Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

Datentransfer in die USA

Wie geht es nach dem EuGH - Urteil (Schrems II) weiter? Ein neues Abkommen (3.) kommt. 2023?

21. April 2022

Update 21.04.2022

2023?

Die Berichterstattung über die Pressekonferenz von Ursula von der Leyen und Joe Biden und die Pressekonferenz vom 25.03.2022 selbst waren und sind nicht valide. Tatsächlich gibt es noch keinen Abschluss eines Abkommens und er wird auch nicht zeitnah erfolgen (anders aber die Suggestion vom 25.03.2022).

Executive Orders (Verwaltungsvorschriften des US-Präsidenten Joe Biden) sollen die bisherige Rechtslage (unangemessenes Datenschutzniveau in den USA) ändern. Erst danach kann die EU-Kommission eine Angemessenheitsprüfung des Datenschutzniveaus in den USA durchführen. Es gibt derzeit noch keinen Entwurf für einen Angemessenheitsbeschluss. Die Erklärung zum Trans-Atlantic Privacy Framework ist derzeit „nur“ als Absichtserklärung zu bewerten (siehe Factsheet der Europäischen Kommission aus dem März 2022 Trans-Atlantic_Data_Privacy_Framework.pdf).  Anfang 2023 erscheint aus optimistischer Sicht als wahrscheinlicher Zeitraum für einen Angemessenheitsbeschluss der EU – Kommission.

Die Rechtslage für den Datentransfer in die USA bleibt daher doch noch eine Weile angespannt.

Lösungen sind derzeit:

 

************************************************************************

Update 29.03.2022

Neues Datenschutzabkommen „Trans-Atlantic Data Privacy Framework„(TADPF) zwischen der EU und USA im Grundsatz „vereinbart“

Nachdem der EuGH im Juli 2020 den „Privacy Shield“ mit der Begründung gekippt hatte, dass kein angemessenes Datenschutzniveau in den USA für Verbraucher aus der EU existiere, ist nun wieder alles anders.

Ursula von der Leyen (Präsidentin der EU-Kommission) und Joe Biden (Präsident der USA) haben am 25.03.2022 in einer Pressekonferenz in Brüssel bekanntgegeben, dass sie sich im Grundsatz auf einen

Nachfolger für den Transfer personenbezogener Daten von Europa in die USA

geeinigt haben.

Neue Regeln sollen den US-Geheimdienst beschränken. Dennoch betroffene Europäer sollen Rechtsschutz in den USA ersuchen können.

Es gibt noch keinen konkreten Entwurf für dieses Abkommen.

Am 28.03.2022 wurde bekannt, dass das

europäische Cloudprojekt Gaia-X keine weitere Förderung vom Bund

mehr erhalten wird (keine Mittel mehr im Bundeshaushalt vorgesehen).

********************************************************************

(31.08.2020)

Der Datentransfer in die USA ist schwierig und wird schwieriger.

Das

EuGH-Urteil „Schrems II“

ist in der Welt.

Die Bundesregierung trifft zudem

Maßnahmen zur Schaffung von Alternativen zu US-Cloudinfrastrukturen und Officeanwendungen

aus Angst vor einer zu großen Abhängigkeit von US-Tech-Unternehmen.

Als erste Datenschutzaufsichtsbehörde hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BW) mit einer

Orientierungshilfe zur Schrems II -Entscheidung

an die Unternehmen am 25.08.2020 mit einem konstruktiven Ansatz gewandt (LfDI-BW-Orientierungshilfe-zu-Schrems-II).

Auf zehn Seiten stellt er kurz die Kernaussagen des EuGH – Urteils dar:

  • „Privacy Shield“ ab  sofort ungültig,
  • Standardvertragsklauseln weiterhin gültig, aber angemessenes Schutzniveau erforderlich im Empfängerstaat,
  • Standardvertragsklauseln binden nicht die Behörden des Drittlandes (zusätzliche Maßnahmen erforderlich),
  • Einzelfallprüfung durch Verantwortliche sind bei Standardvertragsklauseln erforderlich,
  • ggf. Transfer beenden,
  • Aufsichtsbehörde muss bei unangemessenem Schutzniveau die Datenübermittlung aussetzen lassen oder verbieten,
  • Bindungswirkung für alle Behörden, Gerichte sowie Unternehmen der EU,
  • Schadensersatzforderungen und Bußgelder sind möglich.

