Am 16.7.2020 beschloss der EuGH, dass der EU-US privacy shield für die Übertragung von Daten in die Vereinigten Staaten nicht mehr das geforderte Sicherheitsniveau garantiert. Damit wurde eine der grundlegenden Rechtsgrundlagen für die Übertragung von personenbezogenen Daten in die Vereinigten Staaten gekippt. Man mag jetzt sagen, wir übertragen ja nichts in die USA! Stimmt aber i.d.R. nicht.
Die meisten Cloudanbieter, Newsletterversender, Social Media Anbieter und zahlreiche Lieferanten von CRM-Systemen und Standardsoftware haben Ihren Sitz in den USA. Da alle amerikanischen Firmen dem Freedom Act, bzw. CLOUD Act unterliegen, müssen sie ihre Daten, ganz gleich wo diese gespeichert sind, unter bestimmten Bedingungen der US-Regierung zur Verfügung stellen.
Es heißt zwar, dass durch die Herausgabe der Daten keine nationalen Gesetze gebrochen werden dürfen und dass dafür bilaterale Abkommen geschlossen werden sollen, aber diese Abkommen existieren (noch) nicht.
Für die Übermittlung personenbezogener Daten in Drittstaaten, also Länder ausserhalb des Geltungsbereiches der DSGVO, sieht die DSGVO zwei alternative Rechtsgrundlagen vor. Das ist einmal die zwischenstaatliche Anerkennung eines der DSGVO angepassten, angemessenen Sicherheitsniveaus. Dieses wird durch ein bilaterales Abkommen, den sogen. „Angemessenheitsbeschluss“ dokumentiert. Die zweite ist die wörtliche Anerkennung der sog. EU-Datenschutz-Standardklauseln durch den jeweiligen Empfänger der Daten im Drittland.
Für die USA liegt kein Angemessenheitsbeschluss vor – diese Funktion erfüllte bisher der „privacy shield“. Was bleibt ist die Übertragung personenbezogener Daten auf Basis der EU-Datenschutz-Standardklauseln. Hier formuliert der BGH eine Prüfpflicht durch den Verantwortlichen, ob jede einzelne Verarbeitung unter den Standardklauseln eine hinreichende Sicherheit garantiert, oder ob zusätzliche Garantien oder Sicherheiten geschaffen werden müssen.
Was ist also zu tun:
- Prüfen ob US-amerikanische Anbieter durch Anbieter aus dem europäischen Raum ersetzt werden können.
- Prüfen, welche bestehenden Datenübertragungen in die USA ausschließlich auf Basis des privacy shield beruhen. Viele große Anbieter arbeiten bereits sowohl auf der Grundlage des privacy shield als auch auf der Grundlage der Standardklauseln.
- Alle solche Verarbeitungen auf die Rechtsgrundlage „EU-Standardklauseln“ umstellen und diese in die entsprechenden Verträge aufnehmen
Die DSGVO sieht in den Artikeln 46 und 49 auch alternative Garantien vor (z.-B. binding corporate rules oder bilateral zwischen den Vertragsparteien vereinbarte Garantien. Deren Anwendung und Durchsetzung hängt allerdings von Genehmigungen der Aufsichtsbehörden ab oder bedeuten in der Praxis umfangreiche Vertragsverhandlungen. D.h. kurzfristig bleibt kaum etwas anderes übrig als den Datentransfer nach USA soweit wie möglich zu reduzieren und für den Rest auf die Rechtsgrundlage „EU-Standardklauseln“ umzustellen, wenn man rechtssicher Daten in die USA übertragen möchte oder muß.