Österreich
Secure Your Business
 

Datenübermittlung in die USA:
Standardvertragsklauseln Ja oder Nein?

 

Der EU-US-Privacy Shield ist gefallen: Helfen nun Standardvertragsklauseln oder doch nur ein Wechsel zu EU-Anbietern? Ein Kommentar von Rechtsanwalt Dr. Markus Frank.


CIS-NL Sept 2020 - Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in der Rechtssache zu C-311/18 im Verfahren Data Protection Commissionergegen Facebook Ireland Ltd, Maximilian Schrems, das Schicksal des EU-US-Privacy Shield - bereits bekannt als „Schrems II“ - besiegelt. Die Entscheidung betrifft auch die Gültigkeit der Standardvertragsklauseln. Jeder Übertragung personenbezogener (pb) Daten bedarf eines Zulässigkeitsgrundes - wie jede andere Art der Verarbeitung von pb Daten. Ein Transfer in Drittländer außerhalb von EU und EWR bedarf besonderer Zulässigkeitsvoraussetzungen.
Paragraphen_Rynio-Productions-FotoliaIn der Praxis stützen Unternehmen sich hier vor allem auf Beschlüsse der Europäische Kommission, dass in bestimmten Staaten ein angemessenes Datenschutzniveau gewährleistet ist („Angemessenheitsbeschlüsse“) oder auf die von der Kommission genehmigten „Standardvertragsklauseln“ (Standard Contractual Clauses - SCCs), welche Datenexporteure aus der EU mit Datenimporteuren im Drittstaat abschließen können.

Für die USA hat bisher der Angemessenheitsbeschluss für den „EU-US-Privacy Shield“ gegolten. Unternehmen in den USA, die sich dem EU-US-Privacy Shield unterworfen hatten, galten als Empfänger mit angemessenem Datenschutzniveau. Mit Hilfe des EU-US-Privacy Shield konnten so unzählige Unternehmen in der EU DSGVO-konform pb Daten an US-Unternehmen wie Facebook, Google, Microsoft, Amazon, Zoom, Mailchimp etc. transferieren. Dies wurde von Datenschutzaktivisten in der EU seit Jahren heftig kritisiert. Mit der Entscheidung C-311/18 hat der EuGH den Angemessenheitsbeschluss für den „EU-US-Privacy Shield“ aufgehoben. Ein Datentransfer in die USA auf Basis des „EU-US-Privacy Shield“ ist somit nicht mehr zulässig.

Die EU-Kommission und die US-Regierung haben - trotz Corona-Pandemie - sofort begonnen, einen Ersatz für den EU-US-Privacy Shield zu verhandeln. Nachdem im Oktober 2015 der EuGH den Vorgänger des EU-US-Privacy Shield, das "Safe Harbour"-Abkommen, für ungültig erklärt hatte, haben EU-Kommission und USA 9 Monate benötigt, um sich auf den EU-US-Privacy Shield zu einigen. Damals sind von den Datenschutzbehörden keine schwergewichtigen Überprüfungen der Übermittlungen bekannt geworden, wohl angesichts der riesigen Bedeutung des transatlantischen Datenverkehrs für die gesamte EU und die USA.
 

Achtung: Zugriffsmöglichkeit der US-Behörden
Große US-Unternehmen wie etwa Amazon Web Services (AWS) haben auf die jetzige Aufhebung sofort reagiert und z.B. auf deren Website mitgeteilt, es „können sich unsere Kunden weiterhin auf die Standard-Vertragsklauseln im AWS-Zusatz zur Datenverarbeitung gemäß DSGVO verlassen“.
Zwar hat der EuGH zu C-311/18 tatsächlich die Gültigkeit der von der EU-Kommission genehmigten Standardvertragsklauseln geprüft und grundsätzlich bestätigt. Er hat aber dazu ausgeführt, dass die Aufsichtsbehörden verpflichtet seien, eine auf Standardvertragsklauseln der Kommission gestützte Übermittlung von pb Daten in einen Drittstaat auszusetzen oder zu verbieten, wenn die Behörde der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden (können) und somit der erforderliche Schutz der übermittelten Daten auch mit anderen Mitteln nicht gewährleistet werden kann. Ausdrücklich beachtet werden muss laut EuGH eine etwaige Zugriffsmöglichkeit der Behörden des Drittstaates auf die übertragenen pb Daten.

Die Datenschutzbehörde in Rheinland-Pfalz in Deutschland hat unter Bezug auf die Entscheidung C-311/18 veröffentlicht, dass SCCs für den Transport von pb Daten in die USA keine angemessene Garantie seien, wenn die US-Regierung ohne gerichtliche Entscheidung Zugang zu diesen Daten erhalten kann. Dies gelte hauptsächlich für Telekommunikationsunternehmen in den USA, für welche Sec.702 FISA (Foreign Intelligence Surveillance Act) gilt, aber auch, wenn Daten über Kabel transportiert werden, die sich im Besitz eines solchen US-Unternehmens befinden, und wenn (Cloud-)Dienste solcher US-Unternehmen genutzt werden; und nicht zuletzt auch generell für den Datentransport auf transatlantischen Leitungen. (US Executive Order 12.333).

Unzählige Datentranfers betroffen
Somit ist eine Unzahl von täglichen Datentransfers in die USA betroffen, gleichgültig ob gerade aktuell im Homeoffice Video-Konferenz-Dienste genutzt werden, eine US-basierte Cloud verwendet wird, Daten über einen US-Dienstleister verarbeitet werden, Reisedaten in die USA übermittelt werden, Waren bestellt, Mitarbeiterdaten an die US-Mutter geschickt, Zahlungsdienste in Anspruch genommen, Newsletter versendet, Kurznachrichten gepostet, Analyse-Werkzeuge eingesetzt werden, etc..
Was kann man tun? Eine sichere Alternative ist, von US-Anbietern auf Europäische Anbieter auszuweichen soweit solche vorhanden und ähnliche Leistungen anbieten können. Hier sollteu-flags_istockphoto-ricardoazouryen die Vergleiche sorgfältig geprüft und dokumentiert werden. Auch wenn jetzt kurzfristig ein Wechsel nicht umgesetzt werden kann, könnte die Behörde im Fall einer Datenschutz-Überprüfung zumindest das sorgfältige Bemühen berücksichtigen.

Der EuGH selbst verweist in der Entscheidung zu C-311/18 auf Ausnahmen bei Datenübermittlungen gemäß Art. 49 DSGVO für den Fall, dass weder ein Angemessenheitsbeschluss vorliegt, noch geeignete Garantien im Sinne Art. 46 DSGVO bestehen. Art. 46 bietet neben den Standardvertragsklauseln für konzerninterne Datenübermittlungen Binding Corporate Rules (Art 47), die meist nur für sehr große Unternehmen in Frage kommen, und nicht kurzfristig implementierbar sind. Ebenfalls in Art. 46 angeführte Übermittlungen auf Basis genehmigter Verhaltensregeln (Art. 40) oder eines von der EU-Kommission anerkannten Zertifizierungsmechanismus gemäß Artikel 42 DSGVO sind derzeit mangels Vorhandensein beider Varianten nicht möglich.

Art. 49 eröffnet die Möglichkeit des Datentransfers auf Basis von Einwilligungen. Diese sind in der Praxis selten gültig. Sie müssen der DSGVO entsprechen, also freiwillig, aktiv, klar, zweckgebunden und informiert erfolgen. Zur Information gehören auch die möglichen Risiken für den Betroffenen aus der Datenübermittlung. Die Übermittlung ist weiters gemäß Art. 49 zulässig, um Rechtsansprüche in den USA durchzusetzen oder abzuwehren. Oder, wenn sie für die Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist. Auch wenn der Vertrag mit dem Empfänger im Interesse des Betroffenen geschlossen wurde und diese Übermittlung erforderlich ist, um diesen Vertrag zu erfüllen.
Die Datenschutzbehörde Rheinland-Pfalz zeigt die Möglichkeit auf, SCCs zu ergänzen, um ein Datenschutz-Niveau entsprechend der DSGVO zu erreichen. Die begrenzte Zulässigkeit einer solchen Änderung ist unklar, wie die Behörde selbst anmerkt.

Werden die pb Daten ausreichend anonymisiert, ist die DSVO nicht mehr anzuwenden.
Kann die Zulässigkeit des Datentransfers nicht begründet werden, muss entschieden werden, ob der Transfer unterlassen oder das Risiko von Bußgeldern, Schadenersatz etc. in Kauf genommen wird.
Die Nutzung aller Möglichkeiten für datenschutz-orientierte Gestaltungen, Datenminimierung, Ver-schlüsselung und Pseudonymisierung senken die Strafrisiken. Die Übermittlung sensibler Daten, großer Datenmengen, Daten über viele Betroffene oder Schutzbefohlene wie etwa Kinder, sowie die Dauer und Häufigkeit unzulässiger Übermittlungen erhöhen die Strafrisiken. Eine Verstärkung der technischen und organisatorischen Datenschutzmaßnahmen vor, während und nach der Übermittlung senken das Risiko.


Dieser Artikel kann rechtliche Beratung für Ihren konkreten Fall nicht ersetzen. Jede Haftung in Zusammenhang damit wird ausgeschlossen.
Korrespondenz: RA Dr. Markus Frank, LLM, CIPP/E; office@frank-law.at

 

___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB