Datentransfer in die USA

Trans-Atlantic-Data Privacy Framework

Die österreichische Datenschutzbehörde (DSB) entschied in einer spezifischen Fallkonstellation: Der Einsatz eines weit verbreiteten Webanalysetools eines US-Anbieters, das Website-Betreibern detaillierte Berichte über das Nutzerverhalten von Website-Besucher:innen liefert, führte zu DSGVO-widrigen Datentransfers in die USA. Diese Problematik könnte jedoch bald entschärft werden.

In der Grundsatzentscheidung Schrems II von Juni 2020 erklärte der Europäische Gerichtshof (EuGH) das „EU-US Privacy Shield“ für ungültig – die bis dahin wichtigste Rechtsgrundlage für transatlantische Datenübermittlungen. Zugleich legte der EuGH strengere Anforderungen für Datenübermittlungen in Drittländer (außerhalb von EU/EWR) fest, in denen „kein angemessenes Schutzniveau“ für personenbezogene Daten gewährleistet ist.

Ergänzende Maßnahmen nötig

Der EuGH thematisierte auch die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Standard Contractual Clauses, SCC). Dies sind von der Europäischen Kommission veröffentliche Muster-Vertragsklauseln für Datenübermittlungen in Drittstaaten. Laut EuGH seien angesichts der US-Überwachungsgesetze ergänzende Maßnahmen zu den SCC erforderlich: Nur so könne ein angemessenes Datenschutzniveau und damit ein zulässiger Datentransfer gewährleistet werden.

In der Entscheidung der DSB von Dezember 2021 wurde der Einsatz eines US-Webanalysetools durch einen österreichischen Website-Betreiber untersucht, gestützt auf die „alten SCC“ und zusätzliche Maßnahmen. Die alten SCC wurden lange vor der DSGVO veröffentlicht, weshalb die neuen EuGH-Vorgaben aus der Schrems II-Entscheidung darin auch noch nicht berücksichtigt sind. Vor rund einem Jahr wurden neue SCC veröffentlicht – in Reaktion auf die neuen Vorgaben für Datentransfers in Drittstaaten. Sowohl nach den alten SCC (die nur noch bis Ende des Jahres gültig sind) als auch nach den neuen SSC sind zusätzliche technische und organisatorische Maßnahmen erforderlich. Denn vertragliche Verpflichtungen alleine können den US-Überwachungsbefugnissen nicht wirksam entgegenwirken.

Eine strenge Sicht

Die im konkreten Fall festgelegten zusätzlichen Maßnahmen wurden von der DSB als nicht wirksam eingestuft. Dies betraf unter anderem die Veröffentlichung eines „Transparenzberichts“, eines „Leitfadens für den Umgang mit Regierungsanfragen“ und eine „sorgfältige Prüfung jeder Datenzugangsanfrage durch US-Behörden“. Ausschlaggebend war, dass diese Maßnahmen die vom EuGH ins Auge gefassten Zugriffsmöglichkeiten der US-Behörden nicht ausschließen können. So wurde beispielsweise die vom Anbieter des Webanalysetools angewandte Verschlüsselung als „nicht wirksam“ angesehen: Der Anbieter besaß sowohl die verschlüsselten Daten als auch den Schlüssel dazu und könnte nach den US-Überwachungsgesetzen verpflichtet sein, die Daten zusammen mit dem Schlüssel offenzulegen.

Die DSB hat in der jüngst ergangenen zweiten Entscheidung ausgeführt: Bei Datenübermittlungen in Drittstