Auftragsdatenverarbeitung in den USA: Quo vadis?
7. Oktober 2022 | Letzte Aktualisierung: 23. November 2022
Stichworte: ,
Auftragsdatenverarbeitung in den USA: Quo vadis?
7. Oktober 2022 | Letzte Aktualisierung: 23. November 2022
Zahlreiche deutsche Unternehmen setzen nach wie vor auf Cloud-Lösungen aus den USA. Egal ob Softwarelösungen oder Cloudspeicher von Microsoft, Google oder Amazon Web Services: die Hinzunahme von US-Dienstleistern ist gem. europäischer Datenschutzgrundverordnung immer ein Spiel mit dem Feuer.
Um Rechtssicherheit für europäische Kunden zu gewährleisten, hatten sich bereits 2015 über 4.000 US-amerikanische Unternehmen unter dem Datenschutzabkommen „EU-US Privacy Shield“ zertifizieren lassen, um die Erlaubnis zu erhalten, von ihren Geschäftspartnern in der EU personenbezogene Daten übermittelt zu bekommen. Der EU-US Privacy Shield umfasste informelle Absprachen auf dem Gebiet des Datenschutzrechts seit dem Jahre 2015 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Doch die Unsicherheiten blieben, denn der amerikanische „US-Cloud Act“ gibt amerikanischen Behörden und somit den US-Nachrichtendiensten nach wie vor die Möglichkeit, von US-Unternehmen die Herausgabe von Daten zu verlangen, auch wenn diese Daten außerhalb der USA gespeichert werden. Der Datenschutzaktivist Max Schrems hatte daher ein Verfahren gegen den Privacy Shield in Gang gesetzt.
Warum wurde der Privacy Shield vom EuGH gekippt?
Im Zuge des Schrems II Verfahren äußerte sich der EuGH zu den Übermittlungen von personenbezogenen Daten in die USA und kippte den Privacy Shield im Juni 2020. Die Massenüberwachung durch die US-Nachrichtendienste sei uferlos, die Daten europäischer Nutzer in den USA damit nicht angemessen geschützt. Trotz gewissen Anforderungen seien die Überwachungsprogramme der US-Nachrichtendienste nicht auf das zwingend erforderliche Maß beschränkt. Hinzu kommt, dass trotz dem zwischenzeitlich nachgebessertem Ombudsmechanismus den Betroffenen kein ausreichender Rechtsbehelf gegen die Überwachung in den USA geboten wird. Damit verstoße der Privacy Shield auch gegen Art. 47 der Europäischen Grundrechte-Charta, wonach jeder Person ein wirksamer Rechtsbehelf gegen Grundrechtseingriffe zustehen muss.
Bleiben die Standardklauseln wirksam?
Der EuGH hält die sog. Standartklauseln weiterhin für uneingeschränkt gültig. Die Standardvertragsklauseln sind bisher das in der Praxis am meisten verbreitete Rechtsinstrument für Datentransfers zwischen EU-Unternehmen und Drittländern wie den USA.
Mögliche Lösung:
Es werden Lösungen benötigt, denn ohne einen anderen Erlaubnismechanismus statt des Privacy Shield wäre eine Übermittlung personenbezogener Daten in die USA rechtswidrig. Denkbar wären besagte Standartvertragsklauseln, die zwischen dem Unternehmen und den US-Geschäftspartnern abgeschlossen werden könnten. Wirkliche Alternativen zu den Standardvertragsklauseln bieten sich in der Praxis aber kaum an. Denn die europäische Datenschutzgrundverordnung sieht nur einen begrenzten Katalog an Erlaubnisnormen für Drittlandsübermittlungen vor. Die Einholung einer Einwilligung ist zum Beispiel häufig nicht praktikabel oder – im Fall von Beschäftigten – einem Unwirksamkeitsrisiko wegen mangelnder Freiwilligkeit ausgesetzt. Unternehmen könnten aber erwägen, personenbezogene Daten vermehrt in der EU zu speichern: Bereits nach dem Safe-Harbor-Urteil aus dem Jahr 2015 hatten einige Cloud-Anbieter umgehend europäische Clouds angeboten.
Welche Strafen können bei Missachtung erwartet werden?
Es drohen europäischen Unternehmen im schlimmsten Fall Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens oder, wenn einschlägig, des zugehörigen Konzerns, wenn Daten ohne rechtlich saubere Grundlage in Drittstaaten verarbeitet werden.
Wie geht es weiter?
Präsident Joe Biden hatte am 7. Oktober 2022 eine „Excecutive Order“ erlassen, die den Datenschutz von Europäern gegen Abhöraktivitäten der US-Geheimdienste verbessern sollte. Die EU-Kommission muss den Erlass nun formal bewerten und kann die USA per Angemessenheitsbeschluss wieder zum „sicheren Drittland“ erklären. Angesichts der Überwachungspraxis bleiben allerdings Zweifel, ob die „Executive Order“ die gravierenden Bedenken des EuGH an Datentransfers in die USA ausräumen kann. Es werden sowohl die schrankenlosen Befugnisse der US-Geheimdienste als auch die fehlenden Rechtsschutzmöglichkeiten für betroffene EU-Bürger moniert. Beide Punkte werden in dem neuen Präsidialerlass jetzt adressiert: So ist die Auswertung nur noch auf Basis bestimmter festgelegter legitimer Zwecke zulässig und muss verhältnismäßig sein. Zudem erhalten EU-Bürger die Möglichkeit, einen eigens hierfür eingerichteten „Data Protection Review Court“ in den USA anzurufen.
Die Rechtsunsicherheit bleibt …
Jedenfalls bis zu einem Angemessenheitsbeschluss bleibt Unternehmen, die sich mit über die Cloud angeboten digitalen Produkten und Services befassen, nur der Weg über die von der EU-Kommission freigegebenen sog. „Standardvertragsklauseln“. Dieser Weg allerdings bleibt rechtlich unsicher. Denn der EuGH schrieb den Verwendern der Standardvertragsklauseln in der „Schrems II“-Entscheidung zusätzliche Pflichten ins Stammbuch: Betreibt das Zielland – wie die USA – rechtsstaatlich fragwürdige Überwachungsprogramme, sind die Musterklauseln allein nicht ausreichend.
Vielmehr müssen die datenexportierenden EU-Unternehmen zusätzliche Maßnahmen treffen, um die personenbezogenen Daten zu schützen. Beispielsweise kann dies eine wirksame Verschlüsselung der Daten notwendig machen. Eine solche Verschlüsselung kollidiert jedoch mit vielen Cloud-Anwendungen. Denn um die Daten in der Cloud-Software verarbeiten zu können, müssen sie entschlüsselt werden – was sie wiederum dem technischen Zugriff der NSA und anderen Geheimdiensten aussetzt.
Fazit:
Auf Basis von Bidens Erlass kann auf EU-Ebene das Verfahren für einen sogenannten Angemessenheitsbeschluss beginnen, der gleichwertige Datenschutzstandards zwischen der EU und den USA bescheinigen würde. Dieses Verfahren kann etwa sechs Monate dauern. Dabei müssen allerdings auch der Europäische Datenschutzausschuss sowie die EU-Staaten und das Europaparlament einbezogen werden.
Kontakt
Dreyfield Deutschland GmbH
Mies-van-der-Rohe-Str. 8
80807 München
Tel.: +49 (0) 89 12414-9000
Fax: +49 (0) 89 12414-9099