von Rechtsanwalt Dr. Ronald Kandelhard
Update 1.9.2023: Grundlagen zur Zertifizierung vertieft und einige Hinweise für Schweizer nach dem neuen Schweizer Datenschutzgesetz eingefügt.
Neues Recht, US Anbieter wohl doch nicht mehr verboten!
Was habe ich, haben andere, haben viele, nicht alles geschrieben, publiziert, gepodcastet, gemahnt und informiert. Datenweitergabe in die USA – ein schier endloses Kapitel nach der DSGVO:
- erst gab es Safe Harbour,
- dann hat der EuGH dieses Abkommen im Oktober 2015 für unwirksam erklärt,
- dann gab es privacy shield (näher dazu unser Blogpost hier), bei dem hier immer davon ausgegangen wurde, dass es einer rechtlichen Prüfung nicht standhalten wird,
- so war es denn auch, mit EuGH Urteil vom 16. Juli 2020 wurde auch privacy shield für unwirksam erklärt (dazu unser Blogpost hier),
- und nun nach einigem hin- und her siehe da: das neue Datenschutzabkommen EU-U.S. Data Privacy Framework wurde verabschiedet.
Somit können wir wieder ganz einfach und rechtssicher Daten in die USA versenden. Oder, etwa doch nicht?
1. Der Datenverkehr in die USA wieder im „sicheren Hafen“?
Die Details haben wir bereits in den oben verlinkten Blogosts dargelegt, deshalb nur so viel: Nach Art. 45 Abs. 1 DSGVO dürfen private Daten von EU-Bürgern nur dann in ein Land außerhalb der Europäischen Union exportiert werden, wenn der Datenschutz in dem Zielland gleichwertig zu dem in der EU ist. Das ist für einige Staaten wie z.B. die Schweiz oder Neuseeland recht unangefochten festgestellt, nur bei der Anerkennung der für den internationalen Datenverkehr wichtigsten Nation, den USA, gibt es dieses endlose Hin und Her.
Die Entscheidung über die Gleichwertigkeit trifft die EU-Kommission, aber die Entscheidung ist eben gerichtlich überprüfbar. Wie in der Einleitung dargelegt, musste der EuGH zweimal feststellen, dass der Datenschutz in den USA eben nicht wirklich gleichwertig ist und damit zweimal die entsprechende Gleichwertigkeitsentscheidung der EU-Kommission kassieren.
Hintergrund war vor allem der sog. Patriot Act in den USA. Dieses Gesetz gibt den US-Geheimdiensten weitgehende Befugnisse, von US-Unternehmen dort gespeicherte personenbezogene Daten abzufordern, ohne dass ein hinreichender Anlass vorliegen muss. Zudem gibt es dagegen auch kaum Rechtsmittel der US Unternehmen oder gar betroffener Nicht-US-Bürger. Das war der Grund, warum der EuGH zweimal entschied, dass der Datenschutz in den USA nicht mit dem EU-Grundrecht auf Datenschutz vereinbar ist. Deshalb wurden privacy shield und safe harbour für Unwirksamkeit erklärt.
Für die Nutzer von US-Diensten war das immer mit großen Unsicherheiten verbunden, denn nicht alle Dienste lassen sich ohne weiteres gegen europäische Dienste austauschen und bei vielen ist eine Migration auch mit erheblichem Aufwand verbunden (z.B. Newsletter Anbieter).
2. Und was ist jetzt neu, dass es auf einmal wieder zu einem neuen Angemessenheitsbeschluss gekommen ist?
Tatsächlich gab es bereits vor dem neuen Angemessenheitsbeschluss eine präsidiale Verordnung, die in den USA Gesetzeskraft hat. Es handelt sich um die Verordnung des US-Präsidenten Joe Biden vom 7.10.2022 „Executive Order On Enhancing Safeguard For United States Signals Intelligence Activities”). Wer sich genauer mit ihrem Inhalt beschäftigt wird feststellen, dass hierin deutliche Einschränkungen der Weitergabe von personenbezogenen Daten von Nicht-US-Bürgern an die Geheimdienste und weitere aus der Sicht des Datenschutzes wichtige Rechtsgarantien eingeführt wurden.
Das ist tatsächlich eine Neuigkeit. Ob Safe Harbour oder Privacy Shield, beide enthielten kaum mehr als Absichtserklärungen der US-Seite. Jetzt sind dagegen gesetzliche Schutzregeln erlassen worden. Das Argument einer mehr oder weniger ungeschützten Weitergabe an Geheimdienste, das der EuGH in den ersten beiden Urteilen feststellen musste, gilt so nicht. Juhu fragst Du, kann ich US Dienste also wieder problemlos verwenden?
3. Ja, durch dem neuen Angemessenheitsbeschluss der EU-Kommission sollte erst mal Ruhe eingekehrt sein
Dadurch, dass die EU-Kommission am 10.07.2023 erneut einen dritten Angemessenheitsbeschluss erlasen hat, kannst du vorerst abmahnsicher Daten in die USA versenden. Um die Bedenken des Europäischen Gerichtshof auszuräumen, wurden neue verbindliche Garantien eingeführt. Diese Garantien sind:
- den Zugriff von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß zu beschränken
- und das Aufbauen eines speziellen Gerichts zur Prüfung der Datenschutzmaßnahmen geschaffen wird. Das sogenannte Data Protection Review Court, DPRC, zu dem Einzelpersonen in der EU Zugang haben.
Außerdem soll die Funktionsweise des Datenschutzrahmens EU-USA regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.
Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
4. Achtung: Weitergabe nur an zertifizierte US-Unternehmen
Zudem müssen US-Unternehmen nach dem EU-US Data Privacy Framework zertifiziert sein, damit Du die Daten auf Grundlage des neuen Angemessenheitsbeschlusses übermitteln kannst. Die Liste mit den zertifizierten Unternehmen findest du hier. Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird es in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.
5. Was ist, wenn ein Tool nicht zertifiziert wurde? Kann ich dann trotzdem Daten dorthin übermitteln?
Viele wichtige Unternehmen wie z.B. Google oder Amazon befinden sich bereits auf der Liste der zertifizierten Unternehmen. Wenn du jedoch Daten an ein Unternehmen, welches nicht zertifiziert ist, übermitteln möchtest, dann ist das nicht auf Grundlage des Angemessenheitsbeschluss möglich.
Jedoch gibt nach derzeitiger Rechtslage (näher dazu hier) grundsätzlich die Möglichkeit, personenbezogene Daten Deiner Nutzer und Kunden aufgrund eines Vertrages nach den sog. Standardvertragsklauseln gem. Art. 46 DSGVO an nicht zertifizierte Unternehmen zu exportieren.
6. Die Standardvertragsklauseln
Die Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission (ABl. L 199 vom 7.6.2021). Danach kannst Du mit Deinem Anbieter in den USA einen solcher Vertrag für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschließen. Den Text findest Du in dem verlinkten Beschluss. Du darfst ihn nicht wesentlich verändern. Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen.
Der Vertrag muss grundsätzlich ausgedruckt und a den Anbieter gesendet werden, der ihn dann unterzeichnet zurücksendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Viele US-Anbieter bieten die Standardvertragsklauseln unmittelbar an. Suche nach „standard contractual clauses“. Vielleicht hast Du Glück und Dein Anbieter bietet diese an, ansonsten stellt es für die Unternehmen aber auch keinen großen Aufwand dar, sich zertifizieren zu lassen.
7. Wie geht es weiter? Kann dieser Angemessenheitsbeschluss nicht auch einfach wieder für ungültig erklärt werden?
Die EU-Kommission hat den neuen Angemessenheitsbeschluss am 10. Juli 2023 verabschiedet. Solange dieser in Kraft ist, besteht in den USA formell ein angemessenes Datenschutzniveau. Datenübermittlungen in die USA sind aus datenschutzrechtlicher Sicht folglich nicht zu beanstanden. Es bleibt jedoch abzuwarten, ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten wird.
Auch wenn sich das Datenschutzniveau in den USA durch das EU‑U.S. Data Privacy Framework verbessert, ist ein zukünftiges Scheitern des Angemessenheitsbeschlusses vor dem EuGH nicht auszuschließen.
Bereits jetzt gibt es deutliche Kritik von Datenschutzaktivisten und Max Schrems steht sozusagen wieder in den Startlöchern. Denn es ist weiterhin fraglich, in wie weit die USA die Garantien umsetzt und ob diese Umsetzung dann auch im Sinne der EU ist. Wie du siehst, bleibt es trotz neuem Abkommen spannend!
Es bleibt zu hoffen, dass die USA ihre Versprechen einhält und dieser Angemessenheitsbeschluss länger in Kraft bleibt als seine Vorgänger.
8. Ergebnis zur DSGVO USA
Diesmal könnte die fast unendliche Geschichte doch ein Ende gefunden haben. Mit der neuen Rechtslage in den USA kannst Du
- durch den neuen Angemessenheitsbeschluss und das Datenschutzabkommen EU-„U.S. Data Privacy Framework“ zwischen den USA und der EU
US-Dienste wieder verwenden. Dabei wird es voraussichtlich noch eine Weile bleiben, aber diesmal ist die Prognose für das künftige EuGH Urteil jedenfalls besser als zuvor.
Für alle Kunden von easyRechtssicher gilt natürlich: Wir haben die Muster zu US Diensten an die neue Rechtslage angepasst, sie erscheinen automatisch auch in Deiner Datenschutzerklärung, soweit Du eine unserer vielen Automationen nutzt. Wenn nicht, generieren Deine Datenschutzerklärung jetzt am besten neu und füge sie in Deine Website ein.
Mehr über die DSGVO erfährst du hier.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Pingback: Mit Microsoft Teams Datenschutz konform Videokonferenzen abhalten!
Pingback: Wie Du Slack DSGVO konform verwenden kannst - easyRechtssicher
Pingback: Videokonferenz DSGVO ohne Abmahnung oder teures Bußgeld!
Pingback: Zoom Datenschutz: Sicher Videokonferenzen abhalten! [2020]
Damit sollten Google Dienste, wie beispielsweise das unübertroffene Google reCaptcha bereits jetzt ohne irgendeiner Unterzeichnung erlaubt sein: https://support.google.com/publisherpolicies/answer/10437486?hl=de
Nein, nicht unbedingt, die sammeln immer noch zuviele Daten, besser Alternativen wie hCaptcha verwenden.
Google reCaptcha sammelt doch nur die IP, funktioniert immer, ist das sicherste Captcha und wird in vielen Firewalls als einzigste Captcha angeboten. hCaptcha hat auch bei mir schon mal nicht funktioniert und verwendet auch US-Server.
Grundsätzlich mal die Frage: Hat Sicherheit keinen bedingungslosen Vorrang vor Datenschutz?
Hallo Bernardus, ich bin bereits einer der Wenigen, die es überhaupt für möglich halten, dass man ReCaptcha aus Sicherheitsgründen akzeptieren kann. Ich bleibe dabei, wenn man gut dokumentiert, dass ReCaptcha das einzige was hilft, hat man mindestens einer Chance, Abmahnung und Bussgeld zu entgehen. Ansonsten halte ich es aber für schwer…
Es ist falsch, dass Google reCaptcha nur die IP Daten sammelt, sondern alle Google Produkte sammeln durchgängig mehrere unterschiedliche Daten, insbesondere auch ohne die eigentlich notwendigen Informationen und Hinweise und Zustimmung der Betroffenen, wie Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten. Diese Daten werden u.a. auch zur Werbung genutzt und an andere Firmen weitergegeben, ohne dass der Betroffene hiervon etwas erfährt oder einen Einfluss hätte.
Ja, das ist immer wieder das Problem – z.B. auch bei Analytics 4.
Genau – siehe TTDSG §25….
Pingback: Schweizer_dsg: Rechtssicher in 2023
Hm, kann auch sein, dass sich hier nichts weiter bewegen wird, wurde ja im Artikel erwähnt. Ergänzend: Ein Ausschuss des EU-Parlaments hat empfohlen, den Entwurf für das Data Privacy Framework abzulehnen, siehe PDF (https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_EN.pdf)
Hallo Sascha,
super gefunden. Ja, perfekt ist das alles sicher immer noch nicht, es bleibt spannend, gehe aber immer noch eher davon aus, dass der Gleichwertigkeitsbeschluss kommt.
Für mich als interessierten Webflow Nutzer – auch Webflow scheint hier eingetragen zu sein. Sollte man alle weiteren Standardmaßnahmen durchführen, so könnte auch Webflow ohne Rechtsrisiko nutzbar sein.
Gehe ich richtig in meiner Annahme?
Ein Link dazu aus dem Webflow Forum (vollständig runter scrollen): https://discourse.webflow.com/t/list-how-to-use-webflow-in-germany-wie-du-webflow-in-deutschland-nutzen-konntest-gdpr-dsgvo/158846/86
Pingback: Wie Du Webflow Datenschutz konform für die Erstellung von Websites nutzt - easyRechtssicher