Internationaler Datenverkehr EU-USA
Besonderheiten bei der Datenübermittlung in die USA
Lesedauer: 4 Minuten
Seit 10.7.2023 gibt es wieder eine neue Datenübermittlungsmöglichkeit personenbezogener Daten in die USA: „Adequacy decision for the EU-US Data Privacy Framework“ oder kurz „DPF“.
Die Angemessenheitsentscheidung (näheres hierzu siehe EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr) der Kommission zum
EU-US Datentransfer stellt nun eine Übermittlungsmöglichkeit nach der DSGVO für personenbezogene Daten in die USA an spezifische US-Unternehmen dar.
Mit der Angemessenheitsentscheidung wird festgehalten, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, bspw. durch die Gewährung mehrerer, der DSGVO entsprechenden Rechte für betroffene Personen (z.B. Auskunfts- oder Löschungsrecht), durch Wiedergutmachungsmöglichkeiten für den Fall, dass deren Daten unrechtmäßig verarbeitet werden und durch kostenlosen unabhängigen Rechtschutz. Es sollen verbindliche Schutzmaßnahmen verankert werden, die den Zugriff von US-Geheimdiensten auf personenbezogene Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken und eine verstärkte Überwachung der Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen für Überwachungsaktivitäten sicherzustellen.
Das Rechtschutzsystem ist zweistufig ausgerichtet. In der ersten Stufe werden Beschwerden vom „Civil Liberties Protection Officer“ des US-Geheimdienstes untersucht. Weiters wird ein unabhängiges und unparteiisches Datenschutzprüfungsgericht („Data Protection Review Court“) eingerichtet, um Beschwerden über den Zugriff auf personenbezogene Daten durch nationale
US-Sicherheitsbehörden zu untersuchen (z.B. auch durch Einholung relevanter Informationen von Geheimdiensten und verbindliche Abhilfeentscheidungen wie z.B. Löschungsanordnungen).
US-Unternehmen, denen personenbezogene Daten transferiert werden sollen, müssen sich im Rahmen einer „Selbst-Zertifizierung“ verpflichten, die Grundsätze und Voraussetzungen des Abkommens einzuhalten, wie z.B. Zweckbindung, Datenminimierung und Aufbewahrungsdauer, Datensicherheitsstandards und Vorkehrungen für die Weitergabe an Dritte. Im Zuge dieser Zertifizierung müssen sich diese US-Unternehmen in die Data Privacy Framework List beim US-Handelsministerium eintragen lassen.
Werden personenbezogene Daten an diese zertifizierten US-Unternehmen übermittelt, sind keine weiteren Maßnahmen mehr nötig.
Schwierige Vorgeschichte
Angemessenheitsentscheidungen
Der Europäische Gerichtshof (EuGH) hatte zuvor am 6.10.2015 die Angemessenheitsentscheidungen Safe Harbor („Schrems I“) und am 16. Juli 2020 das
EU-US Privacy Shield („Schrems II) mit sofortiger Wirkung für ungültig erklärt.
Safe Harbor und Privacy Shield waren Abkommen zwischen der EU und den USA, welche die Übermittlungsmöglichkeiten und deren Voraussetzungen im Hinblick auf personenbezogene Daten von der EU in die USA regelten.
In seinen zwei Entscheidungen kam der EuGH zum Ergebnis, dass aufgrund der in den USA vorherrschenden Überwachungsgesetze und Überwachungsprogramme (allen voran „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act), unverhältnismäßig in die Grundrechte der betroffenen Personen eingegriffen wird und aufgrund des Mangels an Schutzmaßnahmen, Garantien oder auch Rechtschutzsystemen gegen solche Eingriffe das Datenschutzniveau der EU nicht eingehalten wurde. Aus diesem Grund wurden die bisherigen Abkommen für ungültig erklärt.
Standarddatenschutzklauseln
Zu den Standarddatenschutzklauseln entschied der EuGH (zu „Schrems II“), dass diese grundsätzlich gültig bleiben. Laut EuGH seien Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, aber dafür verantwortlich, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der oben genannten geeigneten Garantien beeinträchtigt.
Die Gültigkeit der Klauseln hängt daher davon ab, ob diese wirksamen Mechanismen für die Einhaltung des Schutzniveaus gewährleisten, z.B. ob die Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen die Klauseln verstoßen wird.
Die Kommission erarbeitete eine umfassende Modernisierung der Standardklauseln, um sie angesichts der neuen Anforderungen der DSGVO und der Anforderungen von Schrems II zu aktualisieren. Die neuen Klauseln nahmen diese und auch die Empfehlungen des Europäischen Datenschutzausschusses zu vertraglichen Schutzmaßnahmen nun im Grunde auf. Dennoch mussten technische Maßnahmen (wie bspw. Pseudonymisierungsmaßnahmen) implementiert werden, da vertragliche Maßnahmen insb. im Hinblick auf die USA als nicht ausreichend gesehen wurden.
Hinweis: Es kann im Einzelfall sinnvoll sein, weiterhin parallel zu allfälligen Datenschutz-Abkommen Standarddatenschutzklauseln und den Transfer absichernde technische oder organisatorische Maßnahmen zu verwenden. Manche großen Unternehmen werden etwaig auf diese Vorsichtsmaßnahme setzen.
Probleme für die österreichische Wirtschaft gelöst?
Die österreichische Datenschutzbehörde hatte nach der Entscheidung des EuGH zu „Schrems II“ einige Beschwerden aufgrund Datenübermittlung in die USA zu beurteilen. So auch beispielsweise die Implementierung eines Analysetools und Trackingtools (Google Analytics und Meta Tracking Pixel) auf Webseiten hinsichtlich des Datentransfers in die USA. Ausgangspunkt waren 101 Beschwerden der Non Profit Organisation NOYB (My Privacy is non of your Business) hinsichtlich der Verwendung von Trackingmaßnahmen, welche durch die Nutzung Daten in die USA übermitteln. Es wurde in diesen Fällen mit Bescheiden festgestellt, dass Webseiten-Betreiber die Tools Google Analytics und die Facebook Business Tools „Facebook Login“ und „Facebook Pixel“ (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) aufgrund fehlender Schutzmaßnahmen zusätzlich zu den Standarddatenschutzklauseln nicht in Einklang mit der DSGVO einsetzen können. Eine Entscheidung zum Analysedienst ist auch bereits beim Bundesverwaltungsgericht (BVwG) bestätigt worden.
Der Abschluss des neuen DPF erleichtert die Verwendung derartiger Tools wieder.
Welche anderen Möglichkeiten der Datenübermittlung in die USA gibt es?
Angemessenheitsbeschlüsse und Standarddatenschutzklauseln sind neben dem DPF zwei der Möglichkeiten für einen rechtmäßigen internationalen Datenverkehr. Es gibt auch andere, wie z.B. die ausdrückliche Einwilligung der betroffenen Personen im Einzelfall oder die Erforderlichkeit für die Erfüllung eines Vertrages mit der betroffenen Person (siehe auch EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr).
Achtung: Es ist nach derzeitigem Diskussionsstand fraglich, ob massenweise Datenverarbeitungen über Webseiten mit einer Einwilligung arbeiten können, weil hier nicht mehr von einem „Einzelfall“ gesprochen werden kann. Wer eine risikolose Datenverarbeitung möchte, muss sich um geeignete technische Sicherheitsmaßnahmen für die transferierten personenbezogenen Daten (Verschlüsselung, Pseudonymisierung oder Anonymisierung) kümmern oder sollte sich für europäische Alternativen entscheiden.
Links:
EU-US-Data Privacy Framework:
- Angemessenheitsentscheidung der Kommission: EU-US Data Privacy Framework
- Fragen und Antworten der Kommission: Questions & Answers: EU-US Data Privacy Framework
- Allgemeine Informationen der Kommission: Datenschutz in der EU
Standarddatenschutzklauseln:
Standarddatenschutzklauseln in Word-Format („Standard contractual clauses for international transfers (Word)“ / ZIP-Download für alle Sprachfassungen)
Hinweis:
Die Standarddatenschutzklauseln sind modular aufgebaut, da sie für folgende Konstellationen von Datentransfers zur Anwendung gelangen:
- MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
- MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
- MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Relevante Entscheidungen:
- EuGH vom 6. Oktober 2015 zur Rechtssache C‑362/14 („Schrems I“)
- EuGH vom 16. Juli 2020 zur Rechtssache C-311/18 („Schrems II“)
- DSB Bescheid zu Analytics
- DSB Bescheid zu Tracking Pixel
- BVwG Erkenntnis zu Analytics
Allgemein:
Stand: 01.04.2024