Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

Datentransfer in die USA

Wie geht es nach dem EuGH Urteil (Schrems II) weiter?

31. August 2020

Der Datentransfer in die USA ist schwierig und wird schwieriger.

Das

EuGH-Urteil „Schrems II“

ist in der Welt. Die Bundesregierung trifft zudem

Maßnahmen zur Schaffung von Alternativen zu US-Cloudinfrastrukturen und Officeanwendungen

aus Angst vor einer zu großen Abhängigkeit von US-Tech-Unternehmen.

Als erste Datenschutzaufsichtsbehörde hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) mit einer

Orientierungshilfe zur Schrems II -Entscheidung

an die Unternehmen am 25.08.2020 mit einem konstruktiven Ansatz gewandt (LfDI-BW-Orientierungshilfe-zu-Schrems-II).

Auf zehn Seiten stellt er kurz die Kernaussagen des EuGH – Urteils dar:

  • „Privacy Shield“ ab sofort ungültig,
  • Standardvertragsklauseln weiterhin gültig, aber angemessenes Schutzniveau erforderlich im Empfängerstaat,
  • Standardvertragsklauseln binden nicht die Behörden des Drittlandes (zusätzliche Maßnahmen erforderlich),
  • Einzelfallprüfung durch Verantwortliche sind bei Standardvertragsklauseln erforderlich,
  • ggf. Transfer beenden,
  • Aufsichtsbehörde muss bei unangemessenem Schutzniveau die Datenübermittlung aussetzen lassen oder verbieten,
  • Bindungswirkung für alle Behörden, Gerichte sowie Unternehmen der EU,
  • Schadensersatzforderungen und Bußgelder sind möglich.

Beispielhaft benennt der LfDI-BW dann noch Handelsbeziehungen, Cloudlösungen (Achtung auch Telefonanlagen beachten) und Videokonferenzsysteme als betroffene Anwendungsfälle.

Als Handlungsempfehlung gibt er den Unternehmen an die Hand:

  1. eine Übermittlung auf der Grundlage von Standardvertragsklauseln wird nur in seltenen Fällen erfüllbar sein.
  2. es sind zusätzliche Garantien zu vereinbaren (Unternehmen EU – Unternehmen – USA) die einen Zugriff durch US-amerikanische Geheimdienste verhindern und die Rechte Betroffener schützen.
      • Verschlüsselung (Schlüssel nur bei Datenexporteur)
      • Anonymisierung
      • Pseudonymisierung
  3. Checkliste
      • Bestandsaufnahme Datenexport
      • Kontaktaufnahme mit Dienstleister und über EuGH-Entscheidung und Konsequenzen informieren
      • Rechtslage im Drittland eruieren (USA negativ)
      • Nutzung Standardvertragklauseln möglich (USA grds. negativ)
      • zusätzliche Garantien (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des
        Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) plus Standardvertragsklauseln
      • Abänderung der Standardvertragsklauseln Anhang Klausel 4f, Klausel 5d i, Ergänzung der Klausel 5 d, Abänderung der Klausel 7 Abs. 1, nur Aufnahme von b), Aufnahme der in Anhang 2 genannten Entschädigungsklausel (LfDI-BW-Orientierungshilfe-zu-Schrems-II ,dort auf den Seiten 8 bis 9 nachlesbar)
      • wenn dann Datenübermittlung immer noch nicht zulässig Ausnahmevorschrift des Art. 49 DS-GVO prüfen (bspw. Einwilligung der betroffenen Person,…)
  4. zumutbare Alternativangebote ohne Transferproblematik prüfen.

Gleichzeitig erklärten die EU-Kommission und das US-Department of Commerce seit dem 10.08.2020 eine

Neuregelung für die Datenübermittlung in die USA zu diskutieren.

Diese soll das Urteil des EuGH berücksichtigen. Die USA signalisieren derzeit keine Verhandlungsbereitschaft, auf den staatlichen Zugriff auf Daten von EU-Bürgern zu verzichten. Konkrete Verhandlungen gibt es tatsächlich nicht.

US-Konzerne ändern Ihre Datenschutzerklärungen ab und berufen sich auf die Standardvertragsklauseln.

Max Schrems lässt durch die non profit Organisation

„non of your business“ (noyb) 101 Beschwerden bei Aufsichtsbehörden in der EU für die Nutzung von „Facebook Connect“ und „Google Analytics“ aussprechen und fordert die Aussetzung der Datenübermittlung.

Er sieht in deren Berufung von US-Konzernen auf die Standardvertragsklauseln einen Widerspruch zum EuGH-Urteil, welches das Datenschutzniveau der USA als unangemessen im Verhältnis zur DS-GVO erklärt habe. Konkret spricht er Google und Facebook an.

In Deutschland bekannte „angemahnte“ Unternehmen sind die

die Funke Digital GmbH, die Handelsblatt GmbH, TV Spielfilm Verlag GmbH, DuMont.next GmbH & Co. KG und die Chefkoch GmbH

(vollständige Liste aller Unternehmen abrufbar unter https://noyb.eu/en/eu-us-transfers-complaint-overview).

Der zweite Hebel, welcher derzeit an Kraft gewinnt, ist die Auffassung, dass

Deutschland zu abhängig von IT-Dienstleistern aus den USA

sei. Es gibt Beispiele aus Venezuela für Adobes Creativcloud (Beinaheembargo) und für Huawei in China (Exportstopp für Intel-Chips und Google-Software).

Der vdw Sachsen hatte schon von

Dataport und dem deutschen Projekt Phoenix als Alternative zu Officeanwendungen

berichtet.

Hinzugesellt sich ein deutsch-französisches Projekt mit dem Namen

Gaia-X,

welches eine sicherer Cloudinfrastruktur in Europa schaffen soll.

Die Bundesregierung wünscht sich mehr digitale Souveränität. Sie hat zum 01.06.2020 eine neue Abteilung für „digitale Souveränität“ geschaffen und 13 Stellen hierfür eingeplant. Von dieser Kampagne sind nicht nur staatliche Stellen betroffen, sondern auch Bürger und Unternehmen. Eine Marktanalyse von PwC aus dem Jahr 2019 hatte die

Abhängigkeit der Bundesverwaltung von Microsoft

ausdrücklich benannt.

Bspw. würden Telemetriedaten selbst bei lokaler Datenverarbeitung von Windows und Office an Microsoft übermittelt und könnten mit einem Durchsuchungsbeschluss von US-Behörden -auch auf einem von Microsoft in Deutschland betriebenen Server- abgegriffen werden. Weiterhin endet der Support von Microsoft für Office 2019 und Exchange Server 2019 im Oktober 2025.

Ergebnis:

Wenn Alternativen zu amerikanischen Produkten und Dienstleistungen bestehen, wird die Datenschutzaufsicht auf diese verweisen, zudem wenn datenschutzrechtliche Bedenken gegen den Umgang mit personenbezogenen Daten von EU-Bürgern in den USA bestehen (bspw. wegen US-Cloud-Act, Schrems II).

Der LfDI BW benennt dies in seiner Checkliste für Unternehmen bereits als

„zumutbare Alternativangebote ohne Transferproblematik“.

Wenn sich ein Unternehmen von einem Alternativangebot aus Europa nicht angesprochen fühlt, müsste dies begründet werden können (Funktionalität, Dokumentation).

Es ist so, dass ohne zusätzliche Garantien oder Maßnahmen eine Übermittlung aufgrund der Standardvertragsklauseln von personenbezogenen Daten in die USA durch die Aufsichtsbehörden untersagt wird werden müssen.

Der

sicherste Weg ist die Einstellung der Übermittlung personenbezogener Daten in die USA.

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat dies bereits von Verantwortlichen in ihrem Zuständigkeitsbereich am 17.07.2020 gefordert 20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit).

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“ 

Die Sächsische Datenschutzaufsicht verweist auf seiner Seite auf eine gemeinsame Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020 (PM_6_2020_EuGH_Urteil_SchremsII_mit_Link_dt_Fassung).

Darin wird auf die Positionierung des Europäischen Datenschutzausschuss (EDSA) Bezug genommen. Dieser erklärte am 23.07.2020 zunächst, dass zusätzliche Maßnahmen und Garantien zu treffen sind und sieht die Zuständigkeit für die Prüfung bei den Verantwortlichen (edpb_faqs_schrems_ii_202007_adopted_de).

„Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen.“

Es werden weitere Erklärungen zu den konkret erforderlichen Maßnahmen für die Verantwortlichen durch den EDSA in der Zukunft angekündigt.

Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.
Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.“

Die Erklärung des EDSA ist sehr allgemein und nichtssagend.

Die Hoffnung darauf, dass die zuständige Aufsicht, bspw. der SächsDSB, nicht eingreift, und das Ignorieren der Ungültigkeit des „Privacy Shields“ führt zu einer vorsätzlichen rechtswidrigen Rechtsverletzung.

Die Aufsicht kann die

Beendigung der Datenübermittlung anordnen

und

eine Geldbuße verhängen.

Der

Wechsel zu den Standardvertragsklauseln

ist sicherlich der erste richtige Schritt, um Zeit zu gewinnen und als geringeres Übel weiterhin Daten in die USA übermitteln zu können.

Wenn jedoch die Aufsichtsbehörde eingreift und die Übermittlung auch bei der Verwendung von Standardvertragsklauseln untersagt, ist es auch damit vorbei.

Der

konstruktivste Weg ist es,

die Standardvertragsklauseln zu vereinbaren und -wie es der LfDI BW in seiner oben genannten Checkliste vorgeschlagen hat- mit gelebten Garantien (Verschlüsselung; Vereinbarung, dass die Daten innerhalb des
Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) zu kombinieren.

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)