Rechtssicherer Datentransfer in die USA – Das ist zu beachten.

Rechtssicherer Datentransfer in die USA – Das ist zu beachten.

Hintergrund

Mit der Datenschutz-Grundverordnung (DSGVO) haben wir in der ganzen Europäischen Union ein hohes Datenschutzniveau erreicht, mit welchem nicht alle Länder der Erde mithalten können. Die DSGVO selbst zeigt - wenn auch nicht einfache - Wege auf, wie man den Datentransfer in Drittländer dennoch europarechtskonform und datenschutzkonform gestalten kann. Diese sollten die Unternehmen beschreiten. Denn auch Verstöße gegen diese Vorschriften sind mit empfindlichen Bußgeldern bewährt.

Bei einer Datenübermittlung in ein Drittland müssen die spezifischen Anforderungen an die Übermittlung in Drittländer beachtet werden. Hierfür sieht die DSGVO folgende rechtliche Möglichkeiten für eine zulässige Datenübermittlung in Drittländer vor:

• Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch Beschluss der EU-Kommission,
• Vorliegen geeigneter Garantien: wie verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standardvertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln, ein genehmigter Zertifizierungsmechanismus oder einzeln ausgehandelte und von der Aufsichtsbehörde genehmigte Vertragsklauseln,
• Ausnahmetatbestände nach Art. 49 DS-GVO (wie z.B. Einwilligung oder Übermittlung zur Vertragserfüllung u.a.).

Historie und Problemaufriss

Bezüglich der USA galt zunächst gemäß Beschluss der europäischen Kommission das sogenannte Safe Harbor-Abkommen. Mit Urteil vom 06.10.2015 hatte der EuGH diesen Beschluss aufgehoben und damit das Safe Harbor-Abkommen außer Kraft gesetzt. Als Nachfolgevereinbarung wurde das EU-U.S. Privacy-Shield-Abkommen auf Grundlage des Beschlusses der EU-Kommission vom 12.7.2016 ins Leben gerufen. US-Unternehmen konnten diesem Abkommen beitreten und damit sich ihrerseits verpflichten, das Datenschutzniveau des Abkommens einzuhalten, welches demjenigen der DSGVO entsprechen sollte. Damit sollte auf einfachem Wege eine Möglichkeit geschaffen werden, transnational und in Bezug auf die USA Daten zu übermitteln.

Mit der Entscheidung hatte der EuGH  auch das EU-US-Privacy Shield-Abkommen für ungültig erklärt.

Der EuGH hat zudem festgestellt, dass im Falle von Datentransfers ein solches Schutzniveau gewährleistet sein muss, wie es die DSGVO und die EU-Grundrechte-Charta europäischen Bürgern garantiert. Um das zu beurteilen, zieht der EuGH die Vertragsbeziehungen zwischen denjenigen, die die Daten weitergeben und denjenigen, die die Daten empfangen, heran.

Hierzu konnten bisher von der EU-Kommission genehmigte Standardvertragsklauseln verwendet werden. Nur in den Fällen, in denen die in den Standardvertragsklauseln enthaltenen Garantien nicht eingehalten werden können, dürfen diese Standardvertragsklauseln nicht mehr als Grundlage für Datenübermittlungen dienen.

Die Sicherheitsgesetze in den USA, wie der Foreign Intelligence Surveillance Act (FISA) 702, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, Zugriff auf personenbezogene Daten zu nehmen, hat Auswirkungen auf Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege Zugriff auf die Daten erhalten. Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann.

Kann vor diesem Hintergrund also das geforderte Schutzniveau nicht positiv festgestellt werden, müssten Unternehmen dann als letzte Konsequenz den Datenexport einstellen oder aber den Vertrag kündigen. Mit der  Entscheidung ist die Datenweitergabe an Empfänger in den USA Jedenfalls nicht einfacher geworden.

Handlungsempfehlungen 

Zur Risikominimierung empfehlen wir aktuell folgende Maßnahmen:

Identifikation des Datentransfers und Überprüfung des Schutzniveaus im Einzelfall

Sie sollten prüfen,

• wie die konkreten Datenflüsse verlaufen und diese analysieren (Data-Mapping),
• welche Verträge Sie hierzu mit Ihren Dienstleistern in Drittländern wie den USA geschlossen haben,
• ob in den Verträgen die von der EU-Kommission genehmigte Standardvertragsklauseln verwendet worden sind,
• welche Gesetze des Drittlandes jeweils Anwendung finden (Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.),
• ob der Datenimporteur die Regelungen der Standardvertragsklauseln auch tatsächlich einhalten kann, oder ob ggf. die nationalen Gesetze die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen.

Prüfung anderer Transferinstrumente 

Kommt danach die Verwendung von Standardvertragsklauseln mit gleichzeitigem angemessenem Schutzniveau nicht in Betracht, muss geprüft werden, welches andere Transferinstrument des Kapitel V DSGVO für die Datenübermittlungen in Betracht kommt oder ob ggf. ein Ausnahmetatbestand des Art. 49 DSGVO greift wie z.B.

• Einwilligung des von der Datenverarbeitung Betroffenen,
• Vertragserfüllung,
• Binding Corporate Rules.

Aussetzung der Datenübermittlung

Wenn es nun dennoch keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen das Datenschutzrecht (Art. 44f DSGVO) vorliegt. Eventuell wäre auch zur prüfen, ob die Möglichkeit besteht, auf Anbieter der gleichen Dienstleistungen in der EU bzw. dem EWR auszuweichen.

Bitte sprechen Sie uns an. Wie unterstützen Sie bei der Analyse und beraten Sie hinsichtlich der zu treffenden Maßnahmen.

Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.                  

Sie können mir folgen auf: Xing oder LinkedIn