Für manche solcher Drittstaaten existieren von Seiten der EU-Kommission sogenannte Angemessenheitsbeschlüsse. Darin wird den betreffenden Ländern sozusagen amtlich attestiert, dass das dortige Datenschutzniveau geprüft und für angemessen befunden wurde. Solche Beschlüsse liegen aktuell (Stand: Oktober 2020) für folgende Staaten vor: Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay, Japan.

Bis Mitte Juli 2020 fanden sich auch die USA auf dieser Liste. Allerdings wurde die dortige Rechtslage seit den Anschlägen vom 11. September 2001 in datenschutzrechtlicher Hinsicht immer weiter verschärft. Beispielsweise wegen des Cloud Acts oder auch durch den Foreign Intelligence Surveillance Act (FISA) können essenzielle Grundrechte u. a. von EU-Bürgern in den USA nicht gewährleistet werden. Unter bestimmten Voraussetzungen können US-Behörden auch im Ausland auf Daten von solchen Unternehmen zugreifen, die jedenfalls ihren Hauptsitz in den USA haben. Folglich sind auch Daten auf Servern betroffen, die verschiedene US-Unternehmen beispielsweise in Irland betreiben.

Um gleichwohl in den USA ein angemessenes Datenschutzniveau zu installieren, wurde dort vor einigen Jahren mit der sogenannten Safe-Harbor-Regelung (dt.: sicherer Hafen) ein Verfahren geschaffen, in dessen Rahmen sich US-Unternehmen beim US-Handelsministerium registrieren und dadurch bescheinigen lassen konnten, dass sie sich an bestimmte datenschutzrechtliche Vorgaben halten. Dass eine solche Selbstzertifizierung nur eine vergleichsweise geringe Aussagekraft besitzt, dürfte klar sein. Folgerichtig wurde sie auch auf Bestreben von Max Schrems, einem Datenschutzaktivisten aus Österreich, vom Europäischen Gerichtshof (EuGH) für ungültig erklärt (Urteil vom 6. Oktober 2015, Aktenzeichen: C-362/14). Da aber natürlich zahlreiche europäische und amerikanische Unternehmen, Behörden und auch Vereine ein starkes Interesse an einer rechtskonformen Datenübermittlung haben, wurde als Nachfolgeregelung der sogenannte EU-US Privacy Shield (dt. sinngemäß: Privatsphärenschutzschild) ins Leben gerufen; ein vergleichbares Instrumentarium gab es parallel auch für die Schweiz. Allerdings schimpften Datenschutzexperten hierbei schon sehr früh über „alten Wein in neuen Schläuchen“, da es im Wesentlichen weiterhin um die Abgabe von Selbstauskünften ging. Insofern war es nicht allzu überraschend, dass der EuGH in seiner Schrems-II-Entscheidung auch die Privacy-Shield-Regelung kippte (Urteil vom 16.07.2020, Aktenzeichen: C-311/18). Seit diesem Zeitpunkt war eine Übermittlung von personenbezogenen Daten aus der EU in die USA folglich nicht mehr möglich. Es gab dabei auch keinerlei Übergangs- oder Schonfrist. Davon nicht betroffen sind Daten ohne jeglichen Personenbezug, also reine Statistik- oder Maschinendaten. Da der Begriff der personenbezogenen Daten nach Maßgabe der DSGVO jedoch sehr weitgehend zu verstehen ist, dürfte es sich bei der überwiegenden Mehrzahl der Daten, die im geschäftlichen Alltag verarbeitet werden, um solche mit Personenbezug handeln.

EU-Dienste?

Die Nachricht über das Schrems-II-Urteil verbreitete sich in den einschlägigen Medien wie ein Lauffeuer. Schon bald gab es erste Stimmen aus einigen deutschen Datenschutzaufsichtsbehörden, man solle sich nun zeitnah um alternative Anbieter bzw. Dienste mit Sitz in der Europäischen Union bemühen. Gegenstimmen gaben zu bedenken, dass es für einige US-Dienste keine oder zumindest keine gleichwertigen EU-Alternativen gäbe. Tools aus den USA können lediglich dann weiter genutzt werden, wenn sie auf eigenen Servern in der EU installiert und betrieben werden. Sofern dabei ausgeschlossen werden kann, dass eine Übermittlung der Daten in die USA erfolgt, ist ein On-Premise-Betrieb zulässig. Das erfordert allerdings das nötige Know-how sowie die Bewältigung des zeitlichen und finanziellen Aufwands. Bei Lichte betrachtet kann das EuGH-Urteil als Anlass gesehen werden, im eigenen Unternehmen, in der Behörde oder im Verein eine Bestandsaufnahme der eingesetzten Dienstleister anzufertigen. Bei US-Anbietern sollte man sich dann die Frage stellen, ob man diesen Dienst tatsächlich benötigt oder was es bedeuten würde, ihn nicht mehr einzusetzen. Ist er nicht „lebenswichtig“, sollte er aufgrund der bestehenden Rechtsunsicherheit im Zweifel eher deaktiviert bzw. beendet werden. Falls man die betreffenden Funktionalitäten doch benötigt, lohnt eine Suche nach EU- bzw. solchen Alternativen, die in Eigenregie betrieben werden können. Im Bereich Videokonferenz kommen hier etwa Edudip, Jitsi Meet oder BigBlueButton in Betracht, bei Webanalysetools z. B. Matomo oder Etracker, für Cloud-Speicher beispielsweise NextCloud oder Strato HiDrive und für das Webhosting u. a. Strato, Mittwald, 1&1 oder die Deutsche Telekom (Kasten: „Praxistipp“).

Alternativen?

Einige US-Unternehmen, insbesondere die großen Anbieter, wie etwa Microsoft, Facebook oder Google, haben nach dem Schrems-II-Urteil zügig reagiert. So haben sie beispielsweise die sogenannten EU-Standardvertragsklauseln als neue Rechtsgrundlage für die Datenübermittlung präsentiert. Dabei handelt es sich um einen standardisierten Vertrag für die Übermittlung personenbezogener Daten in Drittstaaten (nicht nur in die USA), der von der EU-Kommission sozusagen als amtliche Mustervorlage bereitgestellt wird. Die Standardvertragsklauseln sind prinzipiell auch weiterhin gültig, jedoch nur unter der Voraussetzung, dass die darin enthaltenen Klauseln faktisch auch eingehalten bzw. durchgesetzt werden können. In Anbetracht der aktuellen Rechtslage in den USA muss das jedoch bezweifelt werden, es sei denn, es ist im Einzelfall möglich, z. B. durch zusätzliche technische oder organisatorische Maßnahmen den Zugriff von US-Behörden auf die Daten zu verhindern. Das wäre etwa bei verschlüsselten oder auch anonymisierten Daten der Fall. Allerdings müssen die Daten in vielen Fällen gerade im Klartext vorliegen, um vom Dienstleister sinnvoll verarbeitet werden zu können. Alternativ können diejenigen US-Dienstleister, die weiterhin zum Einsatz kommen sollen, angeschrieben und um Auskunft gebeten werden, ob sie überhaupt unter FISA fallen, ob sie sich bei Herausgabeverlangen seitens der US-Regierung wehren und es im Zweifel auch gerichtlich klären lassen usw. Weitere Informationen dazu sowie Vorlagen für derartige Schreiben stellt Max Schrems auf seiner Website (www.noyb.eu) bereit.

Nachdem der Privacy Shield und im Grunde auch die Standardvertragsklauseln für die Datenübermittlung in die USA praktisch ausscheiden, müssen Alternativen her. In Art. 49 DSGVO gibt es potenzielle Kandidaten. Darin werden insbesondere folgende Möglichkeiten zur rechtskonformen Datenübermittlung in Drittländer angeführt:

• Einwilligung der betroffenen Personen

• Erforderlichkeit zur Erfüllung eines Vertrages

• zwecks Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

• wichtige Gründe des öffentlichen Interesses

• Schutz lebenswichtiger Interessen

Die Einholung einer Einwilligung klingt im Grunde nach einer praxistauglichen Methode. Allerdings hat die DSGVO die Hürde für die Einholung einer wirksamen Einwilligung im Vergleich zur alten Rechtslage sehr hoch angelegt. Eine rechtskonforme Einwilligung muss u. a. informierter Weise erteilt werden. Dazu ist es notwendig, dass die für die Datenverarbeitung verantwortliche Stelle dem Betroffenen, der seine Einwilligung erteilen soll, ausreichende Informationen über die Umstände und die Rechtsfolgen seiner Erklärung bereitstellt. Insbesondere muss im Falle eines geplanten Drittstaat-Datentransfers über diesen und die spezifischen Rechtsfolgen aufgeklärt werden. Das beinhaltet u. a. auch den Umstand, dass in den USA kein angemessenes Datenschutzniveau und auch keine Rechtsschutzmöglichkeit für EU-Bürger bestehen. Zudem hat die Einwilligung noch einen weiteren Pferdefuß, denn sie ist jederzeit ohne Angabe von Gründen widerrufbar.

Aber auch die anderen Punkte, die in Art. 49 DSGVO aufgeführt werden, kommen regelmäßig für die typischen Online- bzw. Cloud-Anwendungen nicht in Betracht. Denn diese Vorschrift ist primär für Einzelfälle und Ausnahmesituationen gedacht und somit restriktiv anzuwenden. Diese Norm ist eher für Fälle gedacht, in denen personenbezogene Daten von Reisenden aufgrund der US-Einreisebestimmungen übermittelt und verarbeitet werden müssen. Allerdings soll Art. 49 DSGVO nicht als Rechtsgrundlage für dauerhafte Datenübermittlungen dienen.

Für international agierende Konzerne sind verbindliche Unternehmensregeln zum Datenschutz, die sogenannten Binding Corporate Rules (BCR), ein gangbarer Weg. Diese müssen jedoch nicht nur intern beschlossen und umgesetzt, sondern auch vorab von der zuständigen Aufsichtsbehörde genehmigt werden. Gerade für kleinere oder mittelständische Unternehmen sind BCR aber natürlich keine Alternative.

Insgesamt muss immer auch noch das konkrete Risiko für die Rechte und Freiheiten der von der Datenübermittlung betroffenen Personen eingestuft und berücksichtigt werden. So sollte etwa bei der Verarbeitung von sensiblen Daten, also z. B. Personal-, Gesundheits- oder Sozialdaten, von der Übermittlung in die USA eher Abstand genommen werden. Die Nutzung eines US-Videokonferenzsystems dürfte hingegen mit weitaus weniger Risiko verbunden sein. Pauschal kann hier aber leider keine finale Aussage getroffen werden, es führt leider kein Weg an einer individuellen Abwägung im konkreten Einzelfall vorbei.