Erst Safe Harbour, dann Privacy Shield, doch was kommt jetzt?
Safe Harbour
Dieses Abkommen regelte ab dem Jahr 2000 einige wichtige datenschutzrechtliche Themen. Diese Regelung ermöglichte es Unternehmen mit Sitz in der EU, personenbezogene Daten in Übereinstimmung mit der Europäischen Datenschutzrichtlinie aus der EU in die USA zu übertragen.
Dieses Abkommen wurde jedoch 2015 durch den Europäischen Gerichtshof für nichtig erklärt, da dieses Abkommen als nicht bindend empfunden wurde. Das war das sogenannte Schrems I-Urteil.
Weitere Informationen zum Safe Harbour Abkommen (PDF)
Weitere Informationen zum Schrems I-Urteil (PDF)
Privacy Shield
Daraufhin wurde das Privacy Shield Abkommen ausgearbeitet. In den Grundzügen ist auch das eine informelle Absprache auf dem Gebiet des Datenschutzrechts zwischen der Europäischen Union und der US-amerikanischen Bundesregierung zusammen mit einem Angemessenheitsbeschluss der Europäischen Kommission. Die Europäische Kommission hat anerkannt, dass das Datenschutzniveau des Privacy Shields in etwa den Vorgaben des Datenschutzrechts der Europäischen Union entspricht, worauf der Datentransfer in die USA datenschutzrechtlich wieder möglich war. Dafür mussten sich Unternehmen wieder in eine Liste eintragen und sich verpflichten, die Vorgaben einzuhalten und geeignete Sicherheitsgarantien vorzuhalten, um diese Daten zu schützen. Zusätzlich hat die US-amerikanische Regierung zugesichert, Unternehmen, die sich zur Einhaltung verpflichtet haben, streng zu kontrollierten. Doch auch dieses Abkommen wurde im Juli 2020 gekippt, mit der Begründung, das es keine ausreichende Garantie für den Schutz personenbezogener Daten von EU-Bürgern gewährleistet.
Weitere Informationen zum Privacy Shield Abkommen
Weitere Informationen zum Schrems II-Urteil
Das Grundproblem
Das Grundproblem steckt tief in der amerikanischen Verfassung. Die Verfassung garantiert der Regierung Zugriff auf die Daten jedes amerikanischen Unternehmens. Zwar war das Privacy Shield Abkommen bindender als Safe Harbour, jedoch steht in der Vereinbarung festgeschrieben, dass amerikanisches Recht über dieser Vereinbarung steht. Damit sind personenbezogene Daten der EU-Bürger weiterhin nicht davor geschützt, von der US-Regierung abgefangen zu werden, oder von den Unternehmen weitergegeben zu werden. Die USA haben eine klare Überwachungskultur aufgrund der Verfassung sowie weiteren Gesetzen wie dem Foreign Intelligence Surveillance Act (FISA), der das FBI und die NSA zur Einsichtnahme berechtigt, ohne dass ein Betroffener in irgendeiner Form dagegen vorgehen kann. Das steht klar im Gegensatz zu dem, was die EU-DSGVO fordert, nämlich den Schutz personenbezogener Daten und die Wahrung des informationellen Selbstbestimmungsrechts.
Weitere Informationen zur Problematik mit Datenübertragungen in die USA
Weitere Informationen zum Foreign Inteligence Surveillance Act
Bedeutet das nun das „Aus“ für Datenübertragungen in die USA?
Wie sollen Unternehmen nun reagieren die Daten in die USA exportieren?
Viele Unternehmen nutzen Dienstleister aus den USA in den verschiedensten Branchen und zu den verschiedensten Zwecken. Gerade im IT- und Mediensektor ist die USA ganz großer Serviceanbieter. Ob es um die Einbindung von Video Plattformen auf der Webseite geht, die Nutzung von Videokonferenzsystemen, gerade jetzt während der Corona Pandemie oder einfach die Nutzung von Cloud Software haben europäische Unternehmen viele Schnittstellen, die zu Datenübertragungen in die USA führen können. Diese sollten jetzt mehr denn je darauf überprüft werden um zu erkennen, an welchen Stellen man nachfassen und kontrollieren muss.
Umstellung auf Europäische Dienste
Der sicherste Weg dürfte der aufwändigste sein. Wenn die vormals amerikanischen Dienste durch jene ersetzt werden, die durch ein europäisches Unternehmen angeboten werden und die Daten in europäischen Rechenzentren verarbeitet werden, haben die Aufsichtsbehörden kein Grund einzuschreiten. Vorausgesetzt, alle Parteien halten sich an die Vorgaben der EU-DSGVO. Dafür müssen die Unternehmen jedoch erst analysieren, wo diese Schnittstellen sind und sich dann auf die Suche nach einem europäischen Äquivalent begeben. Diese Suche kann auch mit dem Ergebnis enden, dass ein vergleichbarer Dienst in Europa nicht zur Verfügung steht. Daher sind auch viele US-Großkonzerne dazu übergegangen, separate Rechenzentren in Europa vorzuhalten mit einer separaten Europäischen Gesellschaft, oder ihren Sitz in die EU zu verlegen. Damit können Sie Ihre Dienste dem Europäischen Markt wieder zur Verfügung stellen, ohne dass die Kunden in Konflikt mit dem Datenschutzgesetz kommen. Dies haben Google, Microsoft und einige weitere bereits vorgemacht. Wichtig ist hierbei, das der Datenfluss an einen ggf. vorhandenen amerikanischen Mutterkonzern unterbunden wird. Aktuell gibt es dazu zwischen dem Aktivisten Schrems, der irischen Aufsichtsbehörde für Datenschutz und Datensicherheit und dem Facebook Konzern starke Streitigkeiten über Datenübertragungen zwischen Facebook Irland und dem Mutterkonzern.
Angemessenheitsbeschluss der Europäischen Kommission
Eine weitere Möglichkeit, die Datenübertragung in ein sogenanntes unsicheres Drittland zu legitimieren, sind Angemessenheitsbeschlüsse der Europäischen Kommission. Auf diese Angemessenheitsbeschlüsse kann man sich nach Artikel 45 DSGVO berufen. Dieser Artikel sagt aus, dass dieses Drittland einen geeignet hohen Datenschutzstandard von seinen Unternehmen und Behörden verlangt. Wenn dieser den Anforderungen der DSGVO in etwa entspricht, so gibt die Europäische Kommission dafür einen Angemessenheitsbeschluss heraus und einer Datenübertragung steht nichts im Wege.
Diese Beschlüsse gibt es aktuell für:
- Andorra
- Argentinien
- Kanada
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
Eine Auftragsverarbeitung oder sonstige Rahmenwerke, sind bei der Verarbeitung personenbezogener Daten trotzdem weiterhin relevant.
Weitere Informationen zu Artikel 45 DSGVO
Weitere Informationen zu Angemessenheitsbeschlüssen
EU-Standard Vertragsklauseln
Im Laufe der Einführung und Umsetzung der DSGVO hatte das Thema der EU-Standardvertragsklauseln nicht die Aufmerksamkeit bekommen wie in den vergangenen Wochen, nachdem das Privacy Shield Abkommen für unwirksam erklärt wurde. Wie im vorigen Absatz zu erkennen, gibt es für die USA keinen Angemessenheitsbeschluss der Europäischen Kommission, der eine Datenübertragung absichert. Als Erweiterung für die bereits bekannten Auftragsverarbeitungsverträge – sollte es sich um eine solche handeln – oder als Ergänzung eines Dienstleistungsvertrages stellt die Europäische Kommission die EU-Standard Vertragsklauseln zur Verfügung. Diese ergänzenden Vertragsdokumente sollen das Unternehmen dazu verpflichten, sich an die Standards des Datenschutzes, die durch die DSGVO vorgegeben werden, zu halten. Die Verwendung von Standarddatenschutzklauseln stellt gerade für kleinere und mittlere Unternehmen ein einfach zu handhabendes Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer dar.
Es ist zwar möglich, die Standarddatenschutzklauseln auch in umfangreichere Vertragswerke einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden.
Vorlagen wie diese Standard Datenschutzklauseln aussehen können, mit einer ausführlichen Beschreibung stellt die Europäische Kommission ebenfalls zur Verfügung:
Set 1 Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer
Deutsch – Englisch
Set 2 Alternativen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer
Deutsch – Englisch
Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern
Deutsch – Englisch
Weitere Informationen zu den EU-Standardvertragsklauseln
Zusätzliche Einzelfallprüfung
Die Standardvertragsklauseln stellen aufgrund der gesetzlichen Lage in den USA kein ausreichendes Datenschutzniveau für eine unbedenkliche Datenübermittlung fest. Daher müssen Unternehmen jeden einzelnen Übertragungsfall prüfen und sicherstellen, dass die Datenübertragungen unkritischer Natur sind oder sich Alternativen überlegen, bei denen keine Datenübermittlung stattfindet. Zum Beispiel kann dem Dienstleister Zugang auf Systeme gewährleistet werden, die in Europa betrieben werden, sofern kein Datenabfluss möglich ist. Damit könnte ein höherer Schutz für die Daten gewährleistet werden.
Bin ich damit vor Bußgeldern sicher?
Eine hundertprozentige Sicherheit kann an dieser Stelle aufgrund der amerikanischen Gesetzeslage nicht ausgesprochen werden, da die Übermittlung an FBI und NASA nicht ausgeschlossen werden kann. Es wird also ein Restrisiko bleiben, wenn man weiterhin auf Dienstleister aus der USA zurückgreifen möchte.
Wie geht es weiter?
Sicherlich werden die US-amerikanische Regierung und die Europäische Kommission ein Nachfolgermodell für Privacy Shield auf den Weg bringen. Doch bis das ausgearbeitet und verabschiedet ist, werden sicherlich noch einige Monate ins Land gehen. Bis dahin sollten die Dienstleister auf die Standardvertragsklauseln umgestellt werden. Denn inwieweit das neue Abkommen die strittigen Überwachungspunkte abdecken kann, ist noch unklar.