Datenübermittlung in die USA

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

  • CLOUD Act
  • USA Patriot Act
  • USA Freedom Act
  • Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

 Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

  • Serverstandort in Deutschland/ Europa
    Problem: Marketingmaßnahme, hilft nicht weiter.
  • Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
    Problem: Wird von den meisten Dienstleistern nicht unterstützt
  • Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
    Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.
  • Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
    Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist