Datenschutz

Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln

von Dr. Thomas Schwenke
/

Letztes Update: 26. Juli 2024

Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Daher gilt der folgende Artikel zumindest vorerst nicht. Warum er jedoch wieder aktuell sein könnte und ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

Seit Mitte des Jahres 2020 schweben Unternehmen, die US-Produkte nutzen, rechtlich in der Luft. Die Verhandlungen über ein neues EU-US-Datenschutzabkommen kommen nicht voran und Datenschutzbehörden kündigen nun an, Unternehmen im Hinblick auf den Einsatz von US-Diensten genauer prüfen zu wollen. Das ganze kann man, gelinde gesagt, nur noch als frustrierend bezeichnet werden.

Als der Europäische Gerichtshof (EuGH) Datentransfers in die USA auf Grundlage des Privacy Shield für unzulässig erklärt hat, nahm er Kollateralschäden bei den europäischen Unternehmen in Kauf. Als Opfer der Datenschutzpolitik müssen diese nun praktisch die Aufgaben der EU-Kommission übernehmen und ihre US-Datentransfers selbst prüfen.

Es liegt auf der Hand, dass diese Aufgabe im Hinblick auf den Umfang und die nötige Fachkenntnis, vor allem von kleineren und mittleren Unternehmen kaum zu leisten ist.

Mit dem folgenden Beitrag möchte ich Ihnen daher helfen eine Prüfung von Datentransfers in die USA (bzw. den Einsatz von US-Diensten/ -Anbietern) durchzuführen und verbleibende Risiken einzuschätzen.

Update 23.09 2021 – Neue Standardvertragsklauseln bei US-Diensten: Unternehmen müssen die neuen EU-Standardvertragsklauseln nutzen, um das Datenschutzniveau bei Datentransfers möglichst abzusichern. Was dabei zu beachten ist, erfahren Sie in dem Beitrag: “Neue Datenschutzbedingungen: Google Analytics, Ads, Facebook, Amazon & Co“.

Warum Sie aktiv werden müssen

Die Hintergründe der Entscheidung des EuGH können Sie in meinem Beitrag “EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen” nachlesen. Die nachfolgende Darstellung ist nur zusammenfassend und soll vor allem erklären, warum Sie die in dem Beitrag empfohlenen Maßnahmen ergreifen sollten:

  • Laut der DSGVO dürfen personenbezogene Daten nur dann außerhalb der EU übermittelt werden (in sogenannte Drittländer), wenn in dem Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO).
  • Für die USA hatte die EU-Kommission ein adäquates Datenschutzniveau für Unternehmen festgestellt, die bestätigten, eine Reihe von Vorgaben zu beachten (dieses System wurde als der “Privacy Shield” bezeichnet).
  • Der Vorteil des Privacy Shield bestand darin, dass man bei den Privacy-Shield-(selbst)zertifizierten Unternehmen ein adäquates Datenschutzniveau ohne eine weitere Prüfung annehmen durfte.
  • Der Privacy Shield wurde vom EuGH im Juli 2020 für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Der EuGH entschied, dass die Befugnisse der US-Behörden, die es sogar erlauben auf personenbezogenen Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, gegen ein adäquates Datenschutzniveau in den USA sprechen.

Ohne den Privacy Shield bedarf es nunmehr anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen. Ein solches Mittel sind die so genannten “Standardvertragsklauseln” (auch als “Standardschutzklausen” oder auf Englisch als “Standard Contractual Clauses”, SCC, bezeichnet).

Risikominderung durch eigene Prüfung von Datentransfers: Die folgenden Ratschläge basieren auf den Empfehlungen von Datenschutzbehörden (ohne dass dies bedeutet, dass die Prüfung oder deren Ergebnisse automatisch deren, kaum einschätzbaren, Ansprüchen genügen). Sollte die Datenschutzaufsicht Ihre Datentransfers in die USA überprüfen, dann sollten Sie zumindest nachweisen können, entsprechend den behördlichen Ratschlägen gehandelt zu haben. Im Ergebnis machen Sie es mit der Beachtung der folgenden Maßnahmen den Behörden daher einfacher, keine Maßnahmen gegen Sie zu ergreifen.

Prüfung von Standardvertragsklauseln

Da Standardvertragsklauseln nach Wegfall des Privacy Shield zu der wichtigsten Rechtsgrundlage für US-Transfers werden, stehen Sie im Zentrum der folgenden Ratschläge (Bitte beachten Sie unseren Beitrag zu den neuen Standardvertragsklauseln vom 04.06.2021: Neue EU-Standardvertragsklauseln – Werden US-Datentransfers jetzt rechtssicher? ).

Bei den Standardvertragsklauseln handelt es sich um Musterverträge, die zwischen dem Verantwortlichen und dem Empfänger der Daten abgeschlossen werden (also z. B. beim Einsatz von US-Anbietern und US-Diensten). Der Abschluss der Standardvertragsklauseln alleine ist jedoch nicht ausreichend.

Sie müssen zusätzlich die folgenden Punkte prüfen:

  • Ob die Standardvertragsklauseln nicht verändert wurden und falls ja, die Änderung zulässig war.
  • Ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Das heißt Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird.

In der Praxis erfolgt die Prüfung zunächst anhand von Fragen an die US-Verarbeiter, doch zuerst sollten Sie wissen, welche Verarbeitungen Sie prüfen müssen.

Großbritannien und andere Drittländer: Anlassbezogen geht es vorliegend um die Prüfung von US-Datentransfers. Allerdings muss die Prüfung für alle Drittländer erfolgen, bei denen die EU-Kommission kein angemessenes Datenschutzniveau festgestellt hat. Dazu gehören neben den USA, z. B. auch Indien, China oder Russland. Für Großbritannien hat die EU-Kommission dagegen im Jahr 2021 ein angemessenes Schutzniveau festgestellt ( hierzu verweise ich auf meinen Beitrag “Brexit – Praxishinweise und Checkliste“).

Schritt 1 der Prüfung: Datentransfers in die USA erkennen

Sie müssen alle Ihre Dienstleister und Verarbeitungsverfahren auf mögliche US-Transfers oder den Einsatz von US-Dienstleistern überprüfen. Auch wenn Sie deutsche Dienstleister einsetzen, werden Sie häufig feststellen, dass diese US-Subunternehmen einsetzen und daher auch angeschrieben werden sollten. Dabei müssen Sie beachten, dass viele Unternehmen, wie Google, Amazon oder Microsoft zwar die Dienstleistungen über ihre europäische Tochterunternehmen anbieten, aber trotzdem dem US-Recht unterliegen können.

US-Datentransfers zu erkennen ist gar nicht so einfach. Von Ihnen selbst eingesetzte Dienstleister oder Dienste, wie z. B. Microsoft, Google oder Facebook, sind als Prüfkandidaten einfach zu erfassen. Allerdings können andere von Ihnen zu Verarbeitungszwecken eingesetzte Unternehmen (auch wenn sie in der EU ansässig sind), wiederum selbst Subunternehmen in den USA mit der Verarbeitung Ihrer Daten beauftragen.

Daher müssen Sie auch die Angaben zu Subunternehmern bei Ihren Auftragsverarbeitern (sowie genau genommen auch bei anderen Dienstleistern) prüfen und auch bei diesen eine Prüfung durchführen. Im Ergebnis sollten Sie alle von Ihnen eingesetzten Dienste und Dienstleister auf eine Verarbeitung von personenbezogenen Daten in den USA oder mögliche Zugriffe von US-Behörden “abklopfen” und im Zweifel die folgende Anfrage auch an sie versenden.

Es geht nicht nur um den Fall der Auftragsverarbeitung: Standardvertragsklauseln werden vor allem im Zusammenhang mit der Auftragsverarbeitung verwendet, also wenn die Beauftragung eine Verarbeitung von Daten zum Kern hat (zum Beispiel bei einer Plattform für Bewerber, eine Cloud-Software mit der Kundenbestellungen verwaltet oder Newsletter verschickt werden). Standardvertragsklauseln umfassen sogar Regelungen zur Auftragsverarbeitung, so dass ein zusätzlicher Auftragsverarbeitungsvertrag nicht erforderlich wird (Art. 28 Abs. 7 DSGVO). Allerdings müssen US-Transfers auch im Rahmen des Einsatzes von Drittanbietern (die selbst verantwortlich und keine Auftragsverarbeiter sind) berücksichtigt werden (Art. 25 Abs. 1 DSGVO).

Schritt 2 der Prüfung: Alternativen prüfen

Nur weil ein Dienst demselben Zweck dient, heißt es nicht automatisch, dass er eine gleich geeignete Alternative ist. So gibt es EU-Alternativen zu Zoom (Datenschutzbehörden empfehlen zum Teil sogar Videokonferenzdienste selbst zu hosten), aber spätestens, wenn Sie hunderte von Teilnehmern erreichen wollen, sticht Zoom sie sehr wahrscheinlich aus. Auch für WhatsApp gibt es Alternativen, mit denen Sie jedoch wahrscheinlich nicht die gleiche Anzahl von Kunden erreichen werden. Auch die Cloud-Dienste von Microsoft ließen sich theoretisch substituieren, der Aufwand für viele Unternehmen dürfte jedoch immens sein.

Bevor Sie eine Prüfung des Datenschutzniveaus durchführen, sollten Sie prüfen, ob alternative Verarbeitungsmöglichkeiten in der EU/EWR oder in Staaten mit anerkanntem Datenschutzniveau bestehen (z. B. Schweiz, Kanada, Israel, Japan).

Die Alternativen müssen aber gleichwertig sein, wobei Sie die folgenden (nicht abschließenden) Faktoren berücksichtigen können:

  • Usability – Können die Alternativen z. B. genauso einfach bedient werden oder müssten Mitarbeiter neu geschult oder Kunden neu an eine Software gewöhnt werden?
  • Funktionalität und Funktionsumfang – Lassen sich die beabsichtigten Verarbeitungen mit der Alternative genauso effektiv durchführen?
  • Kosten – Sind die Alternative und Kosten ihrer Einführung wesentlich teurer und ist die Mehrbelastung wirtschaftlich bedeutend.
  • Sicherheitsrisiko – Kann die Alternative faktisch dasselbe Sicherheitsniveau bieten? So verweisen z. B. Behörden darauf, dass man z. B. Videokonferenzdienste selbst betreiben kann. Allerdings erscheint es häufig fraglich, ob dabei dasselbe Sicherheitsniveau, wie auf den Konferenzservern großer Unternehmen, geboten werden kann.

Schritt 3 der Prüfung: Rechtsgrundlagen ermitteln

Im nächsten Schritt sollten Sie prüfen, auf welcher Rechtsgrundlage die Daten in die USA übermittelt werden (bzw. US-Dienstleister oder Dienste eingesetzt werden).

Das Privacy Shield scheidet als Rechtsgrundlage aus. In Frage kommen dagegen vor allem die folgenden Rechtsgrundlagen:

  • Abschluss von Standardvertragsklauseln (SCC) – Diese von der EU-Kommission gestellten Musterverträge, müssen um den Gegenstand der Verarbeitung und Hinweise auf Schutzmaßnahmen ergänzt werden, bevor sie in Schriftform oder elektronischer Form abgeschlossen werden können. Die folgende Prüfung berücksichtigt die Standardvertragsklauseln, da sie das Mittel der Wahl nach Wegfall des Privacy Shield sein werden.
  • Binding Corporate Rules – Unternehmen können sich auch selbst verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren. Die Prüfung kann auch auf Binding Corporate Rules übertragen werden.
  • Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird). Erforderliche Datentransfers werden in jedem Fall eine Aufklärung den Kunden oder sonstigen Betroffenen über die Verarbeitung ihrer Daten in den USA erfordern.
  • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, § 26 Abs. 2 BDSG) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
  • Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die jedoch eher selten zutreffend werden).

Schritt 4 der Prüfung: Anfragen stellen

In den meisten Fällen werden Sie auf Ihre Anfrage eher allgemeine Antworten erhalten und müssen die relevanten Informationen aus dem Text “herausfischen”. Wie dies in dem Fall dieser Antwort von Microsoft erfolgen kann, erfahren Sie in dem nächsten Schritt Ihrer Prüfung.

Bevor Sie mit der Prüfung beginnen, müssen Sie die erforderlichen Informationen einholen. Dazu empfehle ich Ihnen die folgende Anfrage. Sie dürfen sie frei nutzen (sie baut auf Ratschlägen des NYOB und der Datenschutzbehörden auf).

To whom it may concern

In its decision of 16.7.2020 – C-311/18 “Schrems II” (in particular sections 138 to 145), the European Court of Justice declared the so-called Privacy Shield to be ineffective. The court justified this in particular by stating that the level of data protection in the USA does not meet the requirements of European data protection because US authorities (and above all secret services) are allowed to access personal data of EU citizens without EU citizens having the right of appeal.

Due to the decision of the ECJ, we are obliged to review our service providers and providers of the services we use with regard to processing in the USA and determine an adequate level of data protection. Otherwise, we will have to discontinue further use of such services.

For purposes of this review, we ask you to answer the following questions within 14 days or to refer to online sources where these questions are answered.

Note on the use of sub-contractors: If you are not a U.S. company yourself or are not affected by the U.S. regulations listed below, but use sub-contractors to perform your services, that process data of EU citizens in the U.S. or are subject to U.S. laws that allow access to personal data, we ask you to answer the following questions regarding the sub-contractors used. If Standard Contractual Clauses have been concluded with sub-contractors, we ask you to inform us whether the Standard Contractual Clauses are also being offered to us as the Controller (since there are only Standard Contractual Clauses in the relationship of Controller – Controller or Controller – Processor, but not in the relationship of Processor – Sub-processor).

(A) Applicability of US regulations

Do you process (either yourself or through subcontractors) the personal data available to you as a result of our use of your service(s) in the United States or are you otherwise subject to the following U.S. laws that permit access to personal data?

If this is the case, please also answer the other questions.

(I) Direct Application of 50 U.S.C. § 1881a (= FISA 702)

(1) Do you or any other relevant US entity (controller or processor) that processes or has access to personal data that is transferred to you fall under one of the following definitions in 50 U.S.C. 1881(b)(4), that could render you or the other entit(ies) directly subject to 50 U.S.C. § 1881a (= FISA 702)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(2) Especially,

(a) are you or any other relevant US entity a telecommunications carrier, as that term is defined in section 153 of title 47 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(b) are you or any other relevant US entity a provider of electronic communication service, as that term is defined in section 2510 of title 18 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(c) are you or any other relevant US entity a provider of a remote computing service, as that term is defined in section 2711 of title 18 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(d) are you or any other relevant US entity any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(e) or are you or any other relevant US entity an officer, employee, or agent of an entity described in (a), (b), (c), or (d)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(II) Processing under EO 12,333

Do you, or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you, cooperate in any respect with US authorities conducting surveillance of communications under EO 12.333, should this be mandatory or voluntary?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(III) Other relevant laws

Are you or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you subject to any other law that could be seen as undermining the protection of personal data under the GDPR (Article 44 GDPR)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question If so, please specify these laws: _____________________.

(B) Legal basis of processing in third countries

(I) If you answered “Yes” to the questions mentioned above in (A), or if no information is provided, but applicability is generally affirmed, please inform us of the legal basis for the transfer or processing of personal data in the USA in accordance with Articles 45 to 49 GDPR:

☐ Standard contract clauses

☐ Binding Corporate Rules

☐ other:

_________________________.

(II) If the transmission is based on Standard Contractual Clauses  (or alternatively Binding Corporate Rules), can you provide us with the Standard Contractual Clauses / Binding Corporate Rules (or their web address)?

URL: _________________________________.

(C) Adaptation of Standard Contractual Clauses / Binding Corporate Rules

(I) Have the Standard Contractual Clauses been individually adapted/ supplemented or otherwise changed by you? If so, in which places?

☐ Yes ☐ No

If so, which changes have been included? _________________________.

(II) Will you supplement the standard contractual clauses (or, accordingly, the Binding Corporate Rules) with further (accompanying) assurances or clarification possibilities which serve to compensate for the disadvantages for the level of data protection identified by the ECJ?

☐ Obligation to check whether government measures are necessary, if not threatened by criminal law, information of users/customers/ affected persons.

☐ Obligation to defend against state access to data of EU citizens until the legal process is exhausted.

☐ Obligation to reimburse costs, damages or losses to its users/clients or to affected persons in case of culpable violation of obligations under the standard contract clauses.

☐ Obligation to pay a contractual penalty in case of culpable breach of obligations under the standard contractual clauses.

☐ other: _________________________.

(D) Technical and organizational security measures

Have you taken appropriate technical and organizational measures (see Article 32 GDPR) for each step of the processing operations to ensure that mass and indiscriminate processing of personal data by or on behalf of US authorities is excluded? What measures have you taken to this end?

☐ Data processing exclusively in the EU (EU server).

☐ End-to-end encryption.

☐ Transport encryption.

☐ Encryption during storage on the server (decryption for purposes of providing the service/provision of services).

☐ No existence of backdoors to encrypted software.

☐ Obligation to join litigation proceedings in which the aforementioned claims are to be fended off.

☐ Other: _________________________.

 

Thank you for your time

Erinnern und rückfragen – Trotz der detaillierten Fragen, sollten Sie nicht damit rechnen, ebenso detaillierte Informationen zu erhalten. Die meisten Dienstleister oder Anbieter werden mit eher standardisierten Informationen antworten, die häufig auf noch laufende Prüfungen verweisen werden. In diesem Fall sollten Sie nachfragen, wann mit einem Ergebnis zu rechnen ist oder nach Ablauf einer angemessenen Zeit (zwei bis vier Wochen), an die Anfrage erinnern. Sollte die Antwort weder auf laufende Prüfungen verweisen noch auf Ihre Fragen eingehen, sollten Sie mit erneuter Frist die Anfrage wiederholen (oder ansonsten zum nächsten Schritt der Prüfung schreiten).

Schritt 5 der Prüfung: Bestimmung des Risikos für Betroffene

Um zu prüfen, ob das Datenschutzniveau in den USA angemessen ist, müssen Sie wissen wie hoch die Anforderungen an das Datenschutzniveau sind.

Der EuGH hat das Datenschutzniveau in den USA pauschal beurteilt und musste dabei auch potentiell sensible Sachverhalte beurteilen (z. B. Angaben zu politischen Aktivitäten, sexuelle Ansichten, vermögensbezogene Angaben, etc.).

Sie nehmen jedoch eine individuelle Prüfung vor und müssen beurteilen, welche möglichen Folgen für die Betroffenen beim Zugriff durch US-Behörden eintreten können (Dazu sehr lesenswert der Beitrag von Dr. Carlo Piltz: Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln).

Dabei können Sie davon ausgehen, dass je sensibler die verarbeiteten Daten sind, desto höher das Risiko sein wird. Beispiele:

  • Verarbeitung einer Personalakte in den USA – Eine Personalakte kann Angaben zur Gesundheit, Gewerkschaftszugehörigkeit, Leistungsbewertungen oder weitere sensible Informationen enthalten. Wenn diese bekannt werden würden, dann könnten diese Informationen z. B. zur Verweigerung einer Einreise aufgrund Vorerkrankungen oder für ein politisches Profiling verwendet werden. In diesem Fall müssten die Schutzmaßnahmen hoch sein und z. B. eine Verschlüsselung voraussetzen, bei der nur das EU-Unternehmen, aber nicht der US-Anbieter Zugriff auf die Daten erhält.
  • Nutzung von Videokonferenzdiensten – Ein weitaus geringeres Risiko liegt dagegen vor, wenn Mitarbeiter mit ihrer beruflichen E-Mailadresse an einer Videokonferenz teilnehmen und dort berufliche Inhalte austauschen. In einem solchen Fall wäre m. E. die Verschlüsselung der Kommunikationsinhalte ausreichend und die mögliche Kenntnis, wann Mitarbeiter mit wem gesprochen haben, für die Mitarbeiter kaum vom Nachteil.
  • Nutzung von US-Newsletterplattformen – Die Tatsache, dass jemand einen Newsletter bezieht, sehe ich zunächst eher als unverfänglich an. Daher wäre das Risiko E-Mailadressen bei einem US-Anbieter zu speichern gering. Anders wäre es, wenn es sich um einen Newsletter zu politisch brisanten oder sexuellen Themen handeln würde (und zudem auch gespeichert werden würde, welche Inhalte die Nutzer gelesen oder welche Links im Newsletter sie geklickt haben). Hier wäre das Risiko höher und eine Speicherung auf EU-Servern oder Aufklärung der Nutzer wäre zu empfehlen.

Information der Beschäftigten, Kunden oder Nutzer: Es ist zwar nicht direkt eine Schutzmaßnahme der Anbieter, aber die Information der Betroffenen über die Verarbeitung ihrer Daten in den USA senkt das Risiko (auch wenn man sich natürlich darüber streiten, inwieweit).

Schritt 6 der Prüfung: Bewertung der Schutzmaßnahmen

In diesem Beispiel wurde das Datenschutzniveau für Microsoft Teams Videokonferenzen geprüft. Selbstverständlich können Sie die Auflistung anders aufbauen, um weitere Angaben zu ergänzen oder gleich in ein vorhandenes Verzeichnis Ihrer Verarbeitungstätigkeiten zu integrieren. Ein weiteres Beispiel für den US-E-Mail-Versender MailChimp finden Sie bei uns im Blog: Untersagung der Nutzung von Mailchimp durch bayerische Datenschutzbehörde?.

Der schwierigste Teil der Prüfung ist die Auswertung der Rückläufe und die Beurteilung, ob das Datenschutzniveau bei den jeweiligen Anbietern hinreichend ist. Da es keine Muster oder Schablonen gibt, müssen Sie jeden Fall einzeln beurteilen. Dabei können Sie auf die folgenden Kriterien zurückgreifen:

  • Verarbeitung auf EU-Servern – Der sog “Cloud Act” erlaubt den US-Behörden in bestimmten Fällen die Herausgabe von Daten auf EU-Servern zu verlangen. Allerdings ist das Risiko einer physischen Beschlagnahme der Datenträger im Fall der Weigerung der Anbieter geringer.
  • Verschlüsselung – Auch eine Verschlüsselung der verarbeiteten Daten steigert das Datenschutzniveau. Allerdings kommt es auf die Art der Verschlüsselung an. Am sichersten ist eine Verschlüsselung, bei der nur Sie die Daten entschlüsseln können oder von Ihnen bestimmte Dritte (sog. Ende-zu-Ende-Verschlüsselung). Ein geringeres Schutzniveau besteht, wenn der US-Verarbeiter Ihre Daten entschlüsseln kann (was bei SaaS-Anwendungen zur weiteren Verarbeitung der Daten in der Regel notwendig ist). Zudem muss auch bedacht werden, dass häufig Inhalte verschlüsselt werden, aber nicht die Metadaten (d. h. z. B. Angaben, wer mit wem, wann und wo kommuniziert hat).
  • Kein Vorhandensein von Backdoors – Um auch gegen behördliche Zugriffe geschützt zu sein, sollten Verschlüsselungsverfahren keine Möglichkeiten einer Hintertür für Behörden bieten (zumal solche Hintertüren, dann auch eine Gefahr für unerlaubte Zugriffe anderer Akteure bieten).
  • Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden – Auch die Maßnahmen der US-Behörden müssen für sich beurteilt werden. So ist eine Anfrage im Fall schwerer Kriminalität, die sich auf evidente Tatsachen stützt und auf einen Einzelfall bezieht anders zu bewerten als eine unbegründete und verdachtslose Abfrage einer Vielzahl von Daten. Die Zusicherung diese Prüfung zu hinterfragen und sich gerichtlich gegen nicht erforderliche Abfragen zu wehren, steigert daher das Datenschutzniveau.
  • Zusicherung der Information über Behördenanfragen – Eine gesonderte Zusicherung der Information im Fall behördlicher Anfragen (außer diese sind strafrechtlich untersagt) erhöht das Datenschutzniveau, da so z. B. eigene Abwehrmaßnahmen ergriffen werden können.
  • Art der Zusicherungen – Zusicherungen der US-Verarbeiter wiegen je mehr, je verbindlicher sie erfolgen. So wäre eine vertragliche Verpflichtung keine Daten ohne Vorprüfung herauszugeben höher zu werten als ein einseitiges “Commitment”.
  • Nachweis durch Audits – Viele der technischen und organisatorischen Maßnahmen basieren letztendlich auf Vertrauen in den Anbieter. Dieses Vertrauen kann durch positive und unabhängige Prüfberichte bestätigt werden.
  • Verpflichtung zur Zahlung einer Vertragsstrafe – Ein Indiz dafür, dass ein Anbieter seine Zusagen ernst meint, ist die explizite Verpflichtung eine Vertragsstrafe an betroffene Personen bei Verstößen zu zahlen. Allerdings wird dies aufgrund der unsicheren Rechtslage eher selten der Fall sein.
  • Keine Änderung der Standardvertragsklauseln – Standardvertragsklauseln dürfen grundsätzlich nur unverändert genutzt werden. Ansonsten müssen die Datenschutzbehörden die Änderungen freigeben. Aus diesem Grund sollten Zusicherungen am besten in gesonderte Vereinbarungen aufgenommen werden.

Diese Liste ist nicht abschließend und kann um weitere Maßnahmen zur Steigerung der Sicherheit ergänzt werden. Falls Sie weitere Vorschläge haben, schreiben Sie sie in die Kommentare und ich nehme sie gerne zusätzlich auf.

Schritt 8 der Prüfung: (Negatives) Ergebnis

Falls Ihre Prüfung negativ ausfallen sollen, müssen Sie entweder doch eine Alternative suchen, das Risiko eines bewussten Rechtsverstoßes eingehen oder zuerst eine Meldung an die Datenschutzbehörde erstatten und darauf hoffen, dass ihre Fallbearbeitung länger dauert, als die Errichtung eines neuen “Privacy Shield 2”. Wann dieser kommt, kann derzeit jedoch niemand vorhersagen. Bei dem aufgehobenen Privacy Shield dauerten die Verhandlungen 6 Monate, wobei das politische Klima zwischen der EU und den USA weitaus weniger angespannt war als es derzeit ist (Link Beitrag).

Wenn Sie mit Ihrer Abwägung zu dem Ergebnis kommen, dass ein angemessene Datenschutzniveau besteht, dann können Sie die Nutzung der Dienste oder sonstige US-Transfers aufrechterhalten (sollten jedoch nach ca. 6-12 Monaten evaluieren, ob keine Änderungen eingetreten sind).

Sollten Sie im Ergebnis dazu gelangen, dass das Datenschutzniveau nicht aufrecht gehalten werden kann, stehen Ihnen die folgenden Optionen zur Verfügung:

  • Verarbeitung einstellen und eine Alternative wählen – Damit wären Sie wieder beim Schritt 2 und müssten die dort genannten Nachteile der Alternativen in Kauf nehmen.
  • Anfrage bei der Datenschutzaufsichtsbehörde stellen – Laut dem Europäischen Datenschutzausschuss und laut den Datenschutzbehörden sollen Sie Verarbeitungen, die nicht dem Datenschutzniveau genügen, den Datenschutzbehörden melden. Allerdings kann ich mir kaum vorstellen, dass die Behörden zu einem anderen Ergebnis gelangen werden als Sie.
  • Risiko eingehen – Zumindest bisher scheint es nicht so, als ob Aufsichtsbehörden konkrete Schritte ergreifen und diese vor allem über die Untersagung reichen werden. Denn dies könnte einen wirtschaftlich und politisch unerwünschten Dominoeffekt auslösen, wenn die US-Transfers blockiert werden. Daher gehe ich auch nicht von der Verhängung von Bußgeldern aus. Insoweit erscheint das Risiko doch ein positives Ergebnis anzunehmen, aber weiter zu evaluieren sowie die Sach- und Rechtslage (bis ein neuer “Privacy Shield” beschlossen wird) zu beobachten als vertretbar. Das zumindest, wenn das Datenschutzniveau nicht offensichtlich unterschritten wird (Hinweis: Weder rate ich allgemein zu der Alternative, noch heiße ich sie gut).

Beispiele für die Fragebögen der Datenschutzbehörden: Beispiele für die Fragebögen der Datenschutzbehörden finden Sie bei der Landesdatenschutzaufsicht Brandenburg (z.B. für eingesetzte Webhostingdienste, Mailhoster, Trackinganbieter oder Bewerberportale).

Checkliste

In der folgenden Checkliste erhalten Sie eine Zusammenfassung der vorgenannten Maßnahmen:

  1. Schritt: Datentransfers in die USA erkennen
    • In den US ansässige Unternehmen.
    • Unternehmen, die Subunternehmer aus den USA einsetzen (wenn unbekannt, nachfragen).
  2. Schritt: (EU-)Alternativen prüfen
    • Kriterien: Gleiche Eignung, Funktionen, Usability, Kosten.
  3. Schritt: Rechtsgrundlagen prüfen
    • Abschluss von Standardvertragsklauseln (Regelfall)
    • Binding Corporate Rules
    • Erforderliche Datentransfers
    • Einwilligungen
    • Weitere Ausnahmen
  4. Schritt: Anfragen stellen
  5. Schritt: Bestimmung des Risikos für Betroffene
  6. Schritt: Bewertung der Schutzmaßnahmen
    • Verarbeitung auf EU-Servern.
    • Verschlüsselung.
    • Kein Vorhandensein von Backdoors.
    • Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden.
    • Zusicherung der Information über Behördenanfragen.
    • Nachweis durch Audits und Zertifikate.
    • Art der Zusicherungen (einseitig/ vertraglich).
    • Keine Änderung der Standardvertragsklauseln.
    • Information der Betroffenen über Risiken der US-Verarbeitung.
  7. Schritt: (Negatives) Ergebnis
    • Verarbeitung einstellen und eine Alternative wählen
    • Anfrage bei der Datenschutzaufsichtsbehörde stellen
    • Risiko eingehen

Fazit und Empfehlung

Die in diesem Beitrag vorgestellten Maßnahmen werden Ihnen helfen, die Zulässigkeit von Datentransfers in die USA, bzw. den Einsatz von US-Dienstleistern und Diensten zu prüfen.

Auch wenn die Richtigkeit Ihrer Ergebnisse ungewiss sein sollte, senkt bereits die Durchführung der Prüfung Ihr Risiko, weshalb ich Ihnen zu der Prüfung rate. Denn anders als die Auswertung der Antworten, lassen sich die Anfragen nicht so schnell nachholen, sollte dies z. B. auf Nachfrage der Behörden hin notwendig werden (auch hier rate ich Ihnen die Prüfung dennoch vollständig und möglichst zeitnah durchzuführen).

Ferner freue ich mich auf Ihre Hinweise oder Tipps zur Ergänzung meiner Ratschläge. Darüber hinaus empfehle ich stets fachliche Rechtsberatung zu suchen, wenn Sie sich die Prüfung nicht zutrauen oder den sichersten Weg gehen möchten.

Tipp für mehr Rechtssicherheit

Rechtssichere DSGVO-Datenschutzerklärung:  vom Anwalt  mit Siegel  über 500 aktuelle Module  kein Abo  Dokument ohne zeitliches Limit nutzbar  Download als Word/Office & PDF  Speichern & Laden von Eingaben.

In unserem Shop erhalten Sie eine Übersicht unserer Angebote: