Auch wenn es seit der „Schrems II“-Rechtsprechung ohnehin keine sonderlich gute Idee mehr ist US-Dienste zu nutzen, gibt es viele Unternehmen, die darauf in der Praxis nicht verzichten wollen. Hierfür gibt es einige plausible Gründen, wie z.B. die individuelle Beschaffenheit des Geschäftsfeldes (z.B. Marketing- oder Werbeunternehmen) oder auch schlichtweg das Fehlen einer geeigneten europäischen Alternative. Denn dass die US-Unternehmen in Sachen Funktionalität oftmals noch die Nase vorn haben, lässt sich leider nicht leugnen.
Letztendlich obliegt es dem Verantwortlichen eines Unternehmens zu entscheiden, ob US-Dienste genutzt werden sollen (auch wenn wir ausdrücklich davon abraten und dahingehend beraten). Wenn US-Dienste allerdings schon weiterhin eingesetzt werden sollen, obwohl man sich hier (mit beiden Augen ganz fest zugedrückt) definitv in einer Datenschutz-Grauzone bewegt, sollte die Nutzung wenigstens weitestgehend „abgesichert“ werden. Hierzu sind unter anderem eine transparente Aufklärung in der Datenschutzerklärung und im Cookiemanager sowie das Schaffen von alternativen Vertragsgrundlagen nötig. Insbesondere der letzte Punkt wird im Jahr 2022 viele Unternehmen beschäftigen.
Seit Schrems II sind die Standardvertragsklauseln (SVK) in aller Munde. Es handelt sich hierbei um ein Regelwerk, das durch die Europäische Kommission entwickelt wurde und zum Ziel hat, zwischen zwei Vertragsparteien ein angemessenes Datenschutzniveau zu vereinbaren und die Partner auf dessen Einhaltung zu verpflichten. Google bietet die SVK an, Facebook ebenfalls. In der Theorie kann der Verantwortliche im internen Bereich seines z.B. Google-Kontos die SVK akzeptieren und somit mit dem US-Unternehmen ein angemessenes Datenschutzniveau vereinbaren. Dass dies in der Praxis leider nicht so einfach funktioniert zeigt das Urteil der österreichischen Datenschutzbehörde in Bezug auf Google Analytics. Auch gab es in der Vergangenheit bereits ähnliche Entscheidungen (wir erinnern an den Dienst Mailchimp, dessen Nutzung trotz abgeschlossener Standardvertragsklauseln vom Bayerischen Landesamt für Datenschutzaufsicht bei dem Anbieter des „FOGS Magazins“ als unzulässig erklärt wurde).
In Bezug auf die Standardvertragsklauseln ist 2022 ein wichtiges Jahr, da die SVK von der EU-Kommission nach den neuen Anforderungen (z.B. aus der DSGVO oder aufgrund des Schrems II-Urteils) aktualisiert wurden. Seit dem 27.09.2021 dürfen bei einem Neu-Abschluss nur noch die neuen Standardvertragsklauseln geschlossen werden. Für bereits geschlossene SVK gilt die Frist bis zum 31.12.2022. Bis dahin müssen die alten SVK auf die neuen Dokumente umgestellt und mit dem US-Anbieter abgeschlossen sein. Hierbei ist insbesondere der Abschluss wichtig, da es nicht ausreicht, wenn ein Anbieter einfach nur die SVK vorhält. Die Dokumente müssen wirklich zwischen den beiden Unternehmen individuell abgeschlossen sein, um gültig zu sein. Letzten Endes bleibt aber auch dann das Problem der Überprüfbarkeit der Datenverarbeitung und -sicherheit beim Anbieter vor Ort bestehen, insbesondere dann, wenn dieser seinen Sitz am anderen Ende der Welt hat.
Weiterhin ist eine Analyse möglicher Risiken und ein bedarfsgerechter Maßnahmenkatalog, der diese eindämmt, notwendig. Ein weiteres großes Problem stellt hierbei die Umsetzbarkeit dar. Es dürfte sich schwer bis unmöglich gestalten als klein- bis mittelständisches europäisches Unternehmen z.B. bei Facebook eine Risikoanalyse für die Verarbeitung der eigenen Daten durchzuführen, Maßnahmen zur Eindämmung zu entwickeln und eben diese dann auch noch in ihrer Umsetzung zu überprüfen. Was am Ende des Einsatzes eines US-Dienstes bleibt ist folglich immer das Risiko, der Datenschutzbehörde die Datenübertragung darlegen zu müssen. Dennoch gilt hier trotzdem, dass, wenn sich schon auf die Standardvertragsklauseln berufen wird, natürlich auch die neuen Dokumente vorliegen müssen.
Was gilt es nun also zu tun? Da das Abändern der Standardvertragsklauseln ein nicht unerheblicher Aufwand ist und bis Ende 2022 alles auf die neuen Vertragswerke umgestellt sein muss, ist es wichtig sich hiermit frühzeitig zu beschäftigen. Insbesondere mehrere Abstimmungsrunden mit dem jeweiligen Vertragspartner sind hierbei einzuplanen. Letztendlich sollte sich hier auch jeder Verantwortliche die „Kosten-Nutzen“-Frage stellen und für sich ergründen, ob der Mehrwert des US-Dienstes den Kosten und Zeit-Aufwand für eine möglichst datenschutzkonforme Umsetzung oder eben das Risiko für ein Bußgeld durch die Datenschutzbehörde wirklich wert ist.