienste wie Signal umzusteigen. Man muss allerdings bedenken, dass diese nicht von so vielen Personen genutzt werden. In jedem Fall ist es aber sinnvoll, sich mit dieser Frage eingehend zu beschäftigen.
4. Verschlüsseln der Daten
Eine weitere Maßnahme könnte sein, dass personenbezogene Daten nur verschlüsselt in die USA übermittelt werden. Damit diese Maßnahme allerdings wirkliche Schutzwirkung entfaltet, ist es wichtig, dass nur der Datenexporteur oder von ihm bestimmte Dritte die Daten entschlüsseln kann. Inwieweit dann noch eine Verarbeitung der übermittelten Daten möglich ist, muss geprüft werden. Außerdem ist sicherzustellen, dass es keine Möglichkeit gibt (für US-Behörden), die Verschlüsselung der Daten zu umgehen und somit Zugriff auf die Daten zu erlangen.
5. Einholen von Einwilligungen
Wer wirklich auf Nummer sicher gehen möchte, der kann sich natürlich auch von den Betroffenen eine Einwilligung dafür einholen, dass personenbezogene Daten an Dienstleister in den USA (oder andere Drittländer) übermittelt werden. Hierbei ist zu beachten, dass Betroffene explizit über jeden Dienst zu informieren sind und was genau die einzelnen Dienstleister mit diesen Daten machen. Nur so kann eine freiwillige, informierte Einwilligung eingeholt werden. Bei manchen Unternehmen, die nur sehr wenige personenbezogene Daten transferieren, kann dieses Vorgehen sinnvoll sein. Für die meisten Verantwortlichen ist das Einholen von Einwilligungen allerdings ein zu immenser Aufwand. Vor allem muss bedacht werden, dass der Betroffene jeder Zeit seine Einwilligung widerrufen können muss. Demnach muss sichergestellt werden, dass ab Zeitpunkt des Widerrufs auch keine personenbezogenen Daten der Betroffenen mehr zur Verarbeitung in ein Drittland übersendet werden dürfen. Die Einwilligung kann allerdings nicht pauschal als Lösung gesehen werden. Je komplexer die Verarbeitungsvorgänge werden, desto schwieriger wird es auch, die Betroffenen vor Einholung der Einwilligung über alle Abläufe genau zu informieren. Wir empfehlen in jedem Fall, im Vorfeld immer eine Risikoabwägung vorzunehmen. Dabei sollte der Grundsatz gelten: Je sensibler die Daten der Betroffenen sind, die in die USA transferiert werden sollen, desto unwahrscheinlicher ist es, dass eine wirksame Einwilligung eingeholt werden kann.
6. Standardvertragsklauseln
Nachdem die Richter des EuGH betont haben, dass das Schrems-II-Urteil keinen Einfluss auf die Standardvertragsklauseln hat, sind diese wohl das Mittel der Wahl, wenn es um die Übertragung personenbezogener Daten in die USA geht. Zumindest auf den ersten Blick. Ganz so simpel ist es nämlich nicht. Auch der Gebrauch von Standardvertragsklauseln kann nicht darüber weg helfen, dass Geheimdienste in den USA umfangreiche Zugriffsrechte auf Daten haben. Diese Tatsache schränkt den wirksamen Gebrauch von Standardvertragsklauseln erheblich ein. Da dieses Thema allerdings so umfangreich und komplex ist, möchten wir hierauf detailliert in unserem nächsten Blog-Beitrag eingehen.
7. Rechtslage im Blick behalten
Es ist unwahrscheinlich, dass die Datentransfer-Situation so, wie sie nach Schrems II ist, bleibt. Sowohl die EU, als auch die USA haben ein Interesse daran, dass weiterhin Daten hin- und her übermittelt werden können. An diesem Vorgehen hängen immerhin im Zuge der Digitalisierung und weltweiten Vernetzung ganze Wirtschaftszweige. Momentan ist aber keine Einigung in Sicht und es kann auch nicht davon ausgegangen werden, dass sich in naher Zukunft ändern wird. Viele Aufsichtsbehörden haben auch schon angekündigt, dass es keine Übergangszeit für Unternehmen geben wird und somit ab sofort durchgegriffen werden wird. Es ist also aller höchste Zeit, dass sich Unternehmen mit diesem Thema befassen und ihre Datenflüsse in die USA oder andere Drittländer datenschutzkonform gestalten.
[…] im Juli 2020 das Privacy Shield gekippt wurde (wir berichteten hier und hier), stellte man Datentransfers in die USA mit einem Schlag vor hohe datenschutzrechtliche […]