> EU US Privacy Shield

Mögliches Datenschutzrisiko unter der US-Regierung Trumps – Worauf europäische Unternehmen beim Datentransfer in die USA achten sollten

Datentransfer in die USASeit der Amtseinführung des neuen US-Präsidenten Trump herrscht vielfach große Unsicherheit in der Welt. Wir möchten hier keinerlei politische Statements setzen, sondern vielmehr mögliche Auswirkungen auf den Datentransfer in die USA thematisieren. Die Ankündigung des US-Präsidenten für die neue US-Politik lautete: „America first!“ — doch was hat dies für Europa und besonders für die europäische Wirtschaft zu bedeuten? Besonders im Bereich Datenschutz sollten sich Unternehmer die Frage stellen, ob nach der Aushebelung des „Safe-Harbor-Abkommens“ unter den derzeitigen Bedingungen ein neues Abkommen in Aussicht steht, welches die Sicherheit des Datentransfers in die USA garantiert.

Grundlegendes über den Datentransfer an Dienstleister

Im Grundsatz gilt für die Übermittlung von personenbezogenen Daten (z.B. Name, Geburtsdatum, Kontonummer) nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), dass diese nur stattfinden kann, sofern

  • dies von dem Betroffenen erlaubt wurde oder
  • eine gesetzliche Regelung existiert, welche eine Datenübertragung ohne die Zustimmung des Betroffen gestattet.

Nach § 11 BDSG ist ein Datentransfer ohne die Zustimmung des Betroffenen gestattet, sofern

  • personenbezogene Daten im Auftrag und nach Weisung des Auftragsgebers erhoben, verarbeitet und genutzt werden, (z.B. zur Entgeltabrechnung) und
  • sich der Datentransfer zwischen EU-Mitgliedsstaaten oder Mitgliedsstaaten des Europäischen Wirtschaftsraum (EWR), z.B. Norwegen, abspielt (§§ 4d Abs. 1 und 4c BDSG). Dies resultiert aus der Tatsache, dass innerhalb der EU und des EWR ein einheitliches Datenschutzniveau herrscht. Maßgeblich dafür ist die Datenschutzrichtlinie 95/46/EG.
  • Weiterhin muss ein sogenannter ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) zwischen Übermittler und Überträger bestehen.

Werden die Daten jedoch von einem Dienstleister verarbeitet, der seinen Sitz in einem Land hat, das weder Mitglied der EU oder des EWR ist, liegt nach formalen Aspekten keine Auftragsdatenverarbeitung vor, da diese nach deutschem Datenschutzrecht nicht unter das Privileg der Auftragsdatenverarbeitung fallen.

Das Gesetz sieht für die Länder, die weder Mitglied der EU oder EWR sind – sogenannte Drittländer – nach § 4b Abs. 2 Satz 2 BDSG – zusätzliche Kriterien vor, damit der Datentransfer von personenbezogenen Daten dorthin ggf. ohne Zustimmung des Betroffenen erfolgen kann. Generell sollte geprüft werden, ob für die Übermittlung eine Rechtsgrundlage oder informierte Einwilligungen vorliegen. Liegt eine Rechtsgrundlage für die Datenübermittlung vor, ist allerdings ein zweites Kriterium bei der Datenübermittlung in ein Drittland zu beachten. Dieses Kriterium besteht darin, dass in den betreffenden Drittstaaten ein angemessenes Datenschutzniveau herrschen sollte. Ein angemessenes Datenschutzniveau eines Drittlandes kann durch eine Prüfung der europäischen Kommission sichergestellt werden. Drittländer, denen ein ausreichendes Datenschutzniveau von der Kommission attestiert wurde, werden „sichere Drittstaaten“ genannt. Dazu gehören z.B. die Schweiz, Argentinien und Andorra.

Drittstaaten, bei denen kein ausreichendes Datenschutzniveau durch die Kommission festgestellt wurde, gelten als unsicher. Sollen Daten in diese Länder übertragen werden, muss die übermittelnde Stelle selbst ein angemessenes Datenschutzniveau herstellen. Dies geschieht in der Regel über EU-Standardvertragsklauseln oder andere vertragliche Grundlagen, einschließlich damit verbundener Maßnahmen.

Datentransfer in die USA – Datenübermittlung in einen Drittstaat

Unter die datenschutzrechtlich bedenklichen Drittstaaten, die kein angemessenes Datenschutzniveau haben, reiht sich auch die USA ein, was eine Datenübermittlung erschwert. Um einen Datentransfer zu ermöglichen, bedarf es ausreichender vertraglich festgesetzter Garantien, welche den Schutz der allgemeinen Persönlichkeitsrechte und die Ausübung der damit verbundenen Rechte durch den Betroffenen, gewährleisten. Diese Garantien werden grundsätzlich mit dem Abschluss von EU-Standardvertragsklauseln zwischen Versender- und Empfängerunternehmen vereinbart oder sind gewährleistet, wenn dieses eine „spezielle Datenschutzzertifizierung“ besitzt. Eine solche Datenschutzzertifizierung stellte das im Oktober 2015 für ungültig erklärte „Safe Harbor“-Abkommen dar. Am 12.07.2016 verabschiedete die EU-Kommission die finale Fassung des EU-US Privacy Shield, mit der Folge, dass sich Unternehmen seit dem 01.08.2016 in die Liste der Teilnehmer eintragen lassen können. Das eingeführte „EU-US Privacy Shield“ (auch unter EU-US-Datenschutzschild bekannt oder unter EU-U.S. Privacy Shield geführt) soll die Lücke, die durch die Ungültigkeit von „Safe Harbor“ entstand, schließen und ermöglichte Unternehmen, sich zu zertifizieren. Diese Option haben bis dato über 2000 Unternehmen in den USA wahrgenommen.

An der Vereinbarung „EU-US Privacy Shield“ wird sich vielleicht vorerst, auch nach der derzeitigen Situation, nichts ändern, obowhl eine mögliche Änderung regelmäßig unter Datenschützern thematisiert wird. Doch besonders für Unternehmen, welche US-Dienstleistungen nutzen, ist es derzeit wichtig, zu wissen, wie der am 25.01.2017 von Trump unterzeichnete Beschluss – zur Verbesserung der öffentlichen Sicherheiten – sich auf die Zusammenarbeit mit US-Dienstleistern auswirken könnte.

Änderungen durch US-Präsident Trump – Bye, Bye „EU-US Privacy Shield“?

Am 25.01.2017 unterzeichnete der amtierende Präsident Trump eine Anordnung (Executive Order) zur Verbesserung der öffentlichen Sicherheit. Diese enthält u.a. folgende Regelung, die besagt:

Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

 Ins Deutsche übersetzt:

Behörden haben, sofern es mit dem geltenden Recht im Einklang steht, sicherzustellen, dass Personen, welche keine US-Staatsangehörigkeit besitzen oder einen gesetzlich ständigen Aufenthalt in den USA haben, vom Schutz des Privacy Acts ausgeschlossen sind.

Diese Anordnung könnte gravierende Auswirkungen auf den Privacy Act haben, der ursprünglich personenbezogene Daten, welche durch US-Unternehmen gespeichert wurden, vor Massenüberwachung bzw. vor dem Zugriff von Geheimdiensten schützen sollte. Gerade dieser Privacy Act war ausschlaggebend dafür, dass die europäische Kommission einen angemessenen Schutz für Datenübertragungen sah und den Privacy Shield etablierte, der eine Datenübermittlung für die darin registrierten Unternehmen legitimierte.

Folgt man dem Wortlaut der neuen Anordnung, wird dieser Schutz für Ausländer ausgehebelt. Folglich besteht das Problem, dass EU-Bürger nicht mehr durch das Gesetz vor Überwachung durch Geheimdienste der USA geschützt werden und diese nun, ggf. ohne Widerstand, Daten von Nicht-US-Bürgern bei US-Unternehmen anfordern können.

Dies könnte sich gerade in Bezug auf den Angemessenheitsbeschluss der europäischen Kommission in Bezug zum „Privacy Shield“ auswirken. Durch die Aushebelung des Schutzes des „Privacy Acts“ für Nicht-US-Bürger ist keine Rechtfertigung mehr vorhanden, welche einen sicheren Datentransfer aus anderen Ländern in die USA rechtfertigt. Weiterhin stieß der „EU-US Privacy Shield“ auch vor Trumps Anordnung auf Kritik. So hatte die irische Datenschutzgruppe Digital Rights am 16.09.2016 eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der europäischen Kommission zum „Privacy Shield“ eingereicht. Aus diesen Gründen kann es möglich sein, dass die Kommission eine Ungültigkeit des „Privacy Shield“ feststellen könnte.

Weiterhin stellt sich die Frage, ob ein US-Unternehmen, welches mit einem europäischen Unternehmen eine EU-Standardvertragsklausel abgeschlossen hat, bei der Anfrage von US-Geheimdiensten auf Herausgabe der ausländischen Daten, diese verweigern kann. Eine solche Klausel hat zumeist den Vorteil, dass diese eine innenverhältnismäßige Verpflichtung darstellt und das US-Unternehmen dazu verpflichtet, einen solchen Zugriff dem europäischen Unternehmen mitzuteilen. Auf diese Weise kann das europäische Unternehmen die Geschäftsbeziehung möglicherweise rechtzeitig vor dem Eingriff kündigen (Klausel 5 der EU-Standardklausel).

Auswirkung auf europäische Unternehmen

Derzeit besteht für Unternehmen, die Dienstleistungen von US-Unternehmen nutzen, zunächst kein Handlungsbedarf, da weder der „Privacy Shield“ noch die EU-Standardklauseln außer Kraft gesetzt wurden. Noch vor kurzem hatte die europäische Kommission eine Aktualisierung der Standardklauseln angekündigt, folglich wird eine Absetzung dieser nicht in Aussicht stehen.

Kurzum kann es sich bei der Anordnung der US-Regierung nur um ein Signal handeln, um der Aussage: „America First!“ gerecht zu werden, welches sich zu diesem Zeitpunkt theoretisch auf die Datenübermittlung zwischen Europa und USA auswirkt und mittelfristig auch tatsächlich auswirken kann.

Weitere Entwicklungen in Sachen Datentransfer in die USA — „Abwarten und Tee trinken“

Aufgrund der zurzeit weiterhin bestehenden EU-Standardklausel und des Privacy Shields sollte eine sichere Nutzung von US-Dienstleistern gewährleistet sein. Dabei sollte aufgrund der Anordnung keine sofortige Beendigung der Zusammenarbeit mit US-Unternehmen erfolgen, sondern vorläufig die weitere Entwicklung zu diesem Thema beobachtet werden. Wer allerdings nicht zwingend wesentliche Geschäftsprozesse auf US-Unternehmen stützen muss, wäre ggf. gut beraten hier z. B. einen geeigneten heimischen Dienstleister zu suchen.

Es ist abzuwarten wie die europäische Kommission bzw. die deutschen Datenschutzbehörden auf die Anordnung der US-Regierung reagieren werden und wann tatsächlich ein Datentransfer in die USA theoretisch nicht mehr bedenkenlos stattfinden kann.

Vorkehrungsmaßnahmen für Europäische Unternehmen

Europäische Unternehmen, welche US-Dienste nutzen, können unter anderem folgende Maßnahmen treffen: Es besteht die Möglichkeit, technische Vorkehrungen bei der Datenübermittlung zu treffen, wie beispielsweise die Verschlüsselung der Daten bei der Datenübermittlung, wobei jedoch nicht die bestehende Rechtsunsicherheit beseitigt werden kann.

Die sicherste Variante wäre jedoch wie bereits erwähnt, wenn europäische Unternehmen bereits jetzt statt der US-Dienste, Dienste von Europäischen Unternehmen nutzen, um möglichen Unannehmlichkeiten in der Zukunft entgegenzuwirken. Dies ist insbesondere bei wesentlichen Geschäftsprozessen anzuraten.

Sollten Sie weitere Fragen zum Datentransfer in die USA oder andere Drittländer haben, steht Ihnen Brands Consulting gerne zur Seite.  Wir bieten Ihnen umfangreiche Unterstützung im Bereich Datenschutz und überzeugen mit Kompetenz und Fachwissen. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

EU-US-Privacy-Shield – Schutzschild für den Datenschutz oder nur Safe Harbor 2.0?

halloween-1013943_640Am 06.10.2015 erklärte der Europäische Gerichtshof das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der Europäischen Union für rechtswidrig, da die Daten europäischer Nutzer auf amerikanischen Servern nicht sicher seien.

Daraufhin handelten die Europäische Union und die USA ein neues Abkommen aus. Hiernach sollen Daten, die aus der Europäischen Union in die USA übermittelt werden, besser geschützt werden. Erste schriftliche Entwürfe des Safe-Harbor-Nachfolgers legte die EU-Kommission am 29.02.2016 vor.

Das neue Abkommen zur Datenübermittlung zwischen der Europäischen Union und den USA trägt den Namen „EU-US Privacy Shield“. Diese Vereinbarung soll die rechtliche Grundlage zur Übermittlung personenbezogener Daten aus einem Mitgliedstaat der Europäischen Union an Unternehmen in den USA bilden. Zudem soll das Abkommen eine massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden verhindern, so die EU-Kommission.

Eine endgültige Entscheidung in Hinblick auf das EU-US-Privacy-Shield-Abkommen steht derzeit noch aus, da der Entwurf sowohl den Datenschutzbehörden der EU-Mitgliedsstaaten, den Mitgliedsstaaten selbst sowie dem Europäischen Parlament und dem Europäischen Rat zur Prüfung vorliegt. Inzwischen gibt es allerdings viele Kritiker, unter anderem deutsche Verbraucherschützer und Datenschutzbeauftragte, die das Abkommen ablehnen und Nachbesserungen fordern.

Kernpunkte des EU-US-Privacy-Shield

  • Selbstverpflichtung von US-Unternehmen zur Einhaltung angemessener Datenschutzregeln, damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird.
  • Rechtsschutzmöglichkeiten für EU-Bürger in einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein zertifiziertes Unternehmen hiergegen verstößt.
  • Sanktionen für zertifizierte Unternehmen, die gegen Datenschutzregeln verstoßen.
  • Entscheidungen von Europäischen Datenschutzaufsichtsbehörden sollen von US-Unternehmen, die sich auf das EU-US-Privacy-Shield-Abkommen verpflichteten, akzeptiert und befolgt werden.
  • Jährliche Evaluierung des EU-US Privacy-Shield-Abkommens durch die EU und die USA.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden. Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben, sowie einer Überwachung unterliegen. Zudem soll der Zugriff auf Einzelfälle beschränkt sein (kein massenhafter Datenabgriff).

Sechs Ausnahmen für eine „massenhafte“ Datenerfassung

Zugleich wird aber, entgegen der Ansage der Kommission, nach wie vor eine „massenhafte“ Datenerfassung in sechs Fällen gestattet. Die US-Behörden definieren sechs Gründe, die eine Datenüberwachung erlauben:

  • Abwehr von internationaler Spionage
  • Terrorismusbekämpfung
  • Das Interesse der Vereinigten Staaten an der Entwicklung, dem Besitz sowie der Verbreitung und Verwendung von Massenvernichtungswaffen
  • Schutz vor Cyber-Bedrohungen
  • Abwehr von Gefahren für US-Streitkräfte und der Alliierten
  • Bekämpfung transnationaler krimineller Bedrohungen, einschließlich illegaler Finanzierungen und der Flucht vor Sanktionen wegen Steuerhinterziehung

Einsatz eines Ombudsmanns

Laut den veröffentlichten Dokumenten soll auch ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger zunächst wenden können, wenn sie Beschwerden oder Nachfragen zu der Handhabe ihrer Daten durch US-Sicherheitsbehörden haben. Die Federal Trade Commission (kurz FTC) will zudem strenger darauf achten, dass die beteiligten Unternehmen ihre Zusagen einhalten.

Im Falle einer Beschwerde hat die Beantwortung durch die beteiligten Unternehmen binnen 45 Tagen zu erfolgen. Erhält der Betroffene innerhalb dieser Frist keine Rückmeldung, so steht ihm sowohl ein kostenloses Schiedsverfahren als auch eine Beschwerde bei nationalen Datenschutzbeauftragten offen.

Fazit

Die Kritik an dem Abkommen dürfte derzeit nicht ganz unbegründet sein, da dieses weiterhin einige Schwachstellen aufweist. Ein Kritikpunkt könnte sich dadurch ergeben, dass das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht und die EU-Kommission somit keine Handlungsmöglichkeiten gegenüber nicht zertifizierten Unternehmen haben dürfte.

Diese Problematik sollte sich allerdings ab 2018 mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ändern, denn dann greift innerhalb der gesamten Europäischen Union das Marktortprinzip. Bieten US-Unternehmen Waren und Dienstleistungen an EU-Bürger an und haben in diesem Rahmen Zugriff auf personenbezogene Daten, so müssen sie sich, entsprechend des Marktortprinzips, an die europäischen Grundsätze halten.

Ein weiter Punkt ist der Einsatz des Ombudsmanns. Stellen Betroffene Datenschutzverletzungen fest, so ist eine unparteiische Ansprechperson sicherlich sinnvoll, jedoch ist zu erwarten, dass Betroffene nicht immer über einen Datentransfer informiert werden. Auch kritisieren Verbraucherschützer die Schiedsverfahren, die nach US-Recht verhandelt werden sollen und zu erheblichen Anwaltskosten führen. Trotz der vielen Kritik erfasst das Abkommen wichtige Ansätze für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA und es ist abzuwarten, wie die einzelnen Instanzen im Hinblick auf das EU-US-Privacy-Shield entscheiden, wobei die ersten Äußerungen  des europäischen Datenschutzbeauftragten und des europäischen Parlaments zum EU-US-Privacy-Shield sehr kritisch waren.

Was ist Unternehmen zu raten?

Unternehmen sollten sich über aktuelle Entwicklungen informieren und ihre Datenübermittlungen bei Bedarf anpassen. „Safe Harbor“ basierte Datenübermittlungen in die USA werden von den Datenschutzaufsichtsbehörden bei Bekanntwerden aufgegriffen und geahndet. Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) führte erst kürzlich Prüfungen bei 35 international agierenden Hamburger Unternehmen durch. Im Ergebnis erhielten zumindest drei Unternehmen Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Es ist daher wichtig auf eine geeignete Rechtsgrundlage umzustellen (z. B. Standardvertragsklauseln).

Sind Sie unsicher, ob das neue Abkommen auch Ihr Unternehmen betrifft? Falls Sie einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um das Thema des EU-US-Privacy-Shield-Abkommens.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.