Welche Möglichkeiten gibt es für einen DSGVO-konformen Transfer personenbezogener Daten in die USA?

Der folgende Beitrag von Niklas Freund, Jurastudent aus Passau, DSGVO-konformen Transfer personenbezogener Daten in die USA ist der Siegerbeitrag des 5. comp/lex Blog-Wettbewerbs (Oktober/November 2020). Der Autor hat ihn nach Abstimmung mit uns redaktionell ergänzt.

Über zwei Jahre nachdem die Datenschutz-Grundverordnung (DSGVO) das Licht der Welt erblickte, ist sie nach wie vor heftiger Kritik ausgesetzt. Gerügt werden insbesondere die schwierige Handhabbarkeit und die unterschiedlichen nationalen Umsetzungen. Trotz der ursprünglichen Befürchtungen seitens der Nutzer hat sich für diese wenig geändert. Für europäische Unternehmen jedoch, haben sich die datenschutzrechtlichen Anforderungen enorm erhöht.

Das „Schrems II“-Urteil – Der Dolchstoß für den EU-US Privacy Shield

Seit der sogenannten „Schrems II“-Entscheidung des EuGH ist es besonders für IT- Unternehmen schwieriger geworden, sofern ihre Leistungen mit einem Datentransfer in unsichere Drittländer, etwa den USA verbunden ist. Bislang konnten sich Unternehmen auf den EU-US Privacy Shield berufen, wenn sie personenbezogene Daten in die Vereinigten Staaten übermittelten. Dem Datenschutzschild setzte der EuGH nun aber ein Ende.

Das Dilemma – betrifft mich die Entscheidung überhaupt?

Die Entscheidung des EuGH hat weitreichende Auswirkungen für europäische IT- Unternehmen. Die Grundsätze gelten für „unsichere“ Drittstaaten, wozu grundsätzlich alle Staaten außerhalb der EU und des EWR zählen. Für die IT-Branche sind besonders Datentransfers in die USA von Bedeutung. Weil in den USA keine, dem europäischen Standard entsprechende Datenschutzgesetzte existieren, können die personenbezogenen Daten nicht mehr einfach so übermittelt werden.

Auch Unternehmen, die rein national tätig sind, werden oftmals auf einen Transfer angewiesen sein. Die meisten Unternehmen greifen im Tagesgeschäft auf Programme von amerikanischen Firmen wie Google, Facebook, Instagram oder Office zurück. In diesem Zusammenhang werden Daten übermittelt, auch wenn Sie davon nichts wissen.

Warum Verstöße gegen die DSGVO dringend vermieden werden sollten

Selbst diejenigen, die durch die DSGVO im eigentlichen Sinne geschützt werden sollen, nämlich die Endverbraucher, kritisierten die Verordnung. In Zeiten von Facebook, Instagram & Co. scheinen Privatpersonen auf den Schutz ihrer personenbezogenen Daten ohnehin nicht mehr zu achten. Wozu also der Ärger mit dem datenschutzkonformen Transfer?

Verstöße gegen die DSGVO werden mit Bußgeldern zum Teil in Millionenhöhe geahndet. Das allein sollte Grund genug sein, sich mit den Voraussetzungen auseinanderzusetzten. Abgesehen davon sind gerichtliche Auseinandersetzungen weder für das eigene Wohlergehen noch für das Ansehen in der Öffentlichkeit von Vorteil.

„Das gilt doch nur für Google und andere große Unternehmen“, mag sich der ein oder andere nun denken. Tatsächlich ist es allerdings so, dass Verstöße, von denen noch nicht einmal der Unternehmer wusste, auf verschiedenen Wegen ans Tageslicht gelangen. Man denke an den unzufriedenen Arbeitnehmer, den Konkurrenten oder den/die ehemalige(n) Partner(in). Man munkelt, dass letztere dem ein oder anderen „Steuersünder“ zum Verhängnis wurden.

Möglichkeiten für IT-Unternehmer

Doch was genau kann man nun unternehmen, um Verletzungen der DSGVO zu vermeiden? Im Wesentlichen existieren bislang drei Wege:

Möglichkeit 1: Der Verzicht auf Datentransfers in die USA

Die aus datenschutzrechtlicher Sicht ungefährlichste Methode teure DSGVO- Verstöße zu vermeiden, ist sicherlich der Verzicht auf Datentransfers in entsprechende Länder, bis sich eine praxistaugliche Lösung gefunden hat. Möglich wäre ein (zeitlich begrenzter) Umstieg auf andere Anbieter, deren Sitz oder Rechenzentren innerhalb der EU liegen. Dass europäische IT-Unternehmen jetzt gezwungen sind, auf die Dienste amerikanischer Unternehmen gänzlich zu verzichten, kann aber nicht vom EuGH gewollt worden sein und wäre in der Praxis auch gar nicht umsetzbar. Zu sehr haben sich die Gewohnheiten der Unternehmen und Privatpersonen in den letzten Jahren an die Dienste amerikanischer Softwareriesen angepasst.

Dass ein Verzicht auf die Leistungen dieser Programme nicht der Problem Lösung sein kann, liegt also auf der Hand. Manch einer spricht davon, die Entscheidung bedeute das Ende der globalisierten Wirtschaftswelt und, dass Datentransfers in Drittstaaten (vorerst) gar nicht mehr möglich seien. Das verdeutlicht die Problematik, ganz so drastisch ist es dann aber doch nicht.

Möglichkeit 2: Standardvertragsklauseln

Eine vielfach angesprochene und für Unternehmen angenehme Lösungsmöglichkeit für das Dilemma sind sogenannte Standardvertragsklauseln. Es handelt sich um vertragliche Vereinbarungen, die von der Europäischen Kommission entwickelt und den Unternehmen zur Verfügung gestellt wurden.

Die DSGVO erlaubt die Verwendung derartiger Klauseln und auch der EuGH hat sie, anders als vom Kläger gefordert, weiterhin für zulässig erachtet. Erforderlich ist aber, dass im jeweiligen Drittstaat (d.h. den USA) Möglichkeiten zur Verfügung stehen, die Datenschutzsicherheit zu gewährleisten. Mit anderen Worten: die Vorschriften in den USA dürfen den Garantien in den Standardvertragsklauseln nicht entgegenstehen, das heißt das Datenschutzniveau in Amerika muss dem der EU entsprechen.

Genau das bestreitet aber der EuGH. In den Vereinigten Staaten können nämlich staatliche Behörden auch auf Daten zugreifen, die in Europa gespeichert sind. Und das ohne richterlichen Beschluss. Ein No-Go für das europäische Datenschutzrecht.

Erforderlich sind also zusätzliche Maßnahmen der IT-Unternehmen. Verschiedenen Stellungnahmen der deutschen und europäischen Datenschutzbehörden nach, bedarf es einer strengen vertraglichen Bindung des Unternehmers. Je nachdem welche Daten, in welchem Fall übermittelt werden, bedarf es einer genauen rechtlichen Überprüfung bei der Anpassung der Vertragsklauseln.

Möglichkeit 3: Einwilligungslösung

Wie gesagt, liegt den meisten europäischen Bürgern der Schutz ihrer persönlichen Daten nicht allzu sehr am Herzen. Warum also nicht einfach eine konkrete Einwilligung der Kunden einholen? Wie wär es mit: „Sind Sie damit einverstanden, dass wir ihre persönliche Daten in die USA mit unzureichendem Schutzniveau senden?“ Wenn jemand damit einverstanden ist, dass seine Daten übermittelt werden, kann ich doch nicht dafür bestraft werden, dass genau das passiert?

Ganz so einfach ist es allerdings nicht. Die Anforderungen an eine Einwilligung des Kunden ergeben sich aus der DSGVO und haben es durchaus in sich.

Aufklärung des Kunden – die „fünf W-Fragen des Datenschutzes“

Erforderlich ist, dass der Kunde zunächst auf die Risiken hingewiesen wird. Ihm ist in verständlicher Weise klarzumachen, dass ein ausreichender Schutz seiner Daten nicht gewährleistet werden kann. Zudem sind dem Betroffenen die wesentliche Informationen („Warum werden, Welche Daten an Wen, insbesondere Wohin übertragen und Wie sieht es dort mit dem Schutz der Daten aus?“) zur Verfügung zu stellen. Fehlt auch nur eine dieser Aufklärungen, ist die Einwilligung im Ganzen unwirksam.

Das klingt zunächst nicht kompliziert und dürfte mit vorgefertigten Einwilligungsklauseln auch in der Masse zu bewältigen sein.

Speicherung der Einwilligung zu Beweiszwecken

Der Anbieter hat aber (aus eigenem Interesse) sicherzustellen, dass er nachweisen kann, dass der Kunde tatsächlich eingewilligt hat und zuvor ausreichend informiert wurde. Das erhöht den finanziellen und organisatorischen Aufwand, lässt sich aber ebenfalls mit rechtlicher und technischer Beratung bewerkstelligen.

Die Einwilligung ist keine Dauerlösung/Widerrufbarkeit

Eine weitere Schwierigkeit ergibt sich daraus, dass derartige Einwilligungen der DSGVO nach gerade nicht für eine Vielzahl an Fällen gedacht sind. Eine Dauerlösung stellen automatisierte Einwilligungen nicht dar. Hat ein Nutzer vor zwei Monaten zugestimmt, dass seine Daten übertragen werden, heißt das nicht, dass er damit auch jetzt noch einverstanden ist. Daher muss die Einwilligung einerseits erneuert und andererseits widerrufbar sein.

Genau darin liegt allerdings das Problem mit den Einwilligungen. Weil derzeit keine praxistaugliche Lösung für die Einwilligungserneuerung existiert, bieten sich diese nur für den Einzelfall, keineswegs aber für Massenabwicklungen an.

Was genau ist jetzt zu tun?

Ein vielfach gebrauchtes, manchmal nerviges, hier aber zutreffendes Sprichwort lautet: „Probleme sind da, um gelöst zu werden“. Selbst zuständige Datenschutzbehörden lassen erkennen, dass der Status quo nicht zufriedenstellend ist. Weder für die Unternehmen noch für die staatliche Seite. Bei der aktuellen Lage wird es also nicht bleiben.

Nichtsdestotrotz können IT-Unternehmer nicht einfach abwarten, bis eine praxistaugliche und rechtlich sichere Lösung gefunden ist.

Berücksichtigt man die finanziellen, rechtlichen und technischen Vor- und Nachteile, sind Standardvertragsklauseln für den gewöhnlichen Geschäftsverkehr nach wie vor vorzugswürdig.

Für spezielle Einzelfälle ist auch an eine individuelle Einwilligung des Betroffenen zu denken.

Hält man sich an die angesprochenen Vorgaben, steht einem Datentransfer auch in die USA also nichts mehr im Wege.

Und wer weiß, vielleicht findet sich in Zukunft eine Lösung, die für alle Betroffenen effektiv ist.