Das „privacy shield“ ist zerbrochen – Kann der Datentransfer in die USA noch abgesichert werden?

von (Kommentare: 0)

Was sagte der EuGH eigentlich?

Es war schon in aller Munde und auch in den großen Zeitungen zu lesen – der Gerichtshof der Europäischen Union (EuGH) hat den Angemessenheitsbeschluss der EU Kommission bezüglich des Datentransfers in die USA für ungültig erklärt. Dieser Angemessenheitsbeschluss besagte, dass in den USA ein der EU gleichwertiges Datenschutzniveau garantiert werden kann – zumindest falls der Empfänger der Daten unter dem "EU-US privacy shield" zertifiziert ist. Als Folge eines solchen Angemessenheitsbeschlusses musste der Datentransfer zu einem privacy shield zertifizierten Unternehmen nicht mehr anderweitig abgesichert, sondern konnte fast genauso wie der Datentransfer innerhalb der EU behandelt werden.

Der EuGH stellte nun fest, dass die in den USA geltenden Gesetze, und dabei spezifisch die Gesetze, die den Sicherheitsbehörden Zugriffe auf Daten erlauben, es unmöglich machen, den USA ein angemessenes Datenschutzniveau zu attestieren. Diese Zugriffsrechte erscheinen dem Gericht nämlich nicht durch Grundsätze wie der Verhältnismäßigkeit beschränkt, und betroffene Personen haben nämlich (zumindest, wenn sie keine US-Bürger sind) auch keine Möglichkeit, einen solchen Zugriff zu stoppen oder für die Zukunft zu unterbinden.

Und die Konsequenzen?

Die Tatsache, dass der Angemessenheitsbeschluss seit dem 16.07.2020 nun nicht mehr gilt, heißt formell erstmal nur, dass Datentransfers anders abgesichert werden müssen.

Zuerst gilt es aber zu erfassen, welche Datentransfers in die USA überhaupt geschehen. Solche Übertragungen können sehr unterschiedlich aussehen. Sie liegen nicht nur vor, wenn ein Unternehmen selbst Daten in die USA verschickt, etwa per Mail. Datentransfers finden häufig im Hintergrund statt, z. B. bei vielen Video-Konferenz-Anwendungen, die über US-Server laufen, Smartphones, die Nutzungsdaten in den USA speichern oder Microsoft und Apple, die Fehlermeldungen in den USA sammeln und auswerten. Auch fast alle Sozialen Medien (Facebook, Twitter, Instagram etc.) „laufen“ auf Servern in den USA und gleichen Ihre Eingaben laufend dort ab. All diese Vorgänge müssen nun neu betrachtet und bewertet werden - um sie dann DSGVO-konform abzusichern.

Standardvertragsklauseln bleiben bestehen - heißt, sie können genutzt werden?

Hierzu gibt es noch eine Reihe anderer Möglichkeiten, wovon der Abschluss von Standardverträgen nach den EU-Standardvertragsklauseln der Weg ist, der am häufigsten gewählt wird.

An dieser Stelle hat es das Urteil des EuGHs in sich: obwohl es die Standardvertragsklauseln ausdrücklich validiert, macht es deutlich, dass die Nutzung solcher Verträge an weitere Bedingungen geknüpft ist. Namentlich müssen Datenexporteur (in der EU) und Datenimporteur (hier in den USA) deutlich machen, dass in Bezug auf den spezifischen Datentransfer tatsächlich ein dem in der EU gleichwertiges Datenschutzniveau gelten wird. Hier muss explizit garantiert werden, dass auch die Gesetze im Importland dem nicht im Wege stehen. Für den Fall hier dürften also die US-Gesetze dem Datenschutz der EU-Bürger nicht im Wege stehen – wobei das Gericht ja genau festgestellt hat, dass einige Gesetze in den USA ein Datenschutz-Problem sind.

Da das Gericht nun festgestellt hat, dass diese US-Gesetze ein Problem für den Datenschutz darstellen, können Standardverträge nur benutzt werden, wenn garantiert werden kann, dass diese Gesetze nicht gelten. Praktisch könnte dies für den Transfer von Papierakten eine Möglichkeit sein. Für den Transfer von elektronischen Daten scheint es aber sehr unwahrscheinlich, dass eine solche Garantie gelingen kann.

Andere, weniger bekannte, Möglichkeiten der Absicherung (etwa die verbindlichen internen Datenschutzvorschriften nach Art. 47 DSGVO) stehen vor dem gleichen Problem - denn alle basieren darauf, dass die Gesetze des Empfängerlandes nicht den Datenschutz nach europäischem Verständnis verhindern.

Und einfach so Daten in die USA schicken?

Es gibt nur wenige Möglichkeiten, den Datentransfer zu einem Empfänger außerhalb der EU, ohne eine Absicherung, legal durchzuführen. In manchen Fällen gibt es gesetzliche Vorschriften, die hier greifen können, und auch die unmittelbare Gefahr für Leib und Leben eines Menschen kann ein solcher Grund sein. Weitaus interessanter ist es aber, dass eine Übermittlung ohne Absicherung laut DSGVO auch mit ausdrücklicher Einwilligung der Betroffenen durchgeführt werden kann.

Oder mit Einwilligung?

Die Europäische Datenschutzaufsicht (EDSA) geht davon aus, dass diese Einwilligung nur in Einzelfällen genutzt werden kann. Allerdings ist die Nutzung von Einwilligungen als Rechtsgrundlage immer aufwändig - und hier u. U. besonders komplex (der EDSA sagt, dass die Bedingungen für Einwilligungen hier strikter sind als sonst).

Diese Bedingungen haben es in der Tat - allerdings auch in „normalen Fällen“ schon - in sich. So muss jede Einwilligung spezifisch sein – sich also ausdrücklich auf den Datentransfer in die USA beziehen, und darauf, dass die USA kein sicheres Drittland darstellen. Die Einwilligung muss, nach Meinung des EDSA, ausdrücklich auf die auftretenden Risiken hinweisen. Jede Einwilligung muss nachweisbar sein – Sie müssen diese also dokumentieren. Dazu muss jede Einwilligung widerrufbar sein – es muss also möglich sein, dem Benutzer den Transfer von Daten in die USA jederzeit zu unterbrechen. Schließlich muss jede Einwilligung freiwillig sein – sie darf nicht an andere Dienstleistungen oder Einwilligungen geknüpft sein, und die Verweigerung darf für die betroffene Person keine nachteiligen Folgen haben.

Aus dieser Aufzählung wird deutlich, dass eine solche Einwilligung in vielen Fällen nicht durchführbar sein wird.

Und jetzt?

Wir sind gerade dabei, mit unseren Kunden die Datentransfer in die USA zu sichten und einzuordnen. Die dafür notwendigen Informationen sollten größtenteils im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO enthalten sein.

Sodann gilt es zu kategorisieren, welche Verarbeitungstätigkeiten gestoppt werden können, bei welchen Vertragsänderungen den Datentransfer abschalten (etwa in dem eine EU-only Lösung gekauft wird), und bei welchen Verarbeitungsvorgängen der Dialog mit dem Dienstleister notwendig ist. In diesem Dialog wird dann geschaut, ob es möglich ist, die Datenverarbeitung dem Anwendungsbereich der US-Gesetze, die das EuGH beanstandet zu entziehen - hierfür hat noyb eine gute Hilfestellung veröffentlicht.

In manchen Fällen wird auch das Ausweichen auf spezifische Rechtsgrundlagen (etwa durch das Einholen der Einwilligung oder den Abschluss eines Vertrages) möglich sein.

Die EDSA empfiehlt, Datentransfer, für die es keine derartige Lösung gibt, mit den Datenschutzbehörden zu besprechen – insofern hoffen wir hier auf Orientierungshilfen für die Lösungen, die allgemein gebräuchlich sind.

Die dacuro hilft Ihnen gerne

Sollten Sie Fragen dazu haben, ob einer Ihrer Datenverarbeitungsvorgänge jetzt angepasst werden muss, oder Hilfe dabei brauchen, eine Übersicht über Ihre Datentransfers in die USA zu bekommen, so sprechen Sie uns an. Wir sind Ihnen gerne behilflich.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 1 und 4.