Beispielhaft benennt der LfDI-BW dann noch Handelsbeziehungen, Cloudlösungen (Achtung auch Telefonanlagen beachten) und Videokonferenzsysteme als betroffene Anwendungsfälle.

Als Handlungsempfehlung gibt er den Unternehmen an die Hand:

  1. eine Übermittlung auf der Grundlage von Standardvertragsklauseln wird nur in seltenen Fällen erfüllbar sein.
  2. es sind zusätzliche Garantien zu vereinbaren (Unternehmen EU – Unternehmen – USA) die einen Zugriff durch US-amerikanische Geheimdienste verhindern und die Rechte Betroffener schützen.
      • Verschlüsselung (Schlüssel nur bei Datenexporteur)
      • Anonymisierung
      • Pseudonymisierung
  3. Checkliste
      • Bestandsaufnahme Datenexport
      • Kontaktaufnahme mit Dienstleister und über EuGH-Entscheidung und Konsequenzen informieren
      • Rechtslage im Drittland eruieren (USA negativ)
      • Nutzung Standardvertragklauseln möglich (USA grds. negativ)
      • zusätzliche Garantien (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des
        Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) plus Standardvertragsklauseln
      • Abänderung der Standardvertragsklauseln Anhang Klausel 4f, Klausel 5d i, Ergänzung der Klausel 5 d, Abänderung der Klausel 7 Abs. 1, nur Aufnahme von b), Aufnahme der in Anhang 2 genannten Entschädigungsklausel (LfDI-BW-Orientierungshilfe-zu-Schrems-II ,dort auf den Seiten 8 bis 9 nachlesbar)
      • wenn dann Datenübermittlung immer noch nicht zulässig Ausnahmevorschrift des Art. 49 DS-GVO prüfen (bspw. Einwilligung der betroffenen Person,…)
  4. zumutbare Alternativangebote ohne Transferproblematik prüfen.

Gleichzeitig erklärten die EU-Kommission und das US-Department of Commerce seit dem 10.08.2020 eine

Neuregelung für die Datenübermittlung in die USA zu diskutieren.

Diese soll das Urteil des EuGH berücksichtigen. Die USA signalisieren derzeit keine Verhandlungsbereitschaft, auf den staatlichen Zugriff auf Daten von EU-Bürgern zu verzichten. Konkrete Verhandlungen gibt es tatsächlich nicht.

US-Konzerne ändern Ihre Datenschutzerklärungen ab und berufen sich auf die Standardvertragsklauseln.

Max Schrems lässt durch die non profit Organisation

„non of your business“ (noyb) 101 Beschwerden bei Aufsichtsbehörden in der EU für die Nutzung von „Facebook Connect“ und „Google Analytics“ aussprechen und fordert die Aussetzung der Datenübermittlung.

Er sieht in deren Berufung von US-Konzernen auf die Standardvertragsklauseln einen Widerspruch zum EuGH-Urteil, welches das Datenschutzniveau der USA als unangemessen im Verhältnis zur DS-GVO erklärt habe. Konkret spricht er Google und Facebook an.

In Deutschland bekannte „angemahnte“ Unternehmen sind die Funke Digital GmbH, die Handelsblatt GmbH, TV Spielfilm Verlag GmbH, DuMont.next GmbH & Co. KG und die Chefkoch GmbH (vollständige Liste aller Unternehmen abrufbar unter https://noyb.eu/en/eu-us-transfers-complaint-overview).

Der zweite Hebel, welcher derzeit an Kraft gewinnt, ist die Auffassung, dass

Deutschland zu abhängig von IT-Dienstleistern aus den USA

sei. Es gibt Beispiele aus Venezuela für Adobes Creativcloud (Beinaheembargo) und für Huawei in China (Exportstopp für Intel-Chips und Google-Software).

Der vdw Sachsen hatte schon von

Dataport und dem deutschen Projekt Phoenix als Alternative zu Officeanwendungen

berichtet.

