Mit seinem Urteil vom 16. Juli 2020 hatte der Europäische Gerichtshof EuGH (Urteil C-311/18 Schrems II) das sogenannte „Privacy Shield“, den Angemessenheitsbeschluss der EU- Kommission für die Datenübermittlung in die USA, für ungültig erklärt.

Somit wurde bis Dezember 2022 ein Datentransfer in die USA mittels EU-Standardvertragsklauseln umgesetzt. Jedoch waren die Aufsichtsbehörden bereits zu Beginn der Ansicht, dass die EU-Standardvertragsklauseln aufgrund des Schrems II Urteils nicht für die Datenübermittlung ausreichend sind, und verlangten zusätzliche Datensicherheitsmaßnahmen.

Erweiterte Schutzmaßnahmen, die von der Aufsichtsbehörde vorgeschlagen wurden, sind:

• Verschlüsselung der Daten:
  Im Zuge der Verschlüsselung sollte ausschließlich der Datenexporteur den Schlüssel zur Entschlüsselung der Daten haben, sodass ein Zugriff von US-Diensten nicht erfolgen kann,
  
  oder
  
  
• Die Anonymisierung aller personenbezogenen Daten, sodass ebenfalls kein Zugriff möglich ist.

Mit dem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 hat die EU-Kommission neue EU-Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in die USA und andere Drittländer beschlossen. Ab 27. Dezember 2022 wurden diese als neue Rechtsgrundlage für den Datentransfer in die USA genutzt und haben die alten (Beschluss 2010/87/EU) ersetzt. Jedoch waren auch in diesem Fall die Aufsichtsbehörden der Auffassung, dass für den US-Datentransfer ein Schutzniveau sichergestellt sein muss, dass dem in der Europäischen Union entspricht. Angelehnt an die EU-Grundrechte-Charta fordert der Art. 46 Abs. 1 DSGVO im Falle einer Datenübermittlung geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, sowie durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen. Wird ein angemessenes Schutzniveau nicht sichergestellt, war die Datenübermittlung auszusetzen oder konnte seitens der Behörden sogar verboten werden.

Dies bedeutet, dass nicht nur die vertraglichen Beziehungen zwischen dem Datenexporteur und dem Datenimporteur betrachtet werden müssen, sondern auch die Zugriffsmöglichkeit auf die Daten durch Behörden o. ä. und das vorliegende Rechtssystem des Drittlandes berücksichtigt werden muss. Und genau hier liegt die Herausforderung beim Datentransfer in die USA. Denn das Rechtssystem der USA erlaubt z. B. über den CLOUD Act den Zugriff auf gespeicherte Daten, selbst wenn die Speicherung nicht in den USA erfolgt. Die EU-Standardvertragsklauseln geben in den Klauseln Nr. 14 und 15 vor, dass der Datenexporteur im Falle einer Drittlandsübermittlung verpflichtet ist, eine TIA (Transfer Impact Assessment) durchzuführen. Mit Hilfe der TIA wird mittels Einzelfallbetrachtung eine Analyse des Sicherheitsniveaus des jeweiligen Drittlandes durchgeführt.

Neuer Angemessenheitsbeschluss

Am 10.07.2023 trat der neue Angemessenheitsbeschluss (EU-US Data Privacy Framework) in Kraft. Mit diesem liegt erneut eine gültige Rechtsgrundlage für den Datentransfer in die USA vor. Eine Datenübermittlung für gewerbliche Zwecke und in die USA und auch in großen Mengen ist derzeit wieder erlaubt.

Hierbei ist seitens der europäischen und natürlich auch deutschen Unternehmen zu beachten, dass eine Übermittlung in die USA nur möglich ist, sofern das US-Unternehmen, an das die Daten übermittelt werden sollen, beim U.S. Department of Commerce zertifiziert ist. Die Zertifizierung lässt sich über eine entsprechende Liste prüfen. Ausschließlich für die zertifizierten US-Unternehmen gilt der neue Angemessenheitsbeschluss. Dazu muss vor der Datenübermittlung überprüft werden, auf welche Art von Daten sich die Zertifizierung bezieht (HR-Daten oder non-HR-Daten).

Ist ein Unternehmen nicht entsprechend zertifiziert, erfordert die Datenübermittlung weiterhin zusätzliche Schutzmaßnahmen und es sind EU-Standardvertragsklauseln abzuschließen und eine TIA durchzuführen. Unabhängig von der Zertifizierung ist Vorsicht geboten, sobald ein Transfer von sensiblen personenbezogenen Daten erfolgen soll.

Nach derzeitiger Sicht der EU-Kommission, vertritt diese die Ansicht, dass die zertifizierten Unternehmen der Vereinigten Staaten über ein angemessenes Schutzniveau (vergleichbar mit dem der Europäischen Union) verfügen.  Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übertragen werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Das neue Datenschutzrahmenwerk führt weitere verbindliche Garantien ein und versucht, die vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen. Hierunter fällt wohl auch eine Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten, die auf das Notwendige und Verhältnismäßige beschränkt worden ist, sowie die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court, DPRC), auf das sich EU-Bürger berufen können. Das neue Rahmenwerk stellt eine Verbesserung im Gegensatz zum Safe Harbor Abkommen und Privacy Shield dar.

Für Unternehmen bleibt zu hoffen, dass der neue Angemessenheitsbeschluss eine dauerhafte Lösung darstellt und Sicherheit verschafft. Jedoch ist bereits jetzt bekannt, dass die Auslegung der Begriffe „Notwendig“ und „verhältnismäßig“ hinsichtlich der Einsichtnahme in EU-Daten seitens der US-Behörden und Geheimdienste eine andere ist, als der EuGH diese sieht. Dies bedeutet, dass davon auszugehen ist, dass der Datentransfer in die USA wohl erneut seitens des Europäischen Gerichtshofes geprüft werden wird und der vorliegende Angemessenheitsbeschluss novelliert bzw. erneut gekippt wird. Die Vorbereitungen hierzu sind bereits in vollem Gange.

Nutzung von Microsoft 365

Der Datentransfer in die USA war u. A. einer der Gründe, weshalb die Konferenz der unabhängigen Datenschutzbehörden (Datenschutzkonferenz) im Juli 2020 beschloss, dass ein datenschutzkonformer Einsatz von MS 365 nicht möglich ist. Dies hatte für viele Unternehmen zur Folge, dass sie entweder auf alternative Produkte zurückgreifen mussten oder die Nutzung von MS 365 weitestgehend datenschutzkonform gestalten mussten. Die Umsetzung erfolgte über

• eine Minimierung des Risikos mittels datenschutzkonformer Einstellungen im Backend von MS 365 und
• der Durchführung einer Datenschutzfolgenabschätzung (DSFA), sowie
• dem Verzicht der Nutzung von MS 365 bei der Verarbeitung von Daten, die unter den Art. 9 bzw. Art. 10 DSGVO fallen.

Der neue Angemessenheitsbeschluss regelt von nun an den Datentransfer in die USA und eine Übermittlung ist ohne Zusatzmaßnahmen gem. Art. 46 DSGVO möglich. Somit ist beim Einsatz von MS 365 ausschließlich eine Risikoanalyse erforderlich, jedoch keine Datenschutzfolgenabschätzung mehr.

Um dem Datenschutz generell Rechnung zu tragen, sollte seitens der Unternehmen nicht auf datenschutzkonforme Einstellungen verzichtet werden. Sollen sensible personenbezogene Daten über MS 365 verarbeitet werden, ist eine Prüfung erforderlich und der Datenschutzbeauftragte einzubinden. Eine DSFA kann ebenfalls erforderlich sein, wenn die mit MS 365 verbundene Datenverarbeitung aufgrund der Art, des Umfangs und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Einsatz von US-Diensten auf Webseiten

Faktisch ändert sich hier wenig. Falls Sie dachten, eine Einwilligung wäre beim Einsatz von US-Tools wie Google Analytics, YouTube & Co. aufgrund des Angemessenheitsbeschlusses jetzt überflüssig, müssen wir Sie enttäuschen.

Der Angemessenheitsbeschluss regelt ausschließlich den Datentransfer in die USA, nicht den Einsatz der Dienste. Hier muss sich auch weiterhin an den § 25 Abs. 1 TTDSG gehalten werden, der besagt:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Dies bedeutet im Klartext: jegliche Dienste, die auf Ihrer Webseite zum Einsatz kommen und Informationen auslesen oder speichern und somit nicht für den Betrieb der Webseite technisch erforderlich sind, können nur mit (proaktiver) Einwilligung zum Einsatz kommen. Die Einwilligung muss gemäß DSGVO erfolgen. Obwohl in Art. 7 DSGVO auf die Formerfordernisse der Einwilligung eingegangen werden, nennt auch das TTDSG nochmals explizit die wichtigsten Grundlagen, wie die Information hinsichtlich der Einwilligung zu erfolgen hat: klar und umfassend.

Fazit

Der neue Angemessenheitsbeschluss gibt EU-Unternehmen die Möglichkeit, aufzuatmen und den Datentransfer, ohne zusätzliche Garantien, an zertifizierte US-Unternehmen durchzuführen. Für die meisten US-Übermittlungen ist künftig wieder ein klassischer Vertrag zur Auftragsverarbeitung (AV-Vertrag) ausreichend. Dies beendet den datenschutzrechtlichen Schwebezustand und erleichtert den unternehmerischen Arbeitsalltag ungemein. So ist auch der Einsatz von MS 365 jetzt in den meisten Fällen unkompliziert möglich. Wie lange der Beschluss jedoch standhalten wird, bleibt offen.

Sollten Sie sich nicht sicher sein, ob Sie zusätzliche Maßnahmen im Zuge eines Datentransfers in die USA treffen müssen, sprechen Sie uns an. Gerne beraten wir Sie und unterstützen Sie, sollten weitere Garantien erforderlich sein. Wir prüfen, neben der allgemeinen Datenschutzkonformität, auch die Einbindung von externen Diensten auf Ihrer Webseite und teilen Ihnen mit, was angepasst werden sollte.