Ist die Daten├╝bertragung in die USA immer illegal?

Grunds├Ątzlich: Ja! Es d├╝rfen keine Daten mehr ├╝bertragen werden.

Die einzigen Ausnahmen bilden hier die Vereinbarung von Standardvertragsklauseln oder eine g├╝ltige Einwilligung des Betroffenen.

Was habe ich nun zu tun?
Schritt 1: Identifizieren Sie Ihre genutzten Dienste in den nachfolgenden Bereichen und listen Sie diese auf:

  • Online (Webseite, Shop, Trackingtools, Steuerung von Werbung, Pixel)
  • Innerbetriebliche Organisation (Kommunikationsdienste wie z.B. Skype / Slack, GoogleTeams; B├╝roanwendungen wie z.B. Office 365; Colaborationsplattformen)
  • Externe Dienstleister (z.B. Newsletter-Versand mit MailChimp)

Hinweis: Beziehen Sie dabei auch Ihre Dienstleister in die Betrachtung mit ein, die eventuell ebenfalls US-Dienste nutzen!

Schritt 2: Pr├╝fen Sie, ob die von Ihnen genutzten Dienste direkt in den Staaten laufen. Schauen Sie dabei detailliert ins Kleingedruckte der Vertragsunterlagen (Dienstleistungsvertr├Ąge, AGBs)

Schritt 3: Pr├╝fen Sie, ob eine Absicherung ├╝ber Standardvertragsklauseln m├Âglich ist. Sollte dies nicht der Fall sein lautet unsere klare Handlungsempfehlung: Schalten Sie den Dienst umgehend ab und wechseln Sie zu einem innereurop├Ąischen Dienstleister!

Kann ich mir nicht einfach die Einwilligung meiner Nutzer einholen?

Bedingt. Dies funktioniert nur, wenn der Nutzer wirklich eine informierte Einwilligung abgeben kann. Da z.B. ein Konzern wie Facebook selbst gar nicht nachvollziehen kann, wo die ├╝bermittelten Daten ├╝berall hinflie├čen (geschweige denn dies seinen Nutzern gegen├╝ber auszeichnet), kann eine Einwilligung vom Nutzer im Beispiel Facebook niemals informiert sein.

Damit eine Einwilligung ├╝berhaupt als informiert angesehen werden kann, muss in diesem Zusammenhang auch auf die mit der Einwilligung einhergehenden Risiken hingewiesen werden. Zu den Risiken bei einer ├ťbermittlung von personenbezogenen Daten in Drittstaaten ohne angemessenes Sicherheitsniveau (die USA ist ein solcher Drittstaat) geh├Âren immer:

  • Datenverlust, Datenweitergabe an Dritte, Offenlegung von Daten
  • Verarbeitung zu anderen Zwecken als in der Einwilligung benannt
  • Probleme bei der Durchsetzung der Betroffenenrechte / Pers├Ânlichkeitsrechte / Grundrechte

Darf ich noch Dienste von Google nutzen?

Es kommt darauf an. Google bietet Standardvertragsklauseln an. Werden diese abgeschlossen, darf Google weiterhin genutzt werden. Google ist dann dem Unternehmen gegen├╝ber in der Rolle des Dienstleisters und verpflichtet sich zur Einhaltung der Anforderungen der DSGVO.

Darf ich noch Dienste von Facebook nutzen?

Die klare Antwort lautet hier: Nein!

Anders als bei Google bietet Facebook keine Standardvertragsklauseln an. Eine Einwilligung ist hier keine zul├Ąssige Option, da diese niemals informiert erfolgen kann. Aus diesem Grund d├╝rfen s├Ąmtliche Dienste von Facebook (z.B. WhatsApp, Instagram, Facebook Pixel / Remarketing / Retargeting, etc.) im gesch├Ąftlichen Kontext nicht mehr genutzt werden!

Wie sieht es mit der ├ťbertragung von anonymisierten Daten aus?

Wird bei den Daten der Personenbezug durch eine Anonymisierung vollst├Ąndig und ohne R├╝ckf├╝hrung entfernt, sodass nicht mehr nachvollziehbar ist, welcher nat├╝rlichen Person sie zuzuordnen sind, d├╝rfen die Daten weiterhin ├╝bertragen werden. Doch auch hier ist Vorsicht geboten: Manche Anbieter werben mit ÔÇ×anonymisierten DatenÔÇť. Allerdings werden diese erst nach der ├ťbertragung innerhalb der USA anonymisiert. Dies ist unzul├Ąssig!

Darf ich noch Cloudsysteme nutzen?
Das kommt darauf an.

Wichtig ist zu pr├╝fen, wohin die Daten ├╝bermittelt werden und wo die Server stehen, auf denen sie gespeichert werden. Die meisten Clouds haben ihre Serverstandorte in den USA. Aber auch wenn der Serverstandort in Deutschland ist, darf der Dienst nicht genutzt werden, wenn das Kleingedruckte des Vertrages die M├Âglichkeit einer Daten├╝bertragung in die USA oder andere Drittstaaten enth├Ąlt. Auch hier gilt:

1.) Den Vertrag und die Bedingungen des Cloudanbieters bis ins Kleinste pr├╝fen, ob es eine Daten├╝bermittlung in Drittl├Ąnder gibt.

2.) Falls ja, nach Legitimationsquellen wie Standardvertragsklauseln erkundigen und abschlie├čen.

3.) Wenn es keine Legitimation f├╝r die Daten├╝bertragung gibt, darf der Dienst nicht genutzt werden.

Unsere klare Empfehlung ist es hier, sich nach einem Anbieter umzusehen, der Ihre Daten ausschlie├člich innerhalb des Europ├Ąischen Wirtschaftsraums verarbeitet.

Darf ich noch Videokonferenzen durchf├╝hren?

Wie auch bei den Cloud-Diensten h├Ąngt auch hier die Nutzung der Systeme davon ab, ob Daten in Drittstaaten wie z.B. die USA ├╝bermittelt werden. Ist dies der Fall, ist zu pr├╝fen, ob es alternative Legitimationsquellen f├╝r die Daten├╝bertragung gibt. Ansonsten darf das System nicht mehr genutzt werden! Auch hier empfiehlt sich die langfristige Umstellung auf einen EU-Anbieter.

Was mache ich, wenn die Dienste essentiell f├╝r mein Gesch├Ąftsmodell sind (z.B. Marketing-Agenturen)?
In diesem Fall ist es f├╝r Sie die nachhaltigste L├Âsung langfristig auf einen anderen Anbieter umzustellen, der Ihre Daten ausschlie├člich innerhalb der EU verarbeitet. Zwar k├Ânnen z.B. Google Dienste aktuell ├╝ber die Standardvertragsklausel legitimiert werden, aber auch dies kann sich ├Ąndern.

Quelle: Gerichtshof der Europ├Ąischen Union, Pressemitteilung Nr.91/20, Beschluss 2016/1250 ├╝ber die Angemessenheit des EU-US-Datenschutzschilds, abgerufen am 17.07.2020 unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf