Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Nach dem Urteil des EUGH, in dem die Datenübermittlung in die USA auf Grundlage des Privacy-Shield für ungültig erklärt wurde, dem sog. „Schrems II-Urteil“, herrscht in vielen Unternehmen noch immer große Unsicherheit, ob ein Transfer von personenbezogenen Daten in die USA überhaupt noch möglich sind. Die bayerische Aufsichtsbehörde (BayLDA) hat einige konkrete Fragen dazu beantwortet, die vielen Unternehmen weiterhelfen können. Sie finden diese Positionierung in diesem Artikel.
BayLDA: Nicht relevant, ob „wenige“ und „unsensible“ Daten übermittelt werden
Die bayerische Aufsichtsbehörde hatte sich mit der Frage zu beschäftigen, ob eine Übermittlung von personenbezogenen Daten in die USA ausschließlich auf Grundlage der „berechtigten Interessen“ des exportierenden Unternehmens in Ordnung sei, wenn lediglich die Firmenmailadresse und der Name einiger weniger Mitarbeiter an einen Anbieter in den USA übermittelt würden. Hierzu bezog das BayLDA wie folgt Stellung: „Berechtigtes Interesse“ ist ja eine Rechtsgrundlage im Sinne von Art. 6 DSGVO. Diese entbindet aber nicht davon, für die Übermittlung zusätzlich eine der Grundlagen im Sinne von Art. 44 bis 49 DSGVO zum Einsatz zu bringen. Daher kommt es in erster Linie überhaupt nicht darauf an, was für personenbezogene Daten übermittelt werden.
BayLDA: Beim Anbieter nachfragen und ggf. Datenexport einstellen
Des Weiteren antwortete das BayLDA auf die Frage, wie Unternehmen konkret vorgehen sollen, um die rechtskonforme Verarbeitung von personenbezogenen Daten in den USA bei bestehenden Auftragsverarbeitern zu überprüfen. Hier bezog das BayLDA wie folgt Stellung: Wir empfehlen den Datenexporteuren, zunächst auf den US-Dienstleister zuzugehen und zu fragen, inwieweit dieser Datenzugriffen durch US-Behörden unterliegt – also insb. nach welchen Gesetzen und für welche Daten – , und inwiefern es bereits in der Vergangenheit Zugriffe gab. Anschließend muss der Datenexporteur bewerten, ob dies den Anforderungen des EuGH an ein „mit der EU gleichwertiges Datenschutzniveau genügt. Der Exporteur sollte unseres Erachtens auch gezielt fragen, ob der US-Dienstleister unter FISA Sect. 702 fällt und ob ihm bekannt ist, ob US-Nachrichtendienste auf Daten, die an ihn übermittelt werden oder bei ihm verarbeitet werden, auf Grundlage von Executive Order 12.333 zugreifen. Ist das der Fall, muss der Exporteur prüfen, ob er durch „zusätzliche Maßnahmen“ solche Zugriffe ausschließen kann. Auch diesbezüglich sollte er den US-Dienstleister fragen, ob dieser evtl. selbst durch solche Maßnahmen die Zugriffe unterbinden bzw. unmöglich machen kann. Zu prüfen ist hier insb., ob Verschlüsselung und/oder Pseudonymisierung eine Lösung sein können. Gelingt ein Ausschluss der Zugriffe nicht, muss der Datenexporteur die Übermittlung beenden. Der EDSA (Europäischer Datenschutzausschuss) wird noch im Herbst nähere Hinweise dazu geben, welche „zusätzlichen Maßnahmen“ evtl. denkbar sind. Der Ausgang dieser Analyse durch den EDSA ist derzeit völlig offen.
Fazit: Datenübertragung in die USA gut überprüfen
Die Zusammenarbeit mit Dienstleistern aus der USA bleibt aus datenschutzrechtlichen Gesichtspunkten also höchst kritisch, da wohl die wenigsten Dienstleister die entsprechenden zusätzlichen Maßnahmen oder Garantien für einen Ausschluss des Zugriffs durch die US-Nachrichtendienste werden geben können.
Kein Kommentar