Beratung Datentransfer in die USA

Die DSGVO kennt drei verschiedene Voraussetzungen für den Export von Daten außerhalb des eigenen Landes:

 

  • Datenübermittlungen innerhalb des europäischen Binnenmarktes (hierzu gehören neben der EU auch Norwegen, Island und Lichtenstein) sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland.
  • Ebenfalls ohne Einschränkung zulässig sind Übertragungen in so genannte sichere Drittstaaten. Das sind Länder, bei denen die EU entschieden hat, dass bei der empfangenden Stelle im Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Zu diesen Ländern gehören u.a.: Argentinien, Kanada, Schweiz, Israel, Japan, Neuseeland und Uruguay.
  • Ebenfalls zu den Staaten mit einem angemessenen Datenschutzniveau gehört Großbritannien.
  • Der Rest der Welt gilt nicht als „sicherer Drittstaat“! Hierzu gehören insbesondere die USA, China und Indien! Für diese Länder gibt es besondere Voraussetzungen hinsichtlich eines Exports von Daten.

 

Inhalts­übersicht

DATENEXPORT IN DIE USA

STANDARDDATEN­SCHUTZKLAUSELN

BINDING CORPORATE RULES

ZERTIFIZIERUNG NACH ART. 42 DSGVO

EINWILLIGUNG DER BETROFFENEN

Datenexport in die USA

Im Rahmen von Projekten, gerade im IT-Bereich, ist eine Nutzung von US-Angeboten nahezu unvermeidlich. Dies gilt auch für den Betrieb größerer Online-Angebote oder auch die Nutzung von Office- oder Videokonferenz-Produkten. Mit einer solchen Nutzung einher geht meist auch der Export personenbezogener Daten von Kunden oder Mitarbeitern in die USA.

 

Beispiele für die Nutzung von US-Anbietern, die mit einer Weitergabe personenbezogener Daten verbunden ist:

  • Nutzung von US-Cloud-Diensten
  • Nutzung von MS 365 (!) und Windows
  • Einbindung von US-Diensten auf Websites
  • Google Analytics!
  • Online-Werbung und Werbebanner
  • E-Mail-Marketing-Dienste wie MailChimp
  • Videokonferenzsystem
  • Und noch viele, viele mehr…

 

Die datenschutzrechtlichen Hürden für einen solchen Datenexport über den Atlantik sind allerdings hoch. Der Europäische Gerichtshof hatte Mitte 2020 die Regelung des Privacy Shields als bis dahin wichtigste Rechtsgrundlage für unwirksam erklärt und zugleich die Hürden für neue Regelungen hoch. Begründet wurde dies damit, dass die amerikanischen Überwachungsprogramme nicht auf ein zwingend erforderliches Maß beschränkt seien und die Rechte der EU-Bürger erheblich benachteiligt würde.

 

Für eine rechtlich zulässige Weitergabe von Daten gibt es danach nur noch vier Rechtsgrundlagen:

Standard­datenschutz­klauseln

Hierunter versteht man einen Vertrag, der unter Verwendung vorgegebener Datenschutzklauseln zwischen dem Datenexporteur und dem Datenimporteur geschlossen werden. Die Verwendung dieser Standarddatenschutzklauseln (SDK) der EU-Kommission (Art. 46 Abs. 2 DSGVO) hat den großen Vorteil, dass der darauf basierende Datentransfer ohne weitere Genehmigung, etwa durch die Aufsichtsbehörde zulässig ist.

 

Seit Mitte 2021 gibt es neue Versionen der EU-Standardvertragsklauseln, die auf einen modularen Aufbau setzen. Neu ist zudem, dass bei jeder Nutzung dieser Vorlagen eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) durchzuführen ist. Im Rahmen dieser Abschätzung müssen die Vertragsparteien dokumentieren, dass der Datenimporteur in der Lage ist, den rechtlichen Verpflichtungen aus der Vereinbarung nachzukommen und ihn insbesondere keine rechtlichen Vorgaben in seinem Heimatland daran hindern.

 

Wichtig: Hinsichtlich der Verwendung alter SDKs gilt eine Übergangsfrist bis zum 27.12.2022, innerhalb der eine Umstellung auf die neue Version der Klauseln durchzuführen ist. Werden nach diesem Termin Datenexporte auf die alte Version der Klauseln gestellt, sind diese rechtswidrig.

 

Wir beraten Sie bei dem Export von Daten in die USA und bei der Verwendung von Standarddatenschutzklauseln sowie bei der Erstellung eines Transfer Impact Assessments (TIA). Details dazu finden Sie hier:

> Informationen zur Verwendung von Standarddatenschutzklauseln (SDK)

> Informationen zur Erstellung von Transfer Impact Assessments (TIA)

Binding Corporate Rules

Binding Corporate Rules (BCR) erlauben multinational agierenden Unternehmen den Transfer von personenbezogenen Daten im internen Bereich und zwischen den einzelnen Teilen der Organisation bzw. des Konzerns. Die Einführung derartiger Regelungen ist sehr aufwändig und sie müssen von einer Datenschutzbehörde nach einem Prüfungsprozess genehmigt werden.

Zertifizierung nach Art. 42 DSGVO

Rechtsgrundlage für einen Export von Daten kann auch ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DSGO sein. Erforderlich sind darüber hinaus rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung von geeigneten Garantien. Derartige Zertifizierungen sind jedoch derzeit noch nicht umgesetzt.

Einwilligung der Betroffenen

Der Transfer von Daten in die USA kann schließlich auch durch eine Einwilligung der Betroffenen legitimiert werden. Diese muss freiwillig, widerruflich und ausdrücklich erfolgen. Zudem ist der Betroffene vorab über die geplante Verarbeitung zu informieren, was in aller Regel eine Herausforderung darstellt. So muss etwa der Verarbeitungszweck, das Empfängerland und die dort bestehenden Datenschutzregelungen mitgeteilt werden. Die Nutzung einer Einwilligung ist daher nur im Einzelfall praktikabel, z.B. bei der Zustimmung im Rahmen von sog. Cookie-Bannern.

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.

Pflichtfeld*