1. Home
  2. News
  3. Datenübermittlung in die USA
  • Infobrief 06/2022

Datenübermittlung in die USA

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

  • CLOUD Act
  • USA Patriot Act
  • USA Freedom Act
  • Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

  • Serverstandort in Deutschland/ Europa
    Problem: Marketingmaßnahme, hilft nicht weiter.
  • Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
    Problem: Wird von den meisten Dienstleistern nicht unterstützt
  • Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
    Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.
  • Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
    Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo