Ist die Datenübertragung in die USA immer illegal?
Grundsätzlich: Ja! Es dürfen keine Daten mehr übertragen werden.
Die einzigen Ausnahmen bilden hier die Vereinbarung von Standardvertragsklauseln oder eine gültige Einwilligung des Betroffenen.
Was habe ich nun zu tun?
Schritt 1: Identifizieren Sie Ihre genutzten Dienste in den nachfolgenden Bereichen und listen Sie diese auf:
- Online (Webseite, Shop, Trackingtools, Steuerung von Werbung, Pixel)
- Innerbetriebliche Organisation (Kommunikationsdienste wie z.B. Skype / Slack, GoogleTeams; Büroanwendungen wie z.B. Office 365; Colaborationsplattformen)
- Externe Dienstleister (z.B. Newsletter-Versand mit MailChimp)
Hinweis: Beziehen Sie dabei auch Ihre Dienstleister in die Betrachtung mit ein, die eventuell ebenfalls US-Dienste nutzen!
Schritt 2: Prüfen Sie, ob die von Ihnen genutzten Dienste direkt in den Staaten laufen. Schauen Sie dabei detailliert ins Kleingedruckte der Vertragsunterlagen (Dienstleistungsverträge, AGBs)
Schritt 3: Prüfen Sie, ob eine Absicherung über Standardvertragsklauseln möglich ist. Sollte dies nicht der Fall sein lautet unsere klare Handlungsempfehlung: Schalten Sie den Dienst umgehend ab und wechseln Sie zu einem innereuropäischen Dienstleister!
Kann ich mir nicht einfach die Einwilligung meiner Nutzer einholen?
Bedingt. Dies funktioniert nur, wenn der Nutzer wirklich eine informierte Einwilligung abgeben kann. Da z.B. ein Konzern wie Facebook selbst gar nicht nachvollziehen kann, wo die übermittelten Daten überall hinfließen (geschweige denn dies seinen Nutzern gegenüber auszeichnet), kann eine Einwilligung vom Nutzer im Beispiel Facebook niemals informiert sein.
Damit eine Einwilligung überhaupt als informiert angesehen werden kann, muss in diesem Zusammenhang auch auf die mit der Einwilligung einhergehenden Risiken hingewiesen werden. Zu den Risiken bei einer Übermittlung von personenbezogenen Daten in Drittstaaten ohne angemessenes Sicherheitsniveau (die USA ist ein solcher Drittstaat) gehören immer:
- Datenverlust, Datenweitergabe an Dritte, Offenlegung von Daten
- Verarbeitung zu anderen Zwecken als in der Einwilligung benannt
- Probleme bei der Durchsetzung der Betroffenenrechte / Persönlichkeitsrechte / Grundrechte
Darf ich noch Dienste von Google nutzen?
Es kommt darauf an. Google bietet Standardvertragsklauseln an. Werden diese abgeschlossen, darf Google weiterhin genutzt werden. Google ist dann dem Unternehmen gegenüber in der Rolle des Dienstleisters und verpflichtet sich zur Einhaltung der Anforderungen der DSGVO.
Darf ich noch Dienste von Facebook nutzen?
Die klare Antwort lautet hier: Nein!
Anders als bei Google bietet Facebook keine Standardvertragsklauseln an. Eine Einwilligung ist hier keine zulässige Option, da diese niemals informiert erfolgen kann. Aus diesem Grund dürfen sämtliche Dienste von Facebook (z.B. WhatsApp, Instagram, Facebook Pixel / Remarketing / Retargeting, etc.) im geschäftlichen Kontext nicht mehr genutzt werden!
Wie sieht es mit der Übertragung von anonymisierten Daten aus?
Wird bei den Daten der Personenbezug durch eine Anonymisierung vollständig und ohne Rückführung entfernt, sodass nicht mehr nachvollziehbar ist, welcher natürlichen Person sie zuzuordnen sind, dürfen die Daten weiterhin übertragen werden. Doch auch hier ist Vorsicht geboten: Manche Anbieter werben mit „anonymisierten Daten“. Allerdings werden diese erst nach der Übertragung innerhalb der USA anonymisiert. Dies ist unzulässig!
Darf ich noch Cloudsysteme nutzen?
Das kommt darauf an.
Wichtig ist zu prüfen, wohin die Daten übermittelt werden und wo die Server stehen, auf denen sie gespeichert werden. Die meisten Clouds haben ihre Serverstandorte in den USA. Aber auch wenn der Serverstandort in Deutschland ist, darf der Dienst nicht genutzt werden, wenn das Kleingedruckte des Vertrages die Möglichkeit einer Datenübertragung in die USA oder andere Drittstaaten enthält. Auch hier gilt:
1.) Den Vertrag und die Bedingungen des Cloudanbieters bis ins Kleinste prüfen, ob es eine Datenübermittlung in Drittländer gibt.
2.) Falls ja, nach Legitimationsquellen wie Standardvertragsklauseln erkundigen und abschließen.
3.) Wenn es keine Legitimation für die Datenübertragung gibt, darf der Dienst nicht genutzt werden.
Unsere klare Empfehlung ist es hier, sich nach einem Anbieter umzusehen, der Ihre Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums verarbeitet.
Darf ich noch Videokonferenzen durchführen?
Wie auch bei den Cloud-Diensten hängt auch hier die Nutzung der Systeme davon ab, ob Daten in Drittstaaten wie z.B. die USA übermittelt werden. Ist dies der Fall, ist zu prüfen, ob es alternative Legitimationsquellen für die Datenübertragung gibt. Ansonsten darf das System nicht mehr genutzt werden! Auch hier empfiehlt sich die langfristige Umstellung auf einen EU-Anbieter.
Was mache ich, wenn die Dienste essentiell für mein Geschäftsmodell sind (z.B. Marketing-Agenturen)?
In diesem Fall ist es für Sie die nachhaltigste Lösung langfristig auf einen anderen Anbieter umzustellen, der Ihre Daten ausschließlich innerhalb der EU verarbeitet. Zwar können z.B. Google Dienste aktuell über die Standardvertragsklausel legitimiert werden, aber auch dies kann sich ändern.
Quelle: Gerichtshof der Europäischen Union, Pressemitteilung Nr.91/20, Beschluss 2016/1250 über die Angemessenheit des EU-US-Datenschutzschilds, abgerufen am 17.07.2020 unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf