Datenexport in die USA und andere Drittländer

Ohne Weiteres erlaubt das deutsche und europäische Datenschutzrecht den Datentransfer in Drittstaaten nur, soweit deren Datenschutzrecht im Schutzniveau dem Europäischen vergleichbar ist. Anerkannt ist das außerhalb der EU für den Europäischen Wirtschaftsraum sowie für zwölf weitere Staaten, darunter z. B. die Schweiz und Kanada. In alle anderen Staaten ist der Datentransfer nur unter besonderen Voraussetzungen zulässig. Zwar gibt es ein paar Ausnahmetatbestände, z. B. die Erforderlichkeit für Hotelbuchungen im Ausland, doch greifen die weder für Handelsbeziehungen noch für nützliche aber nicht zwingend erforderliche Tools.

Möglichkeiten, ein angemessenes Datenschutzniveau herzustellen

In diesen Fällen muss das angemessene Datenschutzniveau quasi auf vertraglichem Wege hergestellt werden.

Binding Corporate Rules

Internationale Konzerne sollten in Betracht ziehen, für den internen Datenfluss konzernweite Regeln auf europäischem Datenschutzniveau festzulegen. Diese „Binding Corporate Rules“ (BCR) müssen von den Datenschutzaufsichtsbehörden genehmigt werden. Mit dieser Lösung sind individuell angepasste Regeln möglich. Der Aufwand bis zur Genehmigung dürfte aber beachtlich sein.

EU-Standardvertragsklauseln

Prinzipiell ist ein individueller Datenschutzvertrag auch zwischen Datenexporteur und Datenimporteur möglich, wegen des Genehmigungsverfahrens aber wohl nur selten praktikabel. Für Handels-/Lieferbeziehungen könnte es sich daher wohl eher anbieten, einen Vertrag unter Verwendung der „EU-Standardvertragsklauseln“ zu schließen. Werden diese Klauseln unverändert verwendet, ist keine Genehmigung der Aufsichtsbehörde erforderlich. Ist der Wille zum Datenschutz nach europäischem Standard bei dem US-amerikanischen Geschäftspartner da, ist diese formale Legitimation des Datentransfers schnell umsetzbar.

Privacy Shield: ungültig seit 16.07.2020

Der EuGH hat mit Urteil vom 16.07.2020 das Privacy Shield-Abkommen gekippt. Unternehmen, die bisher einen Datentransfer darauf gestützt haben, dass das US-Unternehmen, dem sie Daten übermitteln, in der Liste der zertifizierten Unternehmen unter www.privacyshield.gov steht, müssen jetzt dringend eine Alternative suchen.

Für die vielen deutschen Nutzer von  Software oder Internettools US-amerikanischer Anbieter war die seit Juli 2016 bestehende „Privacy Shield“-Regelung die einfachste Lösung: War das US-Unternehmen nach den Vorgaben des Privacy Shield zertifziert, durfte ein Datentransfer stattfinden. 

Einwilligung

Der Datentransfer kann natürlich auch auf eine ganz andere Art legitimiert werden: Durch die freiwillige, widerrufliche und ausdrückliche Einwilligung des Betroffenen. Dazu müssen dem Betroffenen vor seiner Entscheidung neben dem Verarbeitungszweck das Empfängerland und die dort vorhandenen (oder nicht vorhandenen) Datenschutzregelungen mitgeteilt werden.

Wechsel zu europäischen Datenspeichern

Mit diesen Lösungen wird ein Datentransfer in die USA rechtlich zulässig. Ob die Daten damit ernsthaft vor dem anlasslosen Zugriff staatlicher Stellen geschützt werden, mag mancher bezweifeln. Von daher sollten Unternehmen auch prüfen, ob es die Möglichkeit gibt, den Anbieter der Software zu wechseln, so dass kein Datentransfer in Drittstaaten mehr stattfindet. Zu vielen bekannten amerikanischen Programmen gibt es mittlerweile Anbieter auf dem deutschen bzw. EU-Markt, oft auch in der Schweiz. Außerdem ist zu beobachten, dass gerade die großen US-amerikanischen Anbieter wie Microsoft etc. auf die europäische Debatte reagiert haben/reagieren, indem sie für den europäischen Kunden zunehmend innereuropäische Lösungen anbieten, so dass die Daten zwar zu dem US-Unternehmen transferiert, von ihm jedoch ausschließlich in der EU verarbeitet werden. Auch so werden die Daten dem Zugriff des US-Staates rechtlich entzogen, das Europäische Datenschutzrecht gilt und die Softwarenutzung ist legal.

Vor allem aber gilt auch beim Datentransfer zu Geschäftspartnern oder Dienstleistern: Der beste Datenschutz ist Datensparsamkeit. So viele Daten wie nötig, aber so wenige Daten wie möglich.