Datentransfer in die USA. Verschlüsselung macht das Leben leichter
Der kleine feine Datentipp
Lesezeit: ca. 5 Minuten
Schrems II und der Datentransfer in die USA
Im Juli 2020 hat der Europäische Gerichtshof ein Urteil gefällt, das international für Aufsehen sorgte: Er entschied, dass Datentransfer in Drittländer wie die USA nur dann rechtmäßig im Sinne der DSGVO ist, wenn durch Garantien oder andere geeignete Maßnahmen sichergestellt ist, dass die personenbezogene Datenverarbeitung denselben Rechtsgrundlagen unterliegt wie innerhalb der EU. Das Urteil wurde bekannt unter dem Namen „Schrems II“.
Anfang Juni 2021 hat die Kommission der Europäischen Union neue Standardvertragsklauseln veröffentlicht. Sie sollen Rechtssicherheit schaffen: Wer sie unverändert übernimmt und anwendet, kann sicher sein, dass die Bedingungen des EuGH erfüllt sind. Allerdings: Diese Standardvertragsklauseln müssen erst mit den US-amerikanischen Anbietern vereinbart werden. Ob das gelingt, ist eine andere Frage.
Ebenfalls Anfang Juni 2021 haben die Aufsichtsbehörden in Deutschland angekündigt, dass sie überprüfen werden, ob sich Verantwortliche beim Datenexport in die USA und in andere Drittländer an die Bedingungen des EuGH-Urteils halten. Zunächst planen sie Stichproben, für später sind Überprüfungen in größerem Umfang angekündigt.
Die USA und Bürger zweiter Klasse
Hintergrund ist die Tatsache, dass für US-Amerikaner die amerikanische Verfassung gilt, deren Grundsätze innerhalb der USA eingehalten werden müssen. Für den Rest der Welt, und damit für EU-Bürger, gelten diese verfassungsmäßigen Grundsätze nicht. EU-Bürger haben damit keine oder nur sehr begrenzte Möglichkeiten, gemäß den Vorgaben der DSGVO ihre Rechte auch in den USA durchzusetzen. Das war der eigentliche Anlass für das Urteil des EuGH.
Was das Schrems-II-Urteil mit sich brachte: Der EuGH erklärte das Privacy-Shield-Abkommen für nichtig. Damit war der bis dahin geltende Angemessenheitsbeschluss zwischen der Kommission der Europäischen Union und der Regierung der USA hinfällig. Eine der wichtigsten Rechtsgrundlagen für den Datentransfer in die USA fiel schlagartig aus.
Das alles zusammen ergibt in rechtlicher Hinsicht eine hochexplosive Mischung. Wer sich jetzt nicht schnell mit den neuen Gegebenheiten vertraut macht und diese umsetzt, muss damit rechnen, dass die Geldbußen der DSGVO im Unternehmensalltag ankommen.
Was gilt beim Datentausch mit US-Unternehmen?
Beim Datenexport in Drittländer müssen vergleichbare Bedingungen herrschen wie innerhalb der Europäischen Union. Nach dem Ausfall des Privacy Shield kann in den USA davon keine Rede sein. Die Alternative, Standardvertragsklauseln der Europäischen Union zu verwenden, war bislang schon darum schwierig, weil die bis dato gültigen Standardvertragsklauseln noch aus der Zeit vor der Rechtskraft der DSGVO stammen. Sie waren also per se in keinem Fall korrekt anzuwenden.
Datenübermittlung in Drittländer
Globaler Datentransfer - jetzt handeln, Geldbuße vermeiden.
Das Webinar. Jetzt anmelden.
Software aus den USA
Es gibt nach wie vor eine ganze Menge Software, die in dieser Qualität nur in den USA produziert wird. Vergleichbare Produkte in anderen Ländern, erst recht in Europa, sind oft nicht in Sicht. Wer also sein Geschäft professionell führen möchte, sieht sich häufig auf Software von US-Anbietern angewiesen, etwa von Microsoft oder Apple. Und wer im Internet Geschäfte machen möchte, wird sich ohne die Nutzung von Google schwertun.
Unternehmen müssen sich also vielfach mit dem Datentransfer in die USA auseinandersetzen. Wer weitere Maßnahmen und etwa die Anpassung der Vertragsklauseln für die Datenübermittlung versäumt, riskiert permanent ein Verfahren der EU-Aufsichtsbehörden, das mutmaßlich mit einer Geldbuße enden wird. Die Alternative, mit den Anbietern jetzt die neuen Standardvertragsklauseln der EU-Kommission abzuschließen, hängt davon ab, ob die US-amerikanischen Anbieter zustimmen. Allerdings sollte sich ein kleines Unternehmen in der EU keine allzu großen Hoffnungen machen, einen Weltkonzern wie Google oder Microsoft vorzuschreiben, welche Vertragsklauseln er zu verwenden hat. Dieser Weg ist also nur bedingt erfolgversprechend.
Drittlandtransfer verschlüsselter Daten
Die gute Nachricht ist, es gibt eine alternative Lösung, die bislang oft noch wenig Beachtung findet: Verschlüsselung. Sprich: Wenn Sie personenbezogene Daten vor der Übermittlung an den Dienstleister oder vor dem Zugriff durch den Wartungsdienst in den USA sicher verschlüsseln, hat der Dienstleister oder Wartungsdienst keine legale Möglichkeit, Ihre Daten zu lesen. Können verbundene Leistungen, also etwa die Datenspeicherung in einem US-Rechenzentrum oder der Wartungsdienst für Software aus den USA, trotzdem ausgeführt werden, sind die Bedingungen der DSGVO und die Bedingungen des EuGH grundsätzlich eingehalten. Die Daten sind dann nicht mehr personenbezogen. Das wiederum bedeutet: Die DSGVO gilt dafür nicht.
Mit ausreichender Verschlüsselung hat der Verarbeitende also keine legale Möglichkeit, Ihre Daten zu lesen und zu personalisieren. Insbesondere, wenn Sie Ihre Daten selbst verschlüsseln, ist das oft eine sehr viel kostengünstigere Variante, als die Verträge mit den US-Anbietern anzupassen. Schließlich hängt jede Vertragsänderung davon ab, dass Ihre Vertragspartner sich darauf einlassen. Wer seine Daten ausreichend verschlüsselt, für den ist der Datentransfer in Drittländer kein Problem.
Tipps für den Datentransfer in die USA und andere Drittländer
- zusammenstellen, welche Daten insgesamt in Drittländern wie den USA verarbeitet werden
- vorhandene Verträge sammeln, bei denen Sie davon ausgehen, dass sie bereits den rechtlichen Bedingungen entsprechen
- überprüfen, für welche Datenverarbeitungen die neuen Standardvertragsklauseln verwendet werden müssen
- überprüfen, ob betroffene Dienstleister bereit sind, die neuen Standardvertragsklauseln einzusetzen
- insgesamt prüfen, welche der in Drittländern verarbeiteten Daten schon vor der Verarbeitung dort so verschlüsselt werden können, dass die Dienstleister keine legale Möglichkeit der Einsicht erhalten
- zurücklehnen und das Leben genießen!
Das ist die Kernfrage: Haben Sie für jeden Datenexport in Drittländer sichergestellt, dass die Verträge den vom EuGH gesetzten Bedingungen entsprechen oder die Daten ausreichend verschlüsselt sind?
Wir wünschen erfolgreichen Datentransfer!
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
Datenübermittlung in Drittländer
Globaler Datentransfer - jetzt handeln, Geldbuße vermeiden.
Das Webinar. Jetzt anmelden.
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz