Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln

Als der Europäische Gerichtshof (EuGH) Datentransfers in die USA auf Grundlage des Privacy Shield für unzulässig erklärt hat, nahm er Kollateralschäden bei den europäischen Unternehmen in Kauf. Als Opfer der Datenschutzpolitik müssen diese nun praktisch die Aufgaben der EU-Kommission übernehmen und ihre US-Datentransfers selbst prüfen.

Es liegt auf der Hand, dass diese Aufgabe im Hinblick auf den Umfang und die nötige Fachkenntnis, vor allem von kleineren und mittleren Unternehmen kaum zu leisten ist.

Mit dem folgenden Beitrag möchte ich Ihnen daher helfen eine Prüfung von Datentransfers in die USA (bzw. den Einsatz von US-Diensten/ -Anbietern) durchzuführen und verbleibende Risiken einzuschätzen.

Warum Sie aktiv werden müssen

Die Hintergründe der Entscheidung des EuGH können Sie in meinem Beitrag “EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen” nachlesen. Die nachfolgende Darstellung ist nur zusammenfassend und soll vor allem erklären, warum Sie die in dem Beitrag empfohlenen Maßnahmen ergreifen sollten:

  • Laut der DSGVO dürfen personenbezogene Daten nur dann außerhalb der EU übermittelt werden (in sogenannte Drittländer), wenn in dem Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO).
  • Für die USA hatte die EU-Kommission ein adäquates Datenschutzniveau für Unternehmen festgestellt, die bestätigten, eine Reihe von Vorgaben zu beachten (dieses System wurde als der “Privacy Shield” bezeichnet).
  • Der Vorteil des Privacy Shield bestand darin, dass man bei den Privacy-Shield-(selbst)zertifizierten Unternehmen ein adäquates Datenschutzniveau ohne eine weitere Prüfung annehmen durfte.
  • Der Privacy Shield wurde vom EuGH im Juli 2020 für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Der EuGH entschied, dass die Befugnisse der US-Behörden, die es sogar erlauben auf personenbezogenen Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, gegen ein adäquates Datenschutzniveau in den USA sprechen.

Ohne den Privacy Shield bedarf es nunmehr anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen. Ein solches Mittel sind die so genannten “Standardvertragsklauseln” (auch als “Standardschutzklausen” oder auf Englisch als “Standard Contractual Clauses”, SCC, bezeichnet).

Prüfung von Standardvertragsklauseln

Da Standardvertragsklauseln nach Wegfall des Privacy Shield zu der wichtigsten Rechtsgrundlage für US-Transfers werden, stehen Sie im Zentrum der folgenden Ratschläge.

Bei den Standardvertragsklauseln handelt es sich um Musterverträge, die zwischen dem Verantwortlichen und dem Empfänger der Daten abgeschlossen werden (also z. B. beim Einsatz von US-Anbietern und US-Diensten). Der Abschluss der Standardvertragsklauseln alleine ist jedoch nicht ausreichend.

Sie müssen zusätzlich die folgenden Punkte prüfen:

  • Ob die Standardvertragsklauseln nicht verändert wurden und falls ja, die Änderung zulässig war.
  • Ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Das heißt Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird.

In der Praxis erfolgt die Prüfung zunächst anhand von Fragen an die US-Verarbeiter, doch zuerst sollten Sie wissen, welche Verarbeitungen Sie prüfen müssen.

Schritt 1 der Prüfung: Datentransfers in die USA erkennen

Sie müssen alle Ihre Dienstleister und Verarbeitungsverfahren auf mögliche US-Transfers oder den Einsatz von US-Dienstleistern überprüfen. Auch wenn Sie deutsche Dienstleister einsetzen, werden Sie häufig feststellen, dass diese US-Subunternehmen einsetzen und daher auch angeschrieben werden sollten. Dabei müssen Sie beachten, dass viele Unternehmen, wie Google, Amazon oder Microsoft zwar die Dienstleistungen über ihre europäische Tochterunternehmen anbieten, aber trotzdem dem US-Recht unterliegen können.

US-Datentransfers zu erkennen ist gar nicht so einfach. Von Ihnen selbst eingesetzte Dienstleister oder Dienste, wie z. B. Microsoft, Google oder Facebook, sind als Prüfkandidaten einfach zu erfassen. Allerdings können andere von Ihnen zu Verarbeitungszwecken eingesetzte Unternehmen (auch wenn sie in der EU ansässig sind), wiederum selbst Subunternehmen in den USA mit der Verarbeitung Ihrer Daten beauftragen.

Daher müssen Sie auch die Angaben zu Subunternehmern bei Ihren Auftragsverarbeitern (sowie genau genommen auch bei anderen Dienstleistern) prüfen und auch bei diesen eine Prüfung durchführen. Im Ergebnis sollten Sie alle von Ihnen eingesetzten Dienste und Dienstleister auf eine Verarbeitung von personenbezogenen Daten in den USA oder mögliche Zugriffe von US-Behörden “abklopfen” und im Zweifel die folgende Anfrage auch an sie versenden.

Schritt 2 der Prüfung: Alternativen prüfen

Nur weil ein Dienst demselben Zweck dient, heißt es nicht automatisch, dass er eine gleich geeignete Alternative ist. So gibt es EU-Alternativen zu Zoom (Datenschutzbehörden empfehlen zum Teil sogar Videokonferenzdienste selbst zu hosten), aber spätestens, wenn Sie hunderte von Teilnehmern erreichen wollen, sticht Zoom sie sehr wahrscheinlich aus. Auch für WhatsApp gibt es Alternativen, mit denen Sie jedoch wahrscheinlich nicht die gleiche Anzahl von Kunden erreichen werden. Auch die Cloud-Dienste von Microsoft ließen sich theoretisch substituieren, der Aufwand für viele Unternehmen dürfte jedoch immens sein.

Bevor Sie eine Prüfung des Datenschutzniveaus durchführen, sollten Sie prüfen, ob alternative Verarbeitungsmöglichkeiten in der EU/EWR oder in Staaten mit anerkanntem Datenschutzniveau bestehen (z. B. Schweiz, Kanada, Israel, Japan).

Die Alternativen müssen aber gleichwertig sein, wobei Sie die folgenden (nicht abschließenden) Faktoren berücksichtigen können:

  • Usability – Können die Alternativen z. B. genauso einfach bedient werden oder müssten Mitarbeiter neu geschult oder Kunden neu an eine Software gewöhnt werden?
  • Funktionalität und Funktionsumfang – Lassen sich die beabsichtigten Verarbeitungen mit der Alternative genauso effektiv durchführen?
  • Kosten – Sind die Alternative und Kosten ihrer Einführung wesentlich teurer und ist die Mehrbelastung wirtschaftlich bedeutend.
  • Sicherheitsrisiko – Kann die Alternative faktisch dasselbe Sicherheitsniveau bieten? So verweisen z. B. Behörden darauf, dass man z. B. Videokonferenzdienste selbst betreiben kann. Allerdings erscheint es häufig fraglich, ob dabei dasselbe Sicherheitsniveau, wie auf den Konferenzservern großer Unternehmen, geboten werden kann.

Schritt 3 der Prüfung: Rechtsgrundlagen ermitteln

Im nächsten Schritt sollten Sie prüfen, auf welcher Rechtsgrundlage die Daten in die USA übermittelt werden (bzw. US-Dienstleister oder Dienste eingesetzt werden).

Das Privacy Shield scheidet als Rechtsgrundlage aus. In Frage kommen dagegen vor allem die folgenden Rechtsgrundlagen:

  • Abschluss von Standardvertragsklauseln (SCC) – Diese von der EU-Kommission gestellten Musterverträge, müssen um den Gegenstand der Verarbeitung und Hinweise auf Schutzmaßnahmen ergänzt werden, bevor sie in Schriftform oder elektronischer Form abgeschlossen werden können. Die folgende Prüfung berücksichtigt die Standardvertragsklauseln, da sie das Mittel der Wahl nach Wegfall des Privacy Shield sein werden.
  • Binding Corporate Rules – Unternehmen können sich auch selbst verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren. Die Prüfung kann auch auf Binding Corporate Rules übertragen werden.
  • Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird). Erforderliche Datentransfers werden in jedem Fall eine Aufklärung den Kunden oder sonstigen Betroffenen über die Verarbeitung ihrer Daten in den USA erfordern.
  • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, Art. 26 DSGVO) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
  • Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die jedoch eher selten zutreffend werden).

Schritt 4 der Prüfung: Anfragen stellen

In den meisten Fällen werden Sie auf Ihre Anfrage eher allgemeine Antworten erhalten und müssen die relevanten Informationen aus dem Text “herausfischen”. Wie dies in dem Fall dieser Antwort von Microsoft erfolgen kann, erfahren Sie in dem nächsten Schritt Ihrer Prüfung.

Bevor Sie mit der Prüfung beginnen, müssen Sie die erforderlichen Informationen einholen. Dazu empfehle ich Ihnen die folgende Anfrage. Sie dürfen sie frei nutzen (sie baut auf Ratschlägen des NYOB und der Datenschutzbehörden auf).

To whom it may concern

In its decision of 16.7.2020 – C-311/18 “Schrems II” (in particular sections 138 to 145), the European Court of Justice declared the so-called Privacy Shield to be ineffective. The court justified this in particular by stating that the level of data protection in the USA does not meet the requirements of European data protection because US authorities (and above all secret services) are allowed to access personal data of EU citizens without EU citizens having the right of appeal.

Due to the decision of the ECJ, we are obliged to review our service providers and providers of the services we use with regard to processing in the USA and determine an adequate level of data protection. Otherwise, we will have to discontinue further use of such services.

For purposes of this review, we ask you to answer the following questions within 14 days or to refer to online sources where these questions are answered.

Note on the use of sub-contractors: If you are not a U.S. company yourself or are not affected by the U.S. regulations listed below, but use sub-contractors to perform your services, that process data of EU citizens in the U.S. or are subject to U.S. laws that allow access to personal data, we ask you to answer the following questions regarding the sub-contractors used. If Standard Contractual Clauses have been concluded with sub-contractors, we ask you to inform us whether the Standard Contractual Clauses are also being offered to us as the Controller (since there are only Standard Contractual Clauses in the relationship of Controller – Controller or Controller – Processor, but not in the relationship of Processor – Sub-processor).

(A) Applicability of US regulations

Do you process (either yourself or through subcontractors) the personal data available to you as a result of our use of your service(s) in the United States or are you otherwise subject to the following U.S. laws that permit access to personal data?

If this is the case, please also answer the other questions.

(I) Direct Application of 50 U.S.C. § 1881a (= FISA 702)

(1) Do you or any other relevant US entity (controller or processor) that processes or has access to personal data that is transferred to you fall under one of the following definitions in 50 U.S.C. 1881(b)(4), that could render you or the other entit(ies) directly subject to 50 U.S.C. § 1881a (= FISA 702)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(2) Especially,

(a) are you or any other relevant US entity a telecommunications carrier, as that term is defined in section 153 of title 47 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(b) are you or any other relevant US entity a provider of electronic communication service, as that term is defined in section 2510 of title 18 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(c) are you or any other relevant US entity a provider of a remote computing service, as that term is defined in section 2711 of title 18 U.S.C.?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(d) are you or any other relevant US entity any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(e) or are you or any other relevant US entity an officer, employee, or agent of an entity described in (a), (b), (c), or (d)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(II) Processing under EO 12,333

Do you, or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you, cooperate in any respect with US authorities conducting surveillance of communications under EO 12.333, should this be mandatory or voluntary?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question

(III) Other relevant laws

Are you or any other relevant US entity (controller or processor) that processes personal data that is transferred from us to you subject to any other law that could be seen as undermining the protection of personal data under the GDPR (Article 44 GDPR)?

☐ Yes ☐ No ☐ We are under a legal obligation not to answer this question If so, please specify these laws: _____________________.

(B) Legal basis of processing in third countries

(I) If you answered “Yes” to the questions mentioned above in (A), or if no information is provided, but applicability is generally affirmed, please inform us of the legal basis for the transfer or processing of personal data in the USA in accordance with Articles 45 to 49 GDPR:

☐ Standard contract clauses

☐ Binding Corporate Rules

☐ other:

_________________________.

(II) If the transmission is based on Standard Contractual Clauses  (or alternatively Binding Corporate Rules), can you provide us with the Standard Contractual Clauses / Binding Corporate Rules (or their web address)?

URL: _________________________________.

(C) Adaptation of Standard Contractual Clauses / Binding Corporate Rules

(I) Have the Standard Contractual Clauses been individually adapted/ supplemented or otherwise changed by you? If so, in which places?

☐ Yes ☐ No

If so, which changes have been included? _________________________.

(II) Will you supplement the standard contractual clauses (or, accordingly, the Binding Corporate Rules) with further (accompanying) assurances or clarification possibilities which serve to compensate for the disadvantages for the level of data protection identified by the ECJ?

☐ Obligation to check whether government measures are necessary, if not threatened by criminal law, information of users/customers/ affected persons.

☐ Obligation to defend against state access to data of EU citizens until the legal process is exhausted.

☐ Obligation to reimburse costs, damages or losses to its users/clients or to affected persons in case of culpable violation of obligations under the standard contract clauses.

☐ Obligation to pay a contractual penalty in case of culpable breach of obligations under the standard contractual clauses.

☐ other: _________________________.

(D) Technical and organizational security measures

Have you taken appropriate technical and organizational measures (see Article 32 GDPR) for each step of the processing operations to ensure that mass and indiscriminate processing of personal data by or on behalf of US authorities is excluded? What measures have you taken to this end?

☐ Data processing exclusively in the EU (EU server).

☐ End-to-end encryption.

☐ Transport encryption.

☐ Encryption during storage on the server (decryption for purposes of providing the service/provision of services).

☐ No existence of backdoors to encrypted software.

☐ Obligation to join litigation proceedings in which the aforementioned claims are to be fended off.

☐ Other: _________________________.

 

Thank you for your time

Schritt 5 der Prüfung: Bestimmung des Risikos für Betroffene

Um zu prüfen, ob das Datenschutzniveau in den USA angemessen ist, müssen Sie wissen wie hoch die Anforderungen an das Datenschutzniveau sind.

Der EuGH hat das Datenschutzniveau in den USA pauschal beurteilt und musste dabei auch potentiell sensible Sachverhalte beurteilen (z. B. Angaben zu politischen Aktivitäten, sexuelle Ansichten, vermögensbezogene Angaben, etc.).

Sie nehmen jedoch eine individuelle Prüfung vor und müssen beurteilen, welche möglichen Folgen für die Betroffenen beim Zugriff durch US-Behörden eintreten können (Dazu sehr lesenswert der Beitrag von Dr. Carlo Piltz: Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln).

Dabei können Sie davon ausgehen, dass je sensibler die verarbeiteten Daten sind, desto höher das Risiko sein wird. Beispiele:

  • Verarbeitung einer Personalakte in den USA – Eine Personalakte kann Angaben zur Gesundheit, Gewerkschaftszugehörigkeit, Leistungsbewertungen oder weitere sensible Informationen enthalten. Wenn diese bekannt werden würden, dann könnten diese Informationen z. B. zur Verweigerung einer Einreise aufgrund Vorerkrankungen oder für ein politisches Profiling verwendet werden. In diesem Fall müssten die Schutzmaßnahmen hoch sein und z. B. eine Verschlüsselung voraussetzen, bei der nur das EU-Unternehmen, aber nicht der US-Anbieter Zugriff auf die Daten erhält.
  • Nutzung von Videokonferenzdiensten – Ein weitaus geringeres Risiko liegt dagegen vor, wenn Mitarbeiter mit ihrer beruflichen E-Mailadresse an einer Videokonferenz teilnehmen und dort berufliche Inhalte austauschen. In einem solchen Fall wäre m. E. die Verschlüsselung der Kommunikationsinhalte ausreichend und die mögliche Kenntnis, wann Mitarbeiter mit wem gesprochen haben, für die Mitarbeiter kaum vom Nachteil.
  • Nutzung von US-Newsletterplattformen – Die Tatsache, dass jemand einen Newsletter bezieht, sehe ich zunächst eher als unverfänglich an. Daher wäre das Risiko E-Mailadressen bei einem US-Anbieter zu speichern gering. Anders wäre es, wenn es sich um einen Newsletter zu politisch brisanten oder sexuellen Themen handeln würde (und zudem auch gespeichert werden würde, welche Inhalte die Nutzer gelesen oder welche Links im Newsletter sie geklickt haben). Hier wäre das Risiko höher und eine Speicherung auf EU-Servern oder Aufklärung der Nutzer wäre zu empfehlen.

Schritt 6 der Prüfung: Bewertung der Schutzmaßnahmen

In diesem Beispiel wurde das Datenschutzniveau für Microsoft Teams Videokonferenzen geprüft. Selbstverständlich können Sie die Auflistung anders aufbauen, um weitere Angaben zu ergänzen oder gleich in ein vorhandenes Verzeichnis Ihrer Verarbeitungstätigkeiten zu integrieren.

Der schwierigste Teil der Prüfung ist die Auswertung der Rückläufe und die Beurteilung, ob das Datenschutzniveau bei den jeweiligen Anbietern hinreichend ist. Da es keine Muster oder Schablonen gibt, müssen Sie jeden Fall einzeln beurteilen. Dabei können Sie auf die folgenden Kriterien zurückgreifen:

  • Verarbeitung auf EU-Servern – Der sog “Cloud Act” erlaubt den US-Behörden in bestimmten Fällen die Herausgabe von Daten auf EU-Servern zu verlangen. Allerdings ist das Risiko einer physischen Beschlagnahme der Datenträger im Fall der Weigerung der Anbieter geringer.
  • Verschlüsselung – Auch eine Verschlüsselung der verarbeiteten Daten steigert das Datenschutzniveau. Allerdings kommt es auf die Art der Verschlüsselung an. Am sichersten ist eine Verschlüsselung, bei der nur Sie die Daten entschlüsseln können oder von Ihnen bestimmte Dritte (sog. Ende-zu-Ende-Verschlüsselung). Ein geringeres Schutzniveau besteht, wenn der US-Verarbeiter Ihre Daten entschlüsseln kann (was bei SaaS-Anwendungen zur weiteren Verarbeitung der Daten in der Regel notwendig ist). Zudem muss auch bedacht werden, dass häufig Inhalte verschlüsselt werden, aber nicht die Metadaten (d. h. z. B. Angaben, wer mit wem, wann und wo kommuniziert hat).
  • Kein Vorhandensein von Backdoors – Um auch gegen behördliche Zugriffe geschützt zu sein, sollten Verschlüsselungsverfahren keine Möglichkeiten einer Hintertür für Behörden bieten (zumal solche Hintertüren, dann auch eine Gefahr für unerlaubte Zugriffe anderer Akteure bieten).
  • Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden – Auch die Maßnahmen der US-Behörden müssen für sich beurteilt werden. So ist eine Anfrage im Fall schwerer Kriminalität, die sich auf evidente Tatsachen stützt und auf einen Einzelfall bezieht anders zu bewerten als eine unbegründete und verdachtslose Abfrage einer Vielzahl von Daten. Die Zusicherung diese Prüfung zu hinterfragen und sich gerichtlich gegen nicht erforderliche Abfragen zu wehren, steigert daher das Datenschutzniveau.
  • Zusicherung der Information über Behördenanfragen – Eine gesonderte Zusicherung der Information im Fall behördlicher Anfragen (außer diese sind strafrechtlich untersagt) erhöht das Datenschutzniveau, da so z. B. eigene Abwehrmaßnahmen ergriffen werden können.
  • Art der Zusicherungen – Zusicherungen der US-Verarbeiter wiegen je mehr, je verbindlicher sie erfolgen. So wäre eine vertragliche Verpflichtung keine Daten ohne Vorprüfung herauszugeben höher zu werten als ein einseitiges “Commitment”.
  • Nachweis durch Audits – Viele der technischen und organisatorischen Maßnahmen basieren letztendlich auf Vertrauen in den Anbieter. Dieses Vertrauen kann durch positive und unabhängige Prüfberichte bestätigt werden.
  • Verpflichtung zur Zahlung einer Vertragsstrafe – Ein Indiz dafür, dass ein Anbieter seine Zusagen ernst meint, ist die explizite Verpflichtung eine Vertragsstrafe an betroffene Personen bei Verstößen zu zahlen. Allerdings wird dies aufgrund der unsicheren Rechtslage eher selten der Fall sein.
  • Keine Änderung der Standardvertragsklauseln – Standardvertragsklauseln dürfen grundsätzlich nur unverändert genutzt werden. Ansonsten müssen die Datenschutzbehörden die Änderungen freigeben. Aus diesem Grund sollten Zusicherungen am besten in gesonderte Vereinbarungen aufgenommen werden.

Diese Liste ist nicht abschließend und kann um weitere Maßnahmen zur Steigerung der Sicherheit ergänzt werden. Falls Sie weitere Vorschläge haben, schreiben Sie sie in die Kommentare und ich nehme sie gerne zusätzlich auf.

Schritt 8 der Prüfung: (Negatives) Ergebnis

Falls Ihre Prüfung negativ ausfallen sollen, müssen Sie entweder doch eine Alternative suchen, das Risiko eines bewussten Rechtsverstoßes eingehen oder zuerst eine Meldung an die Datenschutzbehörde erstatten und darauf hoffen, dass ihre Fallbearbeitung länger dauert, als die Errichtung eines neuen “Privacy Shield 2”. Wann dieser kommt, kann derzeit jedoch niemand vorhersagen. Bei dem aufgehobenen Privacy Shield dauerten die Verhandlungen 6 Monate, wobei das politische Klima zwischen der EU und den USA weitaus weniger angespannt war als es derzeit ist (Link Beitrag).

Wenn Sie mit Ihrer Abwägung zu dem Ergebnis kommen, dass ein angemessene Datenschutzniveau besteht, dann können Sie die Nutzung der Dienste oder sonstige US-Transfers aufrechterhalten (sollten jedoch nach ca. 6-12 Monaten evaluieren, ob keine Änderungen eingetreten sind).

Sollten Sie im Ergebnis dazu gelangen, dass das Datenschutzniveau nicht aufrecht gehalten werden kann, stehen Ihnen die folgenden Optionen zur Verfügung:

  • Verarbeitung einstellen und eine Alternative wählen – Damit wären Sie wieder beim Schritt 2 und müssten die dort genannten Nachteile der Alternativen in Kauf nehmen.
  • Anfrage bei der Datenschutzaufsichtsbehörde stellen – Laut dem Europäischen Datenschutzausschuss und laut den Datenschutzbehörden sollen Sie Verarbeitungen, die nicht dem Datenschutzniveau genügen, den Datenschutzbehörden melden. Allerdings kann ich mir kaum vorstellen, dass die Behörden zu einem anderen Ergebnis gelangen werden als Sie.
  • Risiko eingehen – Zumindest bisher scheint es nicht so, als ob Aufsichtsbehörden konkrete Schritte ergreifen und diese vor allem über die Untersagung reichen werden. Denn dies könnte einen wirtschaftlich und politisch unerwünschten Dominoeffekt auslösen, wenn die US-Transfers blockiert werden. Daher gehe ich auch nicht von der Verhängung von Bußgeldern aus. Insoweit erscheint das Risiko doch ein positives Ergebnis anzunehmen, aber weiter zu evaluieren sowie die Sach- und Rechtslage (bis ein neuer “Privacy Shield” beschlossen wird) zu beobachten als vertretbar. Das zumindest, wenn das Datenschutzniveau nicht offensichtlich unterschritten wird (Hinweis: Weder rate ich allgemein zu der Alternative, noch heiße ich sie gut).

Checkliste

In der folgenden Checkliste erhalten Sie eine Zusammenfassung der vorgenannten Maßnahmen:

  1. Schritt: Datentransfers in die USA erkennen
    • In den US ansässige Unternehmen.
    • Unternehmen, die Subunternehmer aus den USA einsetzen (wenn unbekannt, nachfragen).
  2. Schritt: (EU-)Alternativen prüfen
    • Kriterien: Gleiche Eignung, Funktionen, Usability, Kosten.
  3. Schritt: Rechtsgrundlagen prüfen
    • Abschluss von Standardvertragsklauseln (Regelfall)
    • Binding Corporate Rules
    • Erforderliche Datentransfers
    • Einwilligungen
    • Weitere Ausnahmen
  4. Schritt: Anfragen stellen
  5. Schritt: Bestimmung des Risikos für Betroffene
  6. Schritt: Bewertung der Schutzmaßnahmen
    • Verarbeitung auf EU-Servern.
    • Verschlüsselung.
    • Kein Vorhandensein von Backdoors.
    • Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörden.
    • Zusicherung der Information über Behördenanfragen.
    • Nachweis durch Audits und Zertifikate.
    • Art der Zusicherungen (einseitig/ vertraglich).
    • Keine Änderung der Standardvertragsklauseln.
    • Information der Betroffenen über Risiken der US-Verarbeitung.
  7. Schritt: (Negatives) Ergebnis
    • Verarbeitung einstellen und eine Alternative wählen
    • Anfrage bei der Datenschutzaufsichtsbehörde stellen
    • Risiko eingehen

Fazit und Empfehlung

Die in diesem Beitrag vorgestellten Maßnahmen werden Ihnen helfen, die Zulässigkeit von Datentransfers in die USA, bzw. den Einsatz von US-Dienstleistern und Diensten zu prüfen.

Auch wenn die Richtigkeit Ihrer Ergebnisse ungewiss sein sollte, senkt bereits die Durchführung der Prüfung Ihr Risiko, weshalb ich Ihnen zu der Prüfung rate. Denn anders als die Auswertung der Antworten, lassen sich die Anfragen nicht so schnell nachholen, sollte dies z. B. auf Nachfrage der Behörden hin notwendig werden (auch hier rate ich Ihnen die Prüfung dennoch vollständig und möglichst zeitnah durchzuführen).

Ferner freue ich mich auf Ihre Hinweise oder Tipps zur Ergänzung meiner Ratschläge. Darüber hinaus empfehle ich stets fachliche Rechtsberatung zu suchen, wenn Sie sich die Prüfung nicht zutrauen oder den sichersten Weg gehen möchten.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung mit über 600 aktuellen Modulen, u.a. mit Angaben zu Videokonferenzdiensten, Drittlandtransfers oder Social-Media-Diensten  testen ohne Anmeldung  kein Abo  nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.


Kommentare

  1. Moin moin Herr Dr. Schwenke,
    vielen Dank für die Aufbereitung des Themas.
    Sehr verständlich und ausführlich beschrieben!
    …und nebenbei: so einfach erklärt sich auch das Ranking 🙂
    Viele Grüße aus Hamburg
    B. Petersen

  2. Hi Thomas,
    ein guter Artikel, dem ich in weiten Teilen folgen kann.
    in einigen Teilen jedoch so gar nicht.
    Du hast zwar den Cloud-Act angeführt, aber nicht die Risiken, die sich aus anderen Acts ergeben (können).
    Vielleicht solltest Du auch erwähnen, das dies nicht US-Dienste betrifft, sondern z.B. auch russische oder chinesische.
    Ich hätte noch weitere Anmerkungen, will aber den Platz hier nicht sprengen.
    Für weitergehende Informationen oder gar einen Austausch, stehe ich Dir gern zur Verfügung.

    1. Lieber Andreas, ja, das gilt generell für alle Drittländer, daher der ergänzende Hinweis im Beitrag oben: “Großbritannien und andere Drittländer: Anlassbezogen geht es vorliegend um die Prüfung von US-Datentransfers. Allerdings muss die Prüfung für alle Drittländer erfolgen, bei denen die EU-Kommission kein angemessenes Datenschutzniveau festgestellt hat. Dazu gehört ab Ende des Jahres neben den USA und z. B. Indien, China oder Russland, mit aller Wahrscheinlichkeit auch Großbritannien. Hierzu verweise ich auf meinen Beitrag “In 8 Schritten zum DSGVO-sicheren Brexit – Praxishinweise und Checkliste“.”

      Gerne bin ich auf deine Hinweise gespannt, denn das Thema ist in vielen Belangen diskussionswürdig. Gerne kannst Du sie hier als Kommentar posten.

  3. Danke für den Artikel.
    Er bestätigt meine Ansicht, dass es derzeit 2 realistische Möglichkeiten gibt: Warten auf den Privacy-Shield Folgevertrag oder viel Aufwand mit SCCs und Anfragen und Rückfragen bei Dienstleistern und Auftragsverarbeitern, Risikobewertungen usw. mit dem Resultat dass sich an den Verarbeitungsvorgängen selbst genau nichts ändert – man argumentiert nur mühsam, dass es eh passt und nicht anders geht.
    Kein größeres Unternehmen kommt an MS , AWS, Google Analytics etc. vorbei, sterben werden eher kleine europäische Anbieter, die im Hintergrund auch US-Dienstleister benutzen, aber keine Rechtsabteilung haben, die sich den Sachverhalt zurecht- bzw. schönschreiben kann.
    Sehen Sie das im wesentlichen anders?
    dann bis Schrems III….

  4. Das Problem ist doch, dass diese gesamte Argumentation im absolut luftleeren juristischen Raum sich bewegt.

    Es gibt keinerlei Rechtsprechung dazu. Die Einschätzungen und Pressemitteilungen der einzelnen Länderbehörden sind seeeehr unterschiedlich. Berlin droht bereits mit Bußgeldern in der Pressemitteilung, BaWü ist dagegen deutlich entspannt.

    Die finanziellen Konsequenzen von Datenschutzverletzungen sind so massiv, dass keine Geschäftsführung dieses Risiko eingehen wird, es sei denn, die Nutzung der entsprechenden Tools ist für das Leben absolut zwingend und überlebensnotwendig.

    In dem aktuellen Podcast wird z.B. gesagt, dass, wenn ich ein Webinar mit 400 Leuten veranstalten will, praktisch nur Zoom übrigbleibt.
    Problem ist hier nur: Berlin wird Ihnen dann eiskalt sagen, dass Sie dann eben keine solche Veranstaltung durchführen können/dürfen.
    😉

    1. Stimme ich absolut zu und das ist die Krux: wir handeln weniger nach festen, nachvollziehbaren Gesetzen, als eher nach einem risikobewertendem Bauchgefühl. Wer wirtschaftlich agieren will, kann sich kaum leisten auf Nummer Sicher zu handeln, wenn den risikobereiten Mitbewerbern keine Konsequenzen drohen.

  5. Da freuen sich meine Kunden mit 20 Mitarbeitern, wenn ich den ausgedruckten Artikel vorlege und deren Mitarbeiter ein paar Tage einbinde, um das alles durchzugehen.
    Niemand wird das tun, und wenn ich fordernd meine Stimme erhebe, … mein Nachfolger wird den Fehler nicht mehr machen.
    In der gleichen Zeit hab ich auch das gesamte Verfahrensverzeichnis niedergeschrieben.

  6. Sehr guter und ausführlicher Artikel.
    Zur Vollständigkeit fehlt mir ein Hinweis, wie mit den Sub-Auftragnehmer von eingesetzten Dienstleistern umzugehen ist. Es wäre wohl am einfachsten, die Aufgabe zur Prüfung dem Auftragnehmer zu übertragen. Aber reicht das aus, da der Verantwortliche ja eben die Verantwortung über die Verarbeitung trägt?
    MfG Peter

  7. Vielen Dank für die Ausführungen.
    Woraus ergeben sich denn die Ausführungen hinsichtlich der Rechtsgrundlage „Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird)…“ Ich habe dass in dieser Form bisher noch nicht gehört!
    VG Yoshi

  8. Super Übersicht. Aber kommt nicht nach Schritt 6 Schritt 7 anstatt “Schritt 8 der Prüfung: (Negatives) Ergebnis”

    Ansonsten TOP…

    P.S. Das erste Feedback von MS habe ich erhalten.

  9. Danke für den Artikel. Das ganze ist halt besonders lustig, wenn man als Hobbyist/Nebenberufler Einzelkämpfer ist und für Office & Mail gerne die Cloud nutzen würde – z.B. GSuite und ähnliche Angebote.

    Ich teile ja absolut die Auffassung, dass die USA kein akzeptables Datenschutzniveau ggü. dem Staat bieten können. Aber was sollen wir denn machen? Niemand hier in der EU hat die Expertise und Leistung von Google und Microsoft. Die hiesigen Produkte fühlen sich einfach 100x hakeliger an, sind teurer und ich möchte mal behaupten, dass das IT-Sicherheitsniveau bei Google & MS auch deutlich höher sein dürfte als bei vielen EU-Anbietern.

  10. Lieber Dr. Schwenke,

    besten Dank für die ausführliche und – unter den Umständen gegebene – Praxisnähe.
    Eine Frage bleibt mir dennoch zu Ihrem Schritt 3, der Ermittlung der Rechtsgrundlagen: Was ist denn der Unterschied zwischen der Einwilligung nach Art. 6 I 1 lit. a) und der Einwilligung nach Art. 49 I 1 lit. a) DSGVO? Während die Einwilligung nach 49 sich zwar offenbar ausdrücklich auf den internationalen Datentransfer bezieht, könnte dieser doch auch (bei entsprechendem Wording) durch eine Einwilligung nach 6 abgedeckt sein…oder?
    Freue mich auf Ihre Antwort! 🙂

    Freundliche Grüße
    Daniel Kluge

    1. Die Einwilligung nach 49 muss ausdrücklich auf die Verarbeitung im Drittland beziehen, bedarf also dieser speziellen Erläuterung. Die Einwilligung nach Art. 6 kann zugleich auch die Anforderung der Einwilligung nach Art. 49 DSGVO erfüllen.

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.