Datenübermittlung in die USA Was nach dem Ende des EU-US-Privacy Shield zu tun ist

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Mehrere Monate sind vergangen seit dem Urteil des Europäischen Gerichtshofes (EuGH), das das Ende des Privacy Shield besiegelt hat. Trotzdem scheint sich bei der Cloud-Nutzung noch nicht viel verändert zu haben. Cloud-Nutzer sollten nun aber umgehend aktiv werden.

Firmen zum Thema

Der EuGH hat im Fall der USA ein gleichwertiges Datenschutzniveau wie in der EU verneint, so dass zusätzliche Maßnahmen zum Schutz personenbezogener Daten bei Datenübermittlungen in die USA ergriffen werden müssen.
Der EuGH hat im Fall der USA ein gleichwertiges Datenschutzniveau wie in der EU verneint, so dass zusätzliche Maßnahmen zum Schutz personenbezogener Daten bei Datenübermittlungen in die USA ergriffen werden müssen.
(© tanaonte - stock.adobe.com)

Privacy Shield ist Vergangenheit, viele Cloud-Nutzer in Deutschland wissen das inzwischen, aber die Konsequenzen scheinen nicht richtig bewusst zu sein. So hatte der Europäische Gerichtshof (EuGH) mit dem Urteil in der Rechtssache C-311/18 „Schrems II“ klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint.

Seit Monaten schon müssen die Unternehmen, die zum Beispiel Cloud-Dienste in den USA nutzen, reagieren. Der Bundesdatenschutzbeauftragte erklärte dazu: „Jeder Verantwortliche im Sinne des Datenschutzrechts ist jetzt aufgerufen, seine Datenübermittlungen in Drittländer und die hierfür genutzte Grundlage nach Kapitel V der DSGVO zu überprüfen.“

Datenübermittlungen in die USA, die bisher auf das EU-US Privacy Shield gestützt wurden, müssten nun durch eine Schutzmaßnahme nach Artikel 46 DSGVO abgesichert werden. Für Datenübermittlungen in die USA ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind.

Darum müssen sich Cloud-Nutzer in der EU sofort kümmern. Der Europäische Datenschutzausschuss (EDSA) hatte klargestellt, dass es keine Schonfrist gibt, innerhalb der man weiterhin Daten in die USA übermitteln kann, ohne die Rechtsgrundlage für die Übermittlung prüfen zu müssen.

Auch in Zeiten der Corona-Pandemie kann und sollte man nicht darauf vertrauen, dass die Aufsichtsbehörden für den Datenschutz alle Prüfungen und Kontrollen ruhen lassen. Es besteht somit akuter Handlungsbedarf, wenn man sich um die Datenübermittlungen in die USA noch nicht umfassend gekümmert hat.

Was bei Datenübermittlungen in die USA geprüft werden muss

Die Aufsichtsbehörden für den Datenschutz haben inzwischen zahlreiche Hinweise veröffentlicht, was nun wie zu tun ist. Sehr anschaulich hat dies auch der Bundesdatenschutzbeauftragte dargestellt in seinem „Prüfschema Drittländertransfer“, das sehr zu empfehlen ist.

Aus diesem Prüfschema und den Veröffentlichungen des EDSA und einzelner Aufsichtsbehörden ergeben sich diese konkreten Aufgaben: Rechtsgrundlage prüfen, ggf. neue Rechtsgrundlage bestimmen oder aber Datenübermittlung einstellen, wenn Privacy Shield bisher die Grundlage war und keine neue Rechtsgrundlage gefunden werden kann.

Unter den möglichen neuen Rechtsgrundlage erscheinen viele Unternehmen die Standardvertragsklauseln als geeignet. Doch Vorsicht: Sofern Daten in Drittländer auf der Grundlage von Standardvertragsklauseln übermittelt werden sollen, muss der Verantwortliche bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen, so die Aufsichtsbehörden.

Im Fall der USA hat der EuGH ein gleichwertiges Datenschutzniveau wie in der EU verneint, so dass zusätzliche Maßnahmen zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden müssen, will man sich auf die Standardvertragsklauseln als Rechtsgrundlage für eine Datenübermittlung in die USA beziehen.

Denkbar sind rechtliche, technische oder organisatorische Maßnahmen. Die tatsächliche Wirksamkeit solcher Maßnahmen darf jedoch nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden, wie die Aufsichtsbehörden betonen.

Der Bundesdatenschutzbeauftragte sagte dazu: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Welche Schritte zur Prüfung einer Datenübermittlung in die USA gehören

Wie aber prüft man, ob es eine gültige Rechtsgrundlage für eine Datenübermittlung in die USA gibt? Die wesentlichen Schritte sollen nun betrachtet werden.

Zuerst einmal müssen Unternehmen eine Bestandsaufnahme über Datenübermittlungen in die USA durchführen. Es folgt die Prüfung, auf welcher Rechtsgrundlage jeweils personenbezogene Daten in die USA übermittelt werden. Privacy Shield ist hier keine Option mehr.

Sofern Standardvertragsklauseln für die Datenexporte genutzt werden sollen, müssen verschiedene Fragen geklärt werden, wie die Aufsichtsbehörden unterstreichen: geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen. Der Verantwortliche (also die Leitung des Unternehmens, die zum Beispiel eine Cloud in den USA nutzt) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren.

Für das Drittland USA gilt: Der Verantwortliche muss zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Dies wäre etwa in folgenden Fällen denkbar, so zum Beispiel die Datenschutzaufsicht von Baden-Württemberg: Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann, oder die Anonymisierung aller personenbezogenen Daten. Dabei ist allerdings zu prüfen und zu überlegen, ob die so geschützten Daten dann noch ihren Zweck erfüllen können. Ist das nicht der Fall und es findet sich keine andere zusätzliche Schutzmaßnahme, darf die Datenübermittlung in die USA nicht erfolgen.

Wichtig: Für Datenübermittlungen, die auf Binding Corporate Rules gestützt werden, gilt das gleiche.

Nicht vergessen werden sollten die Aktualisierung der Dokumentation und der Informationspflichten: Im Verzeichnis von Verarbeitungstätigkeiten müssen Änderungen bei den Rechtsgrundlagen eingetragen werden. Außerdem müssen die Informationspflichten überprüft und ggf. aktualisiert werden, zum Beispiel bei Bedarf die Datenschutzerklärung auf der Website des Unternehmens. Die Überprüfung der Rechtmäßigkeit des Datentransfers in die USA muss für die zuständige Aufsichtsbehörde nachprüfbar dokumentiert sein.

An Aufsicht und an Kunden denken

Diese Überprüfungen, die zum Beispiel der Europäische Datenschutzbeauftragte Transfer Impact Assessments (TIAs) genannt hat, müssen erfolgen und dokumentiert sein, nicht nur für den Fall, dass die zuständige Aufsichtsbehörde anklopft und sehen will, ob die Datenübermittlungen in die USA auch eine gültige Rechtsgrundlage haben.

Auch die betroffenen Kunden, deren Daten in die USA übermittelt werden, haben Anspruch auf die Information, auf welcher Grundlage dies geschieht. Hat man hier keine rechtskonforme Antwort, können neben den Sanktionen der Aufsicht auch noch verärgerte Kunden die Folge sein, die durchaus sensibel sind, wenn es um den Datenschutz in der Cloud geht. Sanktionen riskieren und Kunden verlieren sollte man nicht in Kauf nehmen, sondern nun wirklich die Transfer Impact Assessments, also die Prüfungen der Datenübermittlung in die USA, angehen. Die Aufsichtsbehörden liefern viel Unterstützung, wie das genannte Prüfschema des Bundesbeauftragten zeigt.

(ID:47351938)