Mit dem Urteil des EuGH vom 16. Juli gelten für den Datentransfer in die USA neue Regeln. Das EU-US Privacy Shield-Abkommen, das seit 2016 als angemessene Grundlage für eine rechtssichere Datenübertragung in die USA angesehen wurde, ist nicht mehr gültig.
Geklagt hatte der Österreicher Maximilian Schrems, der durch die Zugriffsrechte der amerikanischen Behörden auf Daten in den USA seine Rechte verletzt gesehen hat. Das EuGH folgte im Wesentlichen der Klage. Internationaler Datentransfer ist nur möglich, wenn in dem Empfängerland ein mit der DSGVO vergleichbarer Datenschutz existiert. Durch die Überwachungsprogramme der US-Behörden, die sich auf § 702 FISA und Executive Order 12333 stützen, sind diese Rechte nicht gegeben. Der Grundsatz der Erforderlichkeit wird nicht eingehalten, außerdem gibt es für EU-Bürger kaum Rechtsschutzmöglichkeiten gegen diese Überwachung. Daher ist eine Datenübertragung in die USA aufgrund des Privacy Shield-Abkommen nicht mehr zulässig. Das Urteil ist sofort wirksam, das heißt, es gibt keine Übergangsfrist.
Datenübertragung mit Standardvertragsklauseln weiterhin möglich
Weiterhin möglich sind Datentransfers, die sich auf die so genannten EU-Standardvertragsklauseln beziehen. Das sind fest definierte Zusätze zu Auftragsverarbeitungsverträgen, die Regelungen zum Datenschutz erhalten. Sie dürfen nur unverändert eingesetzt werden, um rechtssicher zu sein. Diese Klauseln sind weiterhin grundsätzlich wirksam. Eine generelle Wirksamkeit existiert jedoch nicht. Denn es muss im Einzelfall geprüft werden, ob in dem Drittland der Rechtsrahmen so gestaltet ist, dass die Standardvertragsklauseln genügend Rechtssicherheit geben. Womit man wieder bei der Frage wäre, ob durch die US-Überwachungsprogramme diese Sicherheit überhaupt möglich ist. Rein pragmatisch lässt sich aber davon ausgehen, dass Datentransfer in die USA mit diesen Klauseln möglich ist, solange es sich nicht um besonders sensible Daten handelt. Da die Überwachung von Telekommunikationsanbieter recht stark ist, sind daher – so der aktuelle Stand – Datentransfers an US-Telekomunternehmen nicht möglich.
Was müssen KMUs jetzt beachten?
Um auch nach dem EuGH-Urteil keine Probleme bei der Zusammenarbeit mit US-Unternehmen zu bekommen, sollten KMUs folgende Schritte unternehmen:
-
Aufstellung der US-Datenverarbeiter anlegen:
Erstellen Sie zunächst eine Aufstellung, mit welche US-Unternehmen Sie Daten austauschen. Das ist oft Microsoft durch Office 365, Amazon über AWS und eine Vielzahl weiterer cloudbasierter Tools. Es geht dabei nicht um Software, die auf den firmeneigenen internen Servern installiert ist. Wichtig sind Software-as-a-Service-Anwendungen, die in der Cloud ausgeführt werden, also auf den Servern des Software-Anbieters.
-
Auftragsverarbeitungsverträge prüfen:
Prüfen Sie bei diesen US-Anbietern die Auftragsverarbeitungsverträge, auf Englisch DPA (Data Processing Agreements). Dort ist in der Regel unter dem Punkt „Data Transfer“ aufgeführt, aufgrund welcher Rechtsgrundlage Daten übertragen werden. Bezieht sich der Anbieter nur auf das Privacy Shield-Abkommen, die eine Datenübertragung nicht mehr möglich. Fast alle großen US-Unternehmen nutzen aber bereits von Anfang an neben dem Privacy Shield-Abkommen die Standardvertragsklauseln.
-
Datenkategorien überprüfen:
Prüfen Sie in Ihrem Unternehmen, welche Daten in die USA übertragen werden bzw. welche Daten in den SaaS-Anwendungen verarbeitet werden. Es gibt noch keine Handlungsempfehlungen der Aufsichtsbehörden, welche Daten eher unkritisch sind und welche auf keinen Fall übertragen werden sollten. Bis dahin gilt: Je sensibler die Daten, desto höher das Risiko, das die Übermittlung in die USA nicht möglich ist.
-
Standardvertragsklauseln abschließen:
Wenn Sie kleinere Anbieter in den USA als Auftragsverarbeiter einsetzen, prüfen Sie Ihre AV-Verträge und aktualisieren sie ggf. mit den EU-Standardvertragsklauseln. Sie können sie hier herunterladen.
-
Alternativen suchen:
Zu vielen der großen US-Techunternehmen gibt es keine Alternative. Die arbeiten aber ohnehin mit Standardvertragsklauseln und bemühen sich überwiegend um hohe Transparenz. Microsoft veröffentlich zum Beispiel eine Liste mit Anfragen durch die US-Behörden. Doch viele kleine US-Unternehmen können das nicht leisten. Suchen Sie rechtzeitig Anbieter aus Europa, um reagieren zu können, wenn Ihr bisheriger US-Anbieter keine Alternative zum Privacy Shield anbietet.
Auch wenn das Urteil unmittelbar wirkt und damit alle Datenübertragungen in die USA auf Grundlage des Privacy Shield illegal sind, werden die Aufsichtsbehörden zunächst nicht von sich aus Unternehmen auf diesen Punkt kontrollieren. Für KMUs gilt daher, diese „inoffizielle“ Übergangsfrist zu nutzen, um sich einen Überblick zu verschaffen und die notwendigen Maßnahmen zu ergreifen, um auf zukünftig rechtssicher Daten in die USA übertragen zu können.