26.05.2021 – Bernd Haase
Seitdem im Juni 2020 das Datenschutzabkommen mit den USA vom EuGH für ungültig erklärt wurde, steht ein großer rosa Elefant mit dem Namen „Rechtsunsicherheit“ im Raum, den am liebsten keiner sehen will. In wenigen Tagen jährt sich dieses einschneidende Ereignis und wir nehmen einen kurzen Blick auf den Ist-Stand dieser Diskussion. Fakt ist jedenfalls, dass die Verarbeitung von personenbezogenen Daten durch US-Dienstleister rechtlich immer noch sehr schwierig ist! Die Meinungen der Europäischen Aufsichtsbehörden schwingen vielstimmig und es ist daher stets ein guter Rat, sich letztlich auch die Ansicht der lokal zuständigen Aufsichtsbehörde einzuholen. Unterm Strich jedoch bleibt für die Einbindung von US-Vertragspartnern diese Betrachtungsweise stehen:
- jeder Datenexporteur sollte die zu exportierenden Daten nochmals nach Art, Umfang, Zweck, Kontext und Empfänger der Daten analysieren und insbesondere deren Kritikalität genau bewerten, d.h. inwieweit welche Daten welche bestimmten Risiken für die Betroffenen bergen
- da die rechtliche Verarbeitungsgrundlage nach den bisherigen EU Standardvertragsklauseln hinsichtlich US-Anbietern nicht ausreichend ist, sollte der Datenexporteuer daher auf zusätzliche Garantien bzw. vertragliche Zusicherungen des Datenimporteurs drängen, bspw. dass der Datenexporteur unverhältnismäßige und der DSGVO widersprechende Anordnungen für Datenübermittlungen anfechten kann oder ganz konkret im Falle behördlicher Zugriffe erst nach eigener Prüfung des Sachverhalts seine Zustimmung geben würde (Achtung: bitte schauen Sie auch immer auf eine angemessene Verhältnismäßigkeit von solchen Maßnahmen in Ihrem Geschäftskontext!)
- Ausloten aller Möglichkeiten einer Pseudonymisierung bzw. auch Anonymisierung der Daten vor der Übertragung
- prüfen Sie immer wieder einmal nach, ob nicht doch europäische Anbieter inzwischen Ihre gewünschten Services erbringen können und Sie einen Anbieterwechsel in Erwägung ziehen sollten
Eine viel weiter ins Detail gehende Diskussion inkl. empfohlener Maßnahmen finden Sie auf der Seite der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).
Es bleibt der fade Beigeschmack, dass man es kaum richtig machen kann. Wenn es bestimmte US-Anbieter ihren europäischen Kunden nicht freiwillig anbieten würden, wäre eine Diskussion einzelner Kunden aus dem fernen Europa über Sonderrechte bei der weiteren Datenübermittlung in Übersee wohl mindestens mühselig. Aber Nachfragen kostet ja nichts, und bei bekannten Anbietern dürften Sie nicht der einzige Fragende sein. Ggf. gibt es schon Antworten, welche die Lage entspannen. Andere Bemühungen seitens der US-Anbieter gehen aktuell dahin, autarke europäische Datenverarbeitungen anzubieten. Aber machen wir uns nichts vor – auch das ist für die Serviceanbieter eine aufwändige Sache und nicht von heute auf morgen geschafft.
Die Wirtschaft erwartet zu Recht von den Verhandlungsführern der europäischen Aufsichtsbehörden, dass diese sich für Zusatzklauseln stark machen, die ein neues Privacy Shield wieder möglich werden lassen. Niemand kann ernsthaft erwarten, dass die kleinen und großen Unternehmer in der Masse erfolgreich individuelle Verhandlungen mit amerikanischen Anbietern führen! Und es gilt ja immer auch der Ansatz der Angemessenheit von Maßnahmen. Aufwändige Maßnahmen müssen durch die festgestellte Kritikalität der Daten und enthaltenen Risiken für Betroffene gerechtfertigt sein. Wegen einer über Facebook erhobenen E-Mail-Adresse sollte keine Armee in Gefechtsbereitschaft gesetzt werden müssen. Bis aber eine Einigung an oberster Stelle erfolgt sein wird, dürfte noch viel Wasser durch den Golfstrom fließen. Erledigen Sie daher die Hausaufgaben, die Sie mit angemessenem Aufwand durchführen können und bleiben informativ an der Entwicklung dieses Themas dran.