Datenschutz und die USA

19.04.2022   Daten­schutz und die USA

Vielleicht haben Sie es bereits aus den Medien erfahren –  es tut sich etwas in Sachen Daten­schutz und USA. 

Grund­sätzlich ist in einem Unter­nehmen die verant­wort­liche Person für Daten, welche erhoben und verar­beitet werden, immer der/​die Chef:in des Unter­nehmens.

Er/​Sie trägt die Verant­wortung wie und wo die Daten seiner Mitar­beiter und Kunden verar­beitet werden. Die Vorgaben dazu innerhalb des Europäi­schen Wirtschafts­raums (EWR) regelt die Datenschutz-​​Grundverordnung (DSGVO).

Werden perso­nen­be­zogene Daten außerhalb des EWR verar­beitet, spricht man von einer Verar­beitung in einem Drittland.

Hier unter­scheidet man zwischen sicheren und unsicheren Dritt­ländern.  Um die aktuelle Diskussion besser zu verstehen, gehen wir zurück in den Juli 2020 und stellen die Sachver­halte stark verein­facht dar.

Für sichere Dritt­staaten gibt es einen Angemes­sen­heits­be­schluss und eine Verar­beitung von perso­nen­be­zo­genen Daten ist daher ohne Probleme möglich. Das EU-​​US Privacy Shield  (so der Name des Angemes­sen­heits­be­schlusses mit den USA) legiti­mierte den Daten­transfer aus der EU in die USA. Dadurch wurden die USA zu einem sicheren Drittland erklärt.  Auf das EU-​​US Privacy Shield konnte man sich daher berufen, wenn man perso­nen­be­zogene Daten in die USA übermittelt hat. Im Juli 2020 wurde das sogenannte Privacy Shield durch eine Klage des Daten­ak­ti­visten Max Schrems vor dem EuGH gekippt. Der Grund hierfür ist in der daten­schutz­feind­lichen Gesetz­gebung der USA zu finden. Hier gibt es 4 Gesetze, die den Zugriff auf Daten durch US Behörden regeln (Cloud-​​Act, Patriot Act, Freedom Act, FISA). Dabei gilt besonders zu beachten: Auch Server von US-​​Unternehmen in Europa sind in dieser Gesetz­gebung enthalten.

Seit Juli 2020 ist diese Regelung nun Geschichte und die USA gelten nicht mehr als sicheres Drittland. Daher ist die Verar­beitung in den USA nicht mehr auf durch das Privacy-​​Shield  zu legiti­mieren. 

Kleiner Tipp: Prüfen Sie Ihre Daten­schutz­er­klärung – denn häufig befinden sich dort noch entspre­chende Erläu­te­rungen, die nicht mehr gültig sind.

Es gibt natürlich weiterhin die Möglichkeit eine Verar­beitung in den USA zu legiti­mieren. Hierzu kann man mit sogenannten SCC (Standard­ver­trags­klauseln) mit jedem einzelnen Unter­nehmen einen Vertrag abschließen. Diese Rechtslage hält bis heute an und macht es Unter­nehmen aller­dings relativ schwer mit Rechts­si­cherheit perso­nen­be­zogene Daten in die USA zu übermitteln. 

Wir empfehlen und beraten unsere Kunden daher immer in die Richtung der Vermeidung solcher Trans­ak­tionen um absolute Rechts­si­cherheit zu erlangen. Seit einigen Tagen hört und liest man in den Medien, dass die Regie­rungen aus Deutschland und den USA an einem neuen Privacy Shield (Trans-​​Atalntic Data Privacy Framework) arbeiten.

Ist damit jetzt das Problem gelöst und der Transfer wieder einfacher? Klare Antwort: NEIN. Denn bislang wird nur darüber geredet und verhandelt, aber noch nichts entschieden. Somit gelten die aktuellen Regelungen weiter. Mit einen Ergebnis ist nicht vor Ende 2022 zu rechnen und ob dies der lang ersehnte große Wurf wird, ist noch völlig unklar. 

Unsere Empfehlung ist also weiterhin: Prüfen Sie die Notwen­digkeit der Übermittlung in die USA und schließen Sie, wenn notwendig, Verträge auf der Basis von SCCs ab. Infor­mieren Sie Ihre Kunden und Websei­ten­be­sucher trans­parent über die Verar­beitung in den USA und holen Sie sich ggf. eine Einwil­ligung ein.

Sie haben noch Fragen zu dieser Thematik? Gerne helfen wir Ihnen weiter.