Datentransfer in die USA wieder möglich!?
Die Europäische Kommission und der US-Präsident Joe Biden haben sich auf einen neuen transatlantischen Datenschutzrahmen (Data Privacy Framework) geeinigt. Dieser ist am 10.07.2023 in Kraft getreten. Mit dem Privacy Shield 2.0 ist die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA wieder zulässig.
Oder auch nicht, oder nur vorläufig. In Datenschutzkreisen nimmt niemand eine Wette gegen den Salzburger Juristen und Datenschutzaktivisten Maximilian Schrems an, der bereits angekündigt hat, nun zu dritten mal gegen die Weitergabe personenbezogener Daten in die USA zu klagen. Bis diese Klage durch ist, haben wir nun ein paar Jahre Zeit, wieder ohne schlechte Gewissen lieb gewonnenen Tools und Dienste wie MailChimp oder Google Analytics zu verwenden.
Wie das genau geht und was zu beachten ist, erklärt Maxie Schneider von e-Recht24.de:
„Aller guten Dinge sind drei? Nach der Safe-Harbour-Entscheidung und dem gescheiterten EU-US Privacy Shield, übertrugen Webseitenbetreiber und Unternehmer beim Einsetzen von US-Tools und -diensten Daten rechtswidrig in die USA. Und mussten mit Bußgeldern und Abmahnungen rechnen. Jetzt haben sich die Europäische Kommission und US-Präsident Joe Biden auf einen neuen transatlantischen Datenschutzrahmen (Data Privacy Framework) geeinigt. Dieser ist am 10.07.2023 in Kraft getreten. Mit dem Privacy Shield 2.0 ist die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA wieder zulässig. Allerdings nur unter bestimmten Voraussetzungen. Die Entwicklungen der letzten Jahre und was genau Sie als Webseitenbetreiber jetzt tun müssen, um US-Tools rechtssicher zu verwenden, erklären wir Ihnen im Folgenden.
1. Wie können Webseitenbetreiber personenbezogene Daten rechtssicher in die USA übermitteln?
Im aktuellen Angemessenheitsbeschluss wird festgestellt, dass die USA ein – im Vergleich zur EU – angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden. Aber nur bei solchen Unternehmen, die am EU-US-Datenschutzabkommen teilnehmen.
Wann nehmen US-Unternehmen am neuen Datenschutzrahmen teil?
Damit ein US-Unternehmen als sicherer Datenempfänger gilt und die Grundsätze des Data Privacy Frameworks einhält, muss es durch ein Selbstzertifizierungsverfahren des US-Handelsministeriums (DoC – Department of Commerce). Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird die Organisation in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.
Das klingt zwar nach einem komplizierten Prozess, soll aber in der Praxis nicht so sein. Insbesondere für Unternehmen, die bereits am ersten Privacy Shield teilgenommen haben, soll es verhältnismäßig einfach sein, die Teilnahmebedingungen vom Privacy Shield zum DPF zu erweitern. Solche Unternehmen sollen nun ihre Datenschutzhinweise bezüglich der neu hinzugekommenen Anforderungen des DPF innerhalb von 3 Monaten aktualisieren.
Ist eine US-Organisation einmal zertifiziert, muss sie diese Zertifizierung jedes Jahr erneuern. Das US-Department of Commerce äußerte dazu, dass das Verfahren der Selbstzertifizierung und der jährlichen Neuzertifizierung im Wesentlichen gleich bleibt. Es soll also keine zusätzliche Hürde geschaffen werden.
Was müssen US-Unternehmen also tun?
Schritt 1: Selbstzertifizierung beim DoC vornehmen
Schritt 2: Jährliche Re-Zertifizierung durchführen
Schritt 3: betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren
Dies kann zum Beispiel durch die Verwendung eines Datenschutzhinweises geschehen:
Inhalt des Datenschutzhinweises
Dieser muss Folgendes enthalten:
- Teilnahme am Data Privacy Framework
- Arten der erhobenen Daten
- Zwecke der Verarbeitung
- Arten oder Identitäten von Dritten, an die personenbezogene Daten weitergegeben werden können
- Die Zwecke der Weitergabe personenbezogener Daten an Dritte
- Rechte der betroffenen Person
- Kontaktangaben der Organisation
- Verfügbare Rechtsbehelfe
Zu dem gesamten Prozess der Zertifizierung hat die amerikanische Regierung unter folgendem Link eine offizielle Anleitung veröffentlicht.
Was müssen Unternehmer & Webseitenbetreiber in der EU tun, wenn sie Daten in die USA übermitteln wollen?
Europäische Datenexporteure – die personenbezogene Daten aus der EU im Rahmen des Angemessenheitsbeschlusses der Datenschutzbehörde übermitteln möchten – müssen vorher auf der Website der Datenschutzbehörde prüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Und außerdem, ob die betreffende Datenübermittlung von dieser Zertifizierung abgedeckt ist.
Zu diesem Zweck soll es, wie auch schon beim Vorgänger “Privacy Shield“, eine Datenbank geben. Die zertifizierten US-Unternehmen werden dann in dieser Datenbank gelistet und aufgeführt.
Diese kann auf der Website zum Data Privacy Framework Program unter dem Punkt „Data Privacy Framework List“ aufgerufen werden.
2. Welche US-Dienstleister können rechtssicher genutzt werden?
Momentan ist der Einsatz aller US-Dienstleister rechtssicher, die unter dem DPF zertifiziert sind.
US-Unternehmen müssen das Selbstzertifizierungsverfahren durchlaufen, um sich dann auf den Angemessenheitsbeschluss berufen zu können. Bei Unternehmen mit einer großen Zahl an EU-Nutzern oder Kunden – wie z.B. Meta, Google, Microsoft, AWS – ist allerdings zu erwarten, dass die Zertifizierung schnellstmöglich durch die Unternehmen vorgenommen wird.
Wichtig:
Das Inkrafttreten des Data Privacy Framework bedeutet nicht, dass Sie für US-Tools keine Einwilligung mehr
über ein Cookie Consent Tool benötigen.
Die Einwilligung brauchen Sie für fast alle Tracking-Tools (also Google Analytics, Meta Pixel, Hotjar etc.). Dabei spielt es keine Rolle, ob das Tool aus den USA kommt oder nicht. Der User soll nämlich entscheiden können, ob er möchte, dass Tools wie Google Analytics diese Daten über ihn oder sie
sammeln oder eben nicht. Der Datentransfer in die USA ist eine davon unterschiedliche Problematik.
Dort braucht man geeignete Schutzgarantien, um die Daten in den Drittstaat weitergeben zu können – die mit dem neuen Data Privacy Framework jetzt bestehen.
Das Einholen einer Einwilligung ist also auch weiterhin rechtlich notwendig. Alles zum
Thema Einwilligung für Trackingtools, Cookies und Cookie Consent Tools lesen Sie auf
unserer Übersichtsseite “Cookies, Tracking & Datenschutz: Alle Infos im Überblick”.
3. Checkliste: How-To Datenübermittlung in die USA
In 5 Schritten zum sicheren Datentransfer
So sollten Sie vorgehen: Checkliste
- Schritt 1: Zertifizierung des Datenempfängers prüfen
- Schritt 2: Bei nicht bestehender Zertifizierung US-Unternehmen anfragen: Die Selbstzertifizierung ist nach unserem Wissensstand nicht übermäßig zeitäufwändig und sollte auch für kleine Unternehmen ohne großen Aufwand umsetzbar sein – sollte der von Ihnen gewählte Dienstanbieter also nicht Data Privacy Framework zertifiziert sein, nehmen Sie Kontakt auf und weisen Sie auf die Zertifizierung hin.
- Schritt 3: Aktualisierung der Datenschutzerklärung und des Cookie Banners: Die Privacy Shield Zertifizierung und die entsprechenden Informationen zum Datenempfänger müssen in den Datenschutzhinweisen des Datenschutzexporteurs (Art 13. & 14 GDPR) aktualisiert werden – sowohl in der Datenschutzerklärung als auch im Cookie Banner.
- Schritt 4: Bereits bestehende Standarvertragsklauseln (SCC) behalten: Die SCC können nach wie vor als Instrument zur rechtssicheren Datenübermittlung genutzt werden, haben Sie mit Ihrem Dienstleister bereits SCCs vereinbart, behalten Sie diese.
- Schritt 5: Bei fehlender Zertifizierung weiterhin Transfer Impact Assessment vornehmen (TIA)
Wichtig zu Schritt 3:
Als Webseitenbetreiber können Sie nun auch die langen Hinweistexte zum US-Daten-Transfer aus Ihren Cookie Bannern entfernen, wenn Sie nur DPF zertifizierte Dienste aus den USA nutzen.
4. Was passiert mit den Standardvertragsklauseln und dem Transfer Impact Assessment (TIA)?
Haben Sie in der Vergangenheit Verträge mit Dienstleistern in den USA geschlossen, mussten Sie die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) zwingend abschließen und im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des Schutzniveaus für Datenübermittlung vornehmen. Sodass Sie sowohl technische als auch organisatorische Maßnahmen ergreifen mussten, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten. Standardvertragsklauseln und TIA waren also die Grundlage für die meisten Datentransfers in die USA.
Das ist jetzt nicht mehr der Fall. Nur, wenn der Datenempfänger seinen Sitz in den USA hat und sich nicht einer Zertifizierung nach DPF unterzieht, bleibt es bei den bisherigen Regelungen – also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA).
5. Deshalb war der Datenaustausch zwischen EU und USA ein Problem
Innerhalb der EU gelten strenge Regeln, was den Umgang mit personenbezogenen Daten von EU-Bürgern betrifft. Diese dienen vor allem unserem Schutz, müssen aber natürlich gleichzeitig auch eingehalten werden. Übermittelt ein Unternehmer also personenbezogene Daten von Nutzern, die in der EU ansässig sind, in andere Länder außerhalb der EU, muss er oder sie sicherstellen, dass dort ein vergleichbares Schutzniveau für personenbezogene Daten geboten wird wie in der Europäischen Union.
Ist das der Fall, können Übermittlungen in ein sicheres Drittland genauso gehandhabt werden wie Datenübermittlungen innerhalb der EU. Die Entscheidung, ob ein Land als sicheres Drittland gehandelt werden darf, trifft die Europäische (EU) Kommission. Und zwar mit einem Angemessenheitsbeschluss (engl. adequacy decision). Ist ein Angemessenheitsbeschluss angenommen, können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden, ohne dass weitere Bedingungen oder Genehmigungen erforderlich sind.
Beim Datenverkehr zwischen der EU und den USA gab es allerdings Bedenken bezüglich des Datenschutzniveaus, das die US-Regierung und ihre Geheimdienste bieten. Deshalb erklärte der Europäische Gerichtshof (engl. european court of justice) 2015 und 2020 die schon bestehenden Angemessenheitsbeschlüsse für ungültig. Er entschied, dass durch das Data Privacy Framework die Daten von EU-Bürgern nicht angemessen vor den Überwachungsmaßnahmen der USA geschützt waren.
Dadurch wurde das Nutzen von Diensten, Programmen und Tools, die beim Aufrufen von Webseiten die personenbezogenen Daten des EU-Bürgers an Server in die USA übermitteln, unzulässig. Der Datentransfer war somit nur unter umfangreichen zusätzlichen Vorsichtsmaßnahmen vertretbar – und selbst dann bewegte er sich stets in einem Graubereich. Ein legaler Datentransfer in die USA war damit faktisch unmöglich. Das soll sich nun ändern.
6. Ziele des EU-US Data Privacy Abkommens
Die Ziele des neuen Trans-Atlantic Data Privacy Framework sind:
- Ein angemessener Schutz der in die USA übermittelten Daten von EU-Bürgern gemäß dem Urteil des Europäischen Gerichtshofs (Schrems II).
- Sichere und geschützte Datenflüsse.
- Eine dauerhafte und verlässliche Rechtslage für Unternehmen.
- Eine wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit.
- Die Förderung des grenzüberschreitenden Handels, der jedes Jahr ca. 900 Milliarden Euro ausmacht.
7. Wie gehts weiter?
Auch wenn die so lange ersehnte Regelung zur Datenübermittlung in die USA mit dem Privacy Shield 2023 jetzt da ist, kann es sein, dass der Grund zur Freude nicht für immer währt. Es werden bereits Stimmen laut, die auch die jetzigen Regelungen nicht für datenschutzkonform halten. Insbesondere Max Schrems, der für die beiden Entscheidungen des EuGH “Schrems I und II” verantwortlich ist, hat angekündigt, erneut vor dem EuGH zu klagen. Was heißt das für Sie als Webseitenbetreiber und Unternehmer?
Erstmal abwarten. Jetzt ist der neue Datenschutzrahmen in Kraft getreten und bis es zu einer eventuellen Neu-Evaluierung kommt, wird einige Zeit vergehen. Verfahren vor dem EuGH sind keine kurzfristige Angelegenheit.“
