{"id":2746,"date":"2021-12-17T16:32:07","date_gmt":"2021-12-17T15:32:07","guid":{"rendered":"http:\/\/www.wiesbadener-kreis.de\/?p=2746"},"modified":"2021-12-27T09:58:40","modified_gmt":"2021-12-27T08:58:40","slug":"datenuebermittlung-in-die-usa","status":"publish","type":"post","link":"http:\/\/www.wiesbadener-kreis.de\/?p=2746","title":{"rendered":"Daten\u00fcbermittlung in die USA"},"content":{"rendered":"<h4><strong>Serverstandort in Deutschland \u2013 mehr Schein als Sein<\/strong><\/h4>\n<p>Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu \u00dcbermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.<\/p>\n<p>(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter <a href=\"https:\/\/www.gindat.de\/news\/detail\/eugh-erklaert-privacy-shield-fuer-ungueltig.html\">https:\/\/www.gindat.de\/news\/detail\/eugh-erklaert-privacy-shield-fuer-ungueltig.html<\/a>)<\/p>\n<p>Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.<\/p>\n<p>Jetzt gibt es einige US-Unternehmen und sogar Datensch\u00fctzer, die meinen, die L\u00f6sung gefunden zu haben \u2013 die Daten sollen nur noch auf Servern in Deutschland\/ Europa verarbeitet werden. So f\u00e4nde n\u00e4mlich keine \u00dcbermittlung in die USA statt und die DSGVO w\u00e4re f\u00fcr die Server anwendbar.<\/p>\n<p>H\u00f6rt sich zun\u00e4chst gut an, ist aber leider nur eine Marketingstrategie und l\u00f6st das Problem nicht.<\/p>\n<p>Denn der EuGH hat den Privacy Shield f\u00fcr nicht ausreichend erkl\u00e4rt, da US-Gesetze zur Anwendung kommen, die mit europ\u00e4ischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:<\/p>\n<ul>\n<li>CLOUD Act<\/li>\n<li>USA Patriot Act<\/li>\n<li>USA Freedom Act<\/li>\n<li>Foreign Intelligence Surveillance Act (FISA)<\/li>\n<\/ul>\n<p>Diese Gesetze statten die US-Beh\u00f6rden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den B\u00fcrgern der EU dagegen kein effektiver Rechtsschutz zur Verf\u00fcgung. Die L\u00f6sung des Problems kann daher nur darin bestehen, dass die Beh\u00f6rden in den USA aus rechtlichen Gr\u00fcnden oder tats\u00e4chlichen Gr\u00fcnden daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.<\/p>\n<p>Zun\u00e4chst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten m\u00fcssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten n\u00e4mlich nicht mit der Begr\u00fcndung ablehnen, dass sich die Server nicht in den USA befinden.<\/p>\n<p>Ein Serverstandort f\u00fchrt auch nicht zu einem tats\u00e4chlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten \u00fcberall von der Welt aus abgerufen werden k\u00f6nnen.<\/p>\n<p><strong>\u00a0Was ist bei deutschen bzw. europ\u00e4ischen Dienstleistern zu beachten?<\/strong><\/p>\n<p>Auch der Einsatz deutscher oder europ\u00e4ischer Dienstleister birgt Gefahren, da diese h\u00e4ufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister daf\u00fcr verantwortlich ist, die Daten in die USA rechtssicher zu \u00fcbermitteln.<\/p>\n<p><strong>L\u00f6sungen?<\/strong><\/p>\n<p>Wie oben bereits beschrieben gibt es derzeit verschiedene L\u00f6sungsm\u00f6glichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.<\/p>\n<p><em><u>Standardvertragsklauseln<\/u><\/em><\/p>\n<p>Zun\u00e4chst sind die sogenannten Standardvertragsklauseln abzuschlie\u00dfen, die gew\u00e4hrleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter <a href=\"https:\/\/www.gindat.de\/news\/detail\/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html\">https:\/\/www.gindat.de\/news\/detail\/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html<\/a>)<\/p>\n<p>Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschlie\u00dfen k\u00f6nnen, stellen sie grunds\u00e4tzlich nur eine erste Ma\u00dfnahme dar. Ausgenommen sind davon F\u00e4lle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA \u00fcbermittelt werden sollen.<\/p>\n<p><em><u>Zus\u00e4tzliche Ma\u00dfnahmen <\/u><\/em><\/p>\n<p>Die Schwierigkeit bei der \u00dcbermittlung personenbezogener Daten in die USA stellen die zus\u00e4tzlichen Ma\u00dfnahmen dar.<\/p>\n<ul>\n<li>Serverstandort in Deutschland\/ Europa<br \/>\n<strong style=\"font-size: 1rem;\">Problem:<\/strong><span style=\"font-size: 1rem;\"> Marketingma\u00dfnahme, hilft nicht weiter.<\/span><\/li>\n<\/ul>\n<ul>\n<li>Verschl\u00fcsselung: Eine geeignete und effektive Ma\u00dfnahme stellt die Verschl\u00fcsselung der Server dar.<br \/>\n<strong style=\"font-size: 1rem;\">Problem:<\/strong><span style=\"font-size: 1rem;\"> Wird von den meisten Dienstleistern nicht unterst\u00fctzt<\/span><\/li>\n<\/ul>\n<ul>\n<li>Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch ber\u00fccksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Beh\u00f6rden von ihren Befugnissen Gebrauch machen.<br \/>\n<strong style=\"font-size: 1rem;\">Problem:<\/strong><span style=\"font-size: 1rem;\"> Die erforderliche Pr\u00fcfung wird insbesondere f\u00fcr KMUs kaum wirtschaftlich und rechtlich zu bew\u00e4ltigen sein.<\/span><\/li>\n<\/ul>\n<ul>\n<li>Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur \u00dcbermittlung in Drittl\u00e4nder ohne Angemessenheitsbeschluss.<br \/>\n<strong style=\"font-size: 1rem;\">Problem:<\/strong><span style=\"font-size: 1rem;\"> Einwilligungen sind immer freiwillig und k\u00f6nnen jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das hei\u00dft, dass eine Einwilligung nur rechtm\u00e4\u00dfig ist, wenn nur eine gelegentliche \u00dcbermittlung von Daten in die USA erfolgt. Folgt man der Auslegung k\u00f6nnen z.B. Webseiten die \u00dcbermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung st\u00fctzen.<\/span><\/li>\n<\/ul>\n<p><strong>Verzicht auf US-Dienstleister?<\/strong><\/p>\n<p>Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Ma\u00dfnahmen findet, personenbezogene Daten rechtskonform in die USA zu \u00fcbermitteln?<\/p>\n<p>Man wird hier als Unternehmen abw\u00e4gen m\u00fcssen. Denn gelingt die rechtskonforme \u00dcbermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbeh\u00f6rden k\u00f6nnen nach Artikel 83 Absatz 5 c DSGVO Bu\u00dfgelder in H\u00f6he von 20.000 000 verh\u00e4ngen und betroffene Personen (Arbeitnehmer, Kunde usw.) k\u00f6nnen Schadenersatzanspr\u00fcche gerichtlich geltend machen.<\/p>\n<p>In der Regel wird jedoch die Umstellung auf europ\u00e4ische Dienstleister auch nicht die L\u00f6sung sein, denn unabh\u00e4ngig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualit\u00e4t keine ernsthaften Alternativen zu USA-Dienstleistern.<\/p>\n<p>Nichtsdestotrotz sollte man seine Dienstleister \u00fcberpr\u00fcfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht m\u00f6glich ist, ist zumindest zu pr\u00fcfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Pr\u00fcfung und Abw\u00e4gung ist f\u00fcr die Beh\u00f6rden zu dokumentieren. So hat schon das BayLDA bem\u00e4ngelt, dass Unternehmen Dienstleister ohne vorherige Abw\u00e4gung einsetzen (<a href=\"https:\/\/gdprhub.eu\/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159\/20-IDV\">https:\/\/gdprhub.eu\/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159\/20-IDV<\/a>).<\/p>\n<p>Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten k\u00f6nnen.<\/p>\n<p><strong>Fazit<\/strong><\/p>\n<p>Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische L\u00f6sung entwickelt wird, die die Unternehmen entlastet.<\/p>\n<p>Max Macht<br \/>\nVolljurist<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Serverstandort in Deutschland \u2013 mehr Schein als Sein Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu \u00dcbermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen. (Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https:\/\/www.gindat.de\/news\/detail\/eugh-erklaert-privacy-shield-fuer-ungueltig.html) Die ganzen bisherigen Empfehlungen &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/www.wiesbadener-kreis.de\/?p=2746\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eDaten\u00fcbermittlung in die USA\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":18,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2746"}],"collection":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2746"}],"version-history":[{"count":6,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2746\/revisions"}],"predecessor-version":[{"id":2749,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2746\/revisions\/2749"}],"wp:attachment":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2746"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2746"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2746"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}