Hinzugesellt sich ein deutsch-französisches Projekt mit dem Namen

Gaia-X,

welches eine sicherer Cloudinfrastruktur in Europa schaffen soll.

Die Bundesregierung wünscht sich mehr digitale Souveränität. Sie hat zum 01.06.2020 eine neue Abteilung für „digitale Souveränität“ geschaffen und 13 Stellen hierfür eingeplant. Von dieser Kampagne sind nicht nur staatliche Stellen betroffen, sondern auch Bürger und Unternehmen. Eine Marktanalyse von PwC aus dem Jahr 2019 hatte die

Abhängigkeit der Bundesverwaltung von Microsoft

ausdrücklich benannt.

Bspw. würden Telemetriedaten selbst bei lokaler Datenverarbeitung von Windows und Office an Microsoft übermittelt und könnten mit einem Durchsuchungsbeschluss von US-Behörden -auch auf einem von Microsoft in Deutschland betriebenen Server- abgegriffen werden. Weiterhin endet der Support von Microsoft für Office 2019 und Exchange Server 2019 im Oktober 2025.

Ergebnis:

Wenn Alternativen zu amerikanischen Produkten und Dienstleistungen bestehen, wird die Datenschutzaufsicht auf diese verweisen, zudem wenn datenschutzrechtliche Bedenken gegen den Umgang mit personenbezogenen Daten von EU-Bürgern in den USA bestehen (bspw. wegen US-Cloud-Act, Schrems II).

Der LfDI-BW benennt dies in seiner Checkliste für Unternehmen bereits als

„zumutbare Alternativangebote ohne Transferproblematik“.

Wenn sich ein Unternehmen von einem Alternativangebot aus Europa nicht angesprochen fühlt, müsste dies begründet werden können (Funktionalität, Dokumentation).

Es ist so, dass ohne zusätzliche Garantien oder Maßnahmen eine Übermittlung aufgrund der Standardvertragsklauseln von personenbezogenen Daten in die USA durch die Aufsichtsbehörden untersagt wird werden müssen.

Der

sicherste Weg ist die Einstellung der Übermittlung personenbezogener Daten in die USA.

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat dies bereits von Verantwortlichen in ihrem Zuständigkeitsbereich am 17.07.2020 gefordert 20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit).

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“ 

Die Sächsische Datenschutzaufsicht verweist auf seiner Seite auf eine gemeinsame Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020 (PM_6_2020_EuGH_Urteil_SchremsII_mit_Link_dt_Fassung).

Darin wird auf die Positionierung des Europäischen Datenschutzausschuss (EDSA) Bezug genommen. Dieser erklärte am 23.07.2020 zunächst, dass zusätzliche Maßnahmen und Garantien zu treffen sind und sieht die Zuständigkeit für die Prüfung bei den Verantwortlichen (edpb_faqs_schrems_ii_202007_adopted_de).

„Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen.“

Es werden weitere Erklärungen zu den konkret erforderlichen Maßnahmen für die Verantwortlichen durch den EDSA in der Zukunft angekündigt.

Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.
Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.“

Die Erklärung des EDSA ist sehr allgemein und nichtssagend.

Die Hoffnung darauf, dass die zuständige Aufsicht, bspw. der SächsDSB, nicht eingreift, und das Ignorieren der Ungültigkeit des „Privacy Shields“ führt zu einer vorsätzlichen rechtswidrigen Rechtsverletzung.

Die Aufsicht kann die

Beendigung der Datenübermittlung anordnen

und

eine Geldbuße verhängen.

Der

Wechsel zu den Standardvertragsklauseln

ist sicherlich der erste richtige Schritt, um Zeit zu gewinnen und als geringeres Übel weiterhin Daten in die USA übermitteln zu können.

Wenn jedoch die Aufsichtsbehörde eingreift und die Übermittlung auch bei der Verwendung von Standardvertragsklauseln untersagt, ist es auch damit vorbei.

Der

konstruktivste Weg ist es,

die Standardvertragsklauseln zu vereinbaren und -wie es der LfDI-BW in seiner oben genannten Checkliste vorgeschlagen hat- mit gelebten Garantien (Verschlüsselung; Vereinbarung, dass die Daten innerhalb des
Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) zu kombinieren.

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)