Quo vadis, Datenschutz
Haben Sie schon überprüft, ob Sie personenbezogene Daten in die USA übermitteln?
Diese Frage beschäftigt seit Juli des vorigen Jahres viele Unternehmen: Der Europäische Gerichtshof (EuGH) hatte im Juli 2020 im Fall Schrems II festgestellt, dass der Privacy Shield, der bis dahin die Rechtsgrundlage für die meisten Datentransfers in die USA bildete, keinen ausreichenden Datenschutz garantieren könne.
Denn damit dürfen US-Staatssicherheits- und Strafverfolgungsbehörden in unverhältnismäßigem Ausmaß Zugriff auf in die USA übermittelte Daten nehmen. Überdies wird in den USA kein ausreichender Rechtsschutz für europäische Betroffene gegen unzulässige Zugriffe der Behörden gewährt. Transfers auf der Grundlage des Privacy Shield dürften deshalb nicht weiter durchgeführt werden.
EuGH-Urteil betrifft zahlreiche europäische Unternehmen
Wenn man bedenkt, dass fast alle Dienste, die Google, Microsoft, Facebook etc. zur Verfügung stellen, letztlich zu einem Datentransfer in die USA führen, ist die Auswirkung dieses EuGH-Urteils besorgniserregend: Fast jedes Unternehmen nimmt in vielen Zusammenhängen Dienste von US-Firmen in Anspruch, die sich ihrerseits bisher auf den Privacy Shield gestützt haben. Selbst wenn diese US-Firmen zusagen, dass die Daten nicht in den USA gespeichert werden, sind die Daten damit noch nicht mit Sicherheit gegen den Zugriff der US-Staatssicherheits- und Strafverfolgungsbehörden geschützt. Bestimmte US-Rechtsvorschriften, wie FISA 702 und/oder EO 12.333, erlauben diesen Behörden den Zugriff auf Daten auch außerhalb der USA.
Der EuGH hat in seinem Urteil Schrems II festgehalten, dass ein Datentransfer – auch in die USA – nach wie vor auf der Grundlage der sog. Standardvertragsklauseln durchgeführt werden kann.
Das sind vertragliche Vereinbarungen zwischen dem Datenexporteur in der EU und dem Datenimporteur im Ausland, z. B. in den USA. ABER: Wie sollen durch vertragliche Vereinbarungen zwischen zwei Unternehmen die – nach Meinung des EuGH unverhältnismäßigen – Zugriffsrechte von US-Behörden beschränkt werden?
Sechsstufiges Prüfverfahren
Die Datenschutzbehörden der EU-Mitgliedstaaten bemühen sich seit Juli vorigen Jahres aufzuzeigen, wie mit Hilfe von Standardvertragsklauseln ein Datentransfer in die USA doch rechtmäßig gestaltet werden kann. Der Europäische Datenschutzausschuss (EDSA) – der von den Datenschutzbehörden der EU-MS beschickt wird – hat im November 2020 Empfehlungen (01/2020) in die öffentliche Begutachtung geschickt.
Die Grundidee dieser Empfehlung ist, dass „der Gerichtshof Datenexporteuren die Möglichkeit offengelassen hat, zusätzliche Maßnahmen zu ergreifen, die diese Schutzlücken ausfüllen und dadurch den Schutz (im Ausland) auf das nach EU-Recht erforderliche Niveau bringen.“ Der EDSA schlägt zu diesem Zweck ein sechsstufiges Verfahren vor, im Zuge dessen der Exporteur den genauen Inhalt und das Risiko des Datentransfers ermittelt:
- Der Verantwortliche muss sich einen genauen Überblick über seine Datentransfers ins Ausland (außerhalb der EU) verschaffen.
- Die nach der DSGVO zur Verfügung stehenden Transfer-Tools (z. B. Standardvertragsklauseln, verbindliche Konzernrichtlinien etc.) werden auf ihre Eignung für den konkreten Fall geprüft.
- Weiters wird kontrolliert, ob im Zielland Verhältnisse herrschen, die den angestrebten Datenschutz gefährden.
- Falls im Zielland keine unüberwindlichen Hindernisse für angemessenen Schutz bestehen, wird überprüft, ob und welche zusätzlichen Schutzmaßnahmen ergriffen werden sollten.
- Danach sind die notwendigen formal-rechtlichen Schritte zu setzen, wie etwa eine Vertragsergänzung.
- Schließlich muss die Wirksamkeit der ergriffenen Maßnahmen in regelmäßigen Abständen überprüft werden.