Datenübermittlung in die USA

Der transnationale Datenschutz in der Europäischen Union wird schwerpunktmäßig durch die DS-GVO¹ gewährleistet. Nach Art. 45 DS-GVO ist für Datenübermittlung aus der Europäischen Union/Europäischen Wirtschaftsraum an Empfänger in Drittstaaten grundsätzlich zu unterscheiden, ob die Datenübermittlung in ein Land erfolgt, das ein angemessenes Schutzniveau für die übermittelten Daten bietet oder nicht. Die Entscheidung, ob ein Land dieses Kriterium erfüllt, trifft die EU-Kommission.

Bislang ist eine Angemessenheit des Schutzniveaus der Datenübermittlung nur für eine kleine Gruppe von Ländern gewährt worden: Argentinien, Andorra, Kanada, Neuseeland, Israel, Schweiz, Uruguay und einige kleine Länder im Ärmelkanal und in der Irischen See. Für Datenermittlungen in die USA besteht das unten näher beschriebene EU-US Privacy Shield Abkommen, da die Vereinigten Staaten von Amerika von der EU-Kommission als ein Land angesehen werden, das kein angemessenes Datenschutzniveau gewährleistet.

Aus praktischen Erwägungen muss es europäischen Unternehmen weiterhin möglich sein, personenbezogene Daten in die USA zu übermitteln. Hierfür stehen eine Reihe von rechtlichen Möglichkeiten zur Verfügung, die den Schutz der personenbezogenen Daten aus der Europäischen Union/Europäischen Wirtschaftsraum gewährleisten:

• Das US-Unternehmen als Empfänger der Daten (Datenimporteur) erklärt öffentlich, ordnungsgemäß und freiwillig den Beitritt zu dem EU-US Privacy Shield Abkommen²;
• der Empfänger der personenbezogenen Daten in den USA und deren Absender schließen einen Vertrag zur Sicherstellung eines ausreichenden Datenschutzes beim Empfänger nach den Standardvertragsklauseln der EU Kommission;
• Sender und Empfänger gehören zu derselben Unternehmensgruppe und haben verbindlich geltende Regeln zum Datenschutz („Binding Corporate Rules“);
• die betroffene Person willigt ausdrücklich in die Datenübermittlung ein³ oder
• die Datenübertragung ist „erforderlich, um einen Vertrag zwischen dem datenschutzrechtlich Verantwortlichen und der betroffenen Person zu erfüllen“⁴.

Safe Harbour Abkommen

Da in den USA kein einheitlich normiertes Datenschutzrecht besteht, das dem Betroffenen ein angemessenes Datenschutzniveau gewährleistet, bedarf eine Datenübermittlung in die USA der Absicherung durch die beteiligten Unternehmen. Dazu haben sich im Jahr 2000 die EU-Kommission und die amerikanische Regierung auf das sog. Safe Harbor Abkommen geeinigt. Ein amerikanisches Unternehmen, das sich den Prinzipien des Abkommens unterworfen hat, konnte durch ein deutsches Unternehmen als ein Unternehmen mit angemessenem Datenschutzniveau angesehen werden. Die Entscheidung 2000/520 der EU-Kommission⁵, mit der das durch Safe Harbor hergestellte Datenschutzniveau als angemessen anerkannt wurde, wurde jedoch vom Europäischen Gerichtshof am 6.10.2015 für ungültig erklärt. Eine zukünftige Datenübermittlung auf Basis des Safe Harbour Abkommens ist dementsprechend nicht mehr zulässig.

EU-US Privacy Shield Abkommen

Um eine Rechtsgrundlage für den Datentransfer aus der Europäischen Union in die Vereinigten Staaten zu gewährleisten, hatten die EU und die US-Regierung das sog. „Safe Harbor Framework“ für die Europäische Union/Europäischen Wirtschaftsraum ausgehandelt. Die EU-Kommission hat dieses am 12. Juli 2016 angenommen⁷. Das Safe Harbor Framework erlaubt die Übermittlung von personenbezogenen Daten an US-Unternehmen, die sich zur Einhaltung von bestimmten Grundsätzen des Datenschutzes (den sog. Safe Harbor-Prinzipien) verpflichtet haben.

Die Teilnahme am EU-US Privacy Shield Abkommen ist, wie am Safe Harbour Abkommen, freiwillig. „Die US-Unternehmen, welche die Daten empfangen (Datenimporteure), können beim US-Handelsministerium gegen eine Verwaltungsgebühr eine entsprechende Erklärung abgeben, die dann von der Federal Trade Commission oder dem U. S. Department of Transportation rechtlich überwacht werden“⁸ – dies umfasst die Einschreibung zur Privacy Shield Liste.

Zu den Privacy Shield-Prinzipien zählen:

1. Informationspflicht: Die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
2. Wahlmöglichkeit: Die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
3. Weitergabe: Wenn ein Unternehmen als Datenexporteur Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
4. Zugangsrecht: Die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen um sie gegebenenfalls berichtigen, ergänzen oder löschen zu können.
5. Sicherheit: Die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
6. Datenintegrität: Die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
7. Durchsetzung: Die dem Privacy Shield Abkommen beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffene ihre Beschwerden und Klagen prüfen lassen können und ihnen gegebenenfalls Schadensersatz zukommt.⁹

Einerseits ist es für das US-Unternehmen vorteilhaft, dass jedes Unternehmen weltweit die Einreichung einer Erklärung zur Teilnahme am EU-US Privacy Shield Abkommen und deren Umsetzung über die Privacy Shield Liste nachvollziehen kann.

Andererseits ist es für US-Unternehmen nachteilhaft, dass sie sich auf der Privacy Shield Liste besonders gegenüber den US-Behörden öffnen und jährlich genaue Compliance-Zertifizierungen durchführen müssen. „Dazu sind viele Unternehmen in den USA verpflichtet ein der Öffentlichkeit zugängliches neues Privacy Shield Policy Statement (einschließlich Möglichkeiten zur Streitschlichtung) zu entwickeln, das eventuell mit den sonstigen in diesen Unternehmen vorhandenen Datenschutzrichtlinien in Konflikt geraten könnte. Darüber hinaus beinhalten die Privacy Shield-Prinzipien auch das Versprechen, dass die Unternehmen mit den Datenschutzbehörden (insbesondere bei der Übersendung von Personaldaten) in Europa zusammenarbeiten“.¹⁰

EU-Standardvertragsklauseln

Eine weitere Lösung für die Datenübermittlung von Deutschland in die Vereinigten Staaten ist, dass der Datenexporteur in der Europäischen Union/Europäischen Wirtschaftsraum mit der Gegenpartei in den USA einen Vertrag auf der Grundlage der EU-Standardvertragsklauseln der EU-Kommission abschließt. Bei den Klauseln handelt es sich um ausführliche Musterverträge, die nur im eingeschränkten Maße eine Änderung zulassen. Die EU-Standardvertragsklauseln unterscheiden zwischen Data Controllers (Verantwortliche) und Data Processors (Auftragsdatenverarbeiter).

Der größte Vorteil der EU-Standardvertragsklauseln liegt darin, dass sie direkt zwischen den Datenexporteuren und Datenimporteuren abgeschlossen werden können. Im Gegensatz zum EU-US Privacy Shield Abkommen gibt es kein öffentlich einsehbares Register.

Ein Nachteil der Nutzung von EU-Standardvertragsklauseln ist, dass die Klauseln sehr umfangreich von der EU-Kommission gestaltet wurden und somit den Vertragsparteien nicht immer gewollte Vertragsbestimmungen darbieten.

Binding Corporate Rules

Die Einführung der Binding Corporate Rules stellt einen weiteren Ansatz für international tätige Unternehmen dar, um der Übermittlung personenbezogener Daten einen geeigneten Rechtsrahmen zu gewährleisten. Hierzu muss eine Gruppe der Unternehmen einen vorab genehmigten konzernweiten Verhaltenskodex zur Erhebung und Verarbeitung personenbezogener Daten als Binding Corporate Rules umsetzen.

Deren Vorteil ist, dass mit den Binding Corporate Rules die Gruppe der Unternehmen ihre Datennutzung einheitlich und maßgeschneidert regeln können und die Regeln im allgemeinen für die Mitarbeiter weitaus verständlicher und einfacher umzusetzen sind als die EU-Standardvertragsklauseln.

Ein Nachteil der Binding Corporate Rules ist, dass die Regeln vorab durch die zuständigen nationalen Aufsichtsbehörden in einem aufwendigen und bürokratischen Antragsverfahren geprüft und genehmigt werden müssen. Dadurch entsteht ein erheblicher Aufwand für Konzerne mit Niederlassungen in verschiedenen EU-Mitgliedstaaten.¹¹

Fazit

Welche Regelungen bzw. Vertragswerke beim Transfer von personenbezogenen Daten in die USA zur Anwendung kommen, hängt vom Einzelfall ab und muss anhand des konkreten Einzelfalls geklärt werden. Hierzu bedarf einer rechtlichen Prüfung der Transferwege der personenbezogenen Daten.

Die Praxis zeigt, dass aufgrund der Internationalisierung der Digitalwirtschaft oftmals Sonderformen des Transfers bestehen, die auf keine Rechtsgrundlage passen. In diesem Fall heißt es kreativ zu werden und die vorhanden rechtlichen Mittel in anderer Konstellation nutzen. So können z.B. Standardklauseln auch mit Subunternehmern als Untern-Auftragsverarbeiter in den USA Anwendung finden, wenn diese direkt mit dem Verantwortlichen geschlossen werden.

Unser auf Datenschutz spezialisiertes Team hilft Ihnen hierbei gerne weiter.

¹ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

² Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US Datenschutzschild gebotenen Schutzes

 ³ Art. 49 Abs. 1 Lit. a DS-GVO.

⁴ Art. 49 Abs. 1 Lit. b DS-GVO.

⁵ 2000/520/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (Bekannt gegeben unter Aktenzeichen K(2000) 2441).

⁶ EuGH, Urteil vom 06.10.2015 - C-362/14.

⁷ Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Bekannt gegeben unter Aktenzeichen C(2016) 4176).

⁸ Spies, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Kapitel 2. Internationaler Datenverkehr, Rn. 11, beck-online.

⁹ Spies, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Kapitel 2. Internationaler Datenverkehr, Rn. 14, beck-online.

¹⁰ Spies, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Kapitel 2. Internationaler Datenverkehr, Rn. 17, beck-online.

¹¹ Spies, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Kapitel 2. Internationaler Datenverkehr, Rn. 26, beck-online.