Der Verkehr personenbezogener Daten zwischen der EU und den USA ist kompliziert und mühsam.
An sich ist das unverständlich, wenn man sich das Gewicht der wirtschaftlichen Beziehung zwischen der EU und den USA vor Augen führt: 7,1 Billionen Dollar! Und der Datenverkehr? Stand heute: undurchsichtig und ungeregelt.
Doch warum ist das so?
Die DSGVO sagt zum Datenexport in nicht-europäische Länder, sogenannte Drittländer, Folgendes:
Nur unter ganz bestimmten und strengen Kriterien ist es gestattet, personenbezogene Daten in sogenannte Drittländer, z.B. die USA, zu übermitteln.
Das ist z.B. dann der Fall, wenn die EU-Kommission durch einen Angemessenheitsbeschluss festgestellt hat, dass das Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DSGVO). Gibt es für das Drittland keinen Angemessenheitsbeschluss, muss der Datenverarbeiter selbst Maßnahmen zur Gewährleistung des europäischen Schutzniveaus treffen. Welche Maßnahmen insoweit in Betracht kommen, können Sie in Art. 46 DSGVO nachlesen.
In der Praxis spielen oft die sogenannten Standardverträge und die Binding Corporate Rules (BCR) eine entscheidende Rolle.
Binding Corporate Rules stellen verbindliche interne Unternehmensregeln zum Umgang mit persönlichen Daten dar. Sie können Datenübermittlungen in internationalen Konzernen schützen.
Standardverträge basieren hingegen auf einem Beschluss der EU-Kommission. Dieser Beschluss enthält ein Vertragsmuster. Zwischen dem europäischen Datenexporteur und dem amerikanischen Datenimporteur kann mit diesem Vertragsmuster eine Datenschutzvereinbarung geschlossen werden. Auf Grundlage dieser Vereinbarung könnte dann eine datenschutzkonforme Datenübermittlung stattfinden.
Auf welcher Grundlage findet der EU-USA-Datentransfer zwischen Unternehmen statt?
Zunächst sollten Sie die Historie der verschiedenen EU-USA-Datenschutzabkommen kennen. Dann werden Sie auch die Knackpunkte des neuen Abkommens im zweiten Teil dieses Blog-Beitrags überblicken.
Los geht´s!
Was bisher geschah:
Erstes Abkommen: Safe Harbor-Abkommen („sicherer Hafen“)
Um den rechtskonformen EU-USA-Datenverkehr zu gewährleisten, hatte die EU-Kommission mit der US-Regierung die sogenannten Grundsätze des „sicheren Hafens“ („Safe Harbor Principles“) vereinbart. Darauf beruhend hatte die EU-Kommission einen Angemessenheitsbeschluss für die USA erlassen. Dieser bescheinigte, dass das US-Datenschutzniveau ausreichend sei, persönliche Daten der EU-Bürger zu schützen. So konnte der EU-USA-Datentransfer „datenschutzkonform“ erfolgen.
Doch mit der Zeit mehrten sich Stimmen, die von dem Datenschutzniveau in den USA nicht überzeugt waren. So appellierten die deutschen Datenschutzaufsichtsbehörden im Jahr 2015 an datenexportierende Unternehmen:
Safe Harbor bietet keinen ausreichenden Schutz für den Datentransfer in die USA!
Dieser Überzeugung war auch der Datenschutzaktivist Maximilian Schrems. Er rief den Europäischen Gerichtshof (EuGH) an. Daraufhin hat der EuGH im Oktober 2015 den Angemessenheitsbeschluss für die USA in seinem Safe Harbor-Urteil für ungültig erklärt. Doch warum?
Die unendliche Freiheit der US-Sicherheitsbehörden
Die europäischen Richter kamen zu dem Ergebnis:
Das „Safe Harbor“ genannte EU-USA-Datenschutzabkommen gewährleistet keinen angemessenen Datenschutz in den USA!
Das Abkommen ermöglichte US-Unternehmen nach Durchlaufen eines bestimmten Prüfsystems sich selbst zu zertifizieren und sich hierdurch den Grundsätzen und Regeln des „sicheren Hafens“ zu unterwerfen. Auf diese Weise konnten US-Unternehmen ein angemessenes Datenschutzniveau nachweisen. So konnten dann europäische Unternehmen den Datenverkehr mit US-Unternehmen aufrechterhalten. Persönliche Daten von EU-Bürgern flossen so in die USA.
Das, was die europäischen Richter am Safe Harbor-Abkommens aber spürbar genervt hat, war Folgendes:
US-Sicherheitsbehörden blieben frei und ungebunden. Die Regeln des Safe Harbor-Abkommens konnten sie einfach unbeachtet lassen. Ohne Konsequenzen! US-Geheimdienste befanden sich in den USA sozusagen im rechtsfreien Raum, was die persönlichen Daten der EU-Bürger anbelangt. Mehr noch: US-Behörden hatten sogar die Befugnis, die Safe Harbor-Grundsätze zu begrenzen, aus Gründen der nationalen Sicherheit oder einfach durch ein schlichtes Gesetz.
Dem EuGH gefiel das aber nicht. Das Gericht war der Auffassung, dass die Überwachung und massenhafte Datenspeicherung durch US-Geheimdienste die Individualgrundrechte der EU-Bürger verletzt:
- Recht auf Achtung des Privat- und Familienlebens nach Art. 7 EU-Grundrechtecharta und
Recht auf Datenschutz nach Art. 8 EU-Grundrechtecharta.
Kein gerichtlicher Rechtsschutz für EU-Bürger in den USA
War ein EU-Bürger der Meinung, dass seine persönlichen Daten in den USA nicht rechtmäßig verarbeitet wurden, konnte er unter dem Safe Harbor Abkommen zudem keine US-Gerichte in Anspruch nehmen, um seine Rechte durchzusetzen. Eine solche Rechtsschutzmöglichkeit war schlicht nicht vorgesehen. Damit konnte kein Betroffener den Zugang auf die gespeicherten persönlichen Daten oder deren Berichtigung oder Löschung gerichtlich erwirken. Deshalb – so der EuGH – war auch das Grundrecht auf wirksamen gerichtlichen Rechtsschutz nach Art. 47 EU-Grundrechtecharta beeinträchtigt.
Keine unabhängige Datenschutzaufsicht in den USA
Zudem verstieß Art. 3 der Safe Harbor-Grundsätze gegen Art. 8 EU-Grundrechtecharta, der das Recht einer betroffenen Person garantiert, zum Schutz ihrer Grundrechte nationale und unabhängige Kontrollbehörden anzurufen. In der EU gibt es unabhängige nationale Datenschutzaufsichtsbehörden, an die sich Betroffene mit ihren Beschwerden wenden können. Die Aufsichtsbehörden in der EU sind mit eigenen Befugnissen ausgestattet, um Datenschutzverstöße zu prüfen und zu sanktionieren. In den USA sah dies aber anders aus. Die Befugnisse der US-Datenschutzaufsicht war nach Auffassung des EuGH zu sehr eingeschränkt.
Damit war das EU-USA-Datenschutzabkommen „Safe Harbor“ gescheitert.
Zweites Abkommen: EU-U.S. Privacy Shield (EU-US-Datenschutzschild)
Nachdem das Safe Harbor-Abkommen vom EuGH für ungültig erklärt wurde, erblickte das EU-U.S. Privacy Shield als neues Datenschutzabkommen zwischen der EU und den USA das Licht der Welt. Dieses Abkommen sollte den datenschutzkonformen EU-USA-Datentransfer sicherstellen. Sodann befand die EU-Kommission in ihrem Angemessenheitsbeschluss im Jahr 2016, dass die Vorgaben des Privacy Shield dem Datenschutzniveau der EU entspreche.
Erneut hat aber der Datenschutzaktivist Schrems die europäischen Richter in Luxemburg angerufen. Wiederholt hat der EuGH daraufhin den auf das Privacy Shield gestützten Angemessenheitsbeschluss der Kommission für ungültig erklärt.
Grund:
Die Befugnisse der US-Geheimdienste seien nicht „auf das erforderliche Maß beschränkt“.
Dies stelle einen Verstoß gegen den unionsrechtlichen Grundsatz der Verhältnismäßigkeit nach Art. 52 EU-Grundrechtecharta dar.
Erneut bemängelte der EuGH zudem, dass betroffenen EU-Bürgern keine gerichtliche Durchsetzungsmöglichkeit von EU-Grundrechten gegenüber den amerikanischen Behörden eingeräumt wurde. Zwar sah das Privacy Shield ein Obmudsmechanismus vor, das Betroffenen ermöglichte, Ihre Beschwerden und Rechte geltend zu machen.
Jedoch reichte das dem EuGH nicht aus. Insbesondere war die Ombudsperson dem US-Außenminister unterstellt und bekleidete im Außenministerium einen Posten. Eine Unabhängigkeit genoss die Ombudsstelle also nicht. Sie war auch nicht mit eigenen Befugnissen ausgestattet. Insbesondere war sie nicht berechtigt, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen.
Betroffene aus der EU hatten auch im Rahmen des „Privacy Shield“ keine Möglichkeit, in den USA Gerichte anzurufen, um Zugang zu den sie betreffenden Daten zu erlangen oder die Berichtigung oder Löschung ihrer Daten zu erwirken. Damit war das Projekt „Privacy Shield“ als EU-USA-Datenschutzabkommen gescheitert.
Unsicherheit für Unternehmer
Seit den beiden EuGH-Urteilen herrscht große Unsicherheit im Hinblick auf den EU-USA-Datentransfer. Viele Unternehmen in der EU sind verunsichert. Was ist nun erlaubt, was ist bei Datenübermittlungen in die USA zu beachten? Worauf ist zu achten, wenn zur Erbringung eigener Leistungen Dienstleister aus den USA eingeschaltet werden?
Hierbei sollten Sie insbesondere daran denken, dass Sie entsprechende datenschutzrechtlich notwendige Verträge mit den von Ihnen beanspruchten Dienstleistern abschließen, zum Beispiel Auftragsverarbeitungsverträge oder Verträge zur gemeinsamen Datenverantwortlichkeit. Darüber hinaus gilt es darauf zu achten, die eigene Webseite datenschutzkonform zu gestalten, wenn Sie amerikanische Tools und Webanalyse-Dienste auf der eigenen Webseite verwenden.
Benötigen Sie Struktur, Ordnung und Übersicht für Ihre Auftragsverarbeitungsverträge und internationalen Datentransfers?
Die auf Datenschutz spezialisierten Software-Entwickler unseres Schwesterunternehmen „Byte Solution“ haben ein softwarebasiertes Datenschutz-Management-System entwickelt: die sogenannte „Privacy-Management-Cloud“ (kurz: PRIMA Cloud). Die PRIMA Cloud enthält, neben anderen Datenschutz-Funktionalitäten, auch den „Vertragsmanager“. Hier können Sie sämtliche datenschutzrelevante Verträge verwalten und strukturieren. Die PRIMA-Cloud leitet Sie an, Ihre Prozesse im Unternehmen sofort datenschutzkonform zu gestalten.
Bernhard Brands und das Team der Brands Consulting stehen Ihnen gerne in Fragen des Datenschutzes zur Verfügung. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse. Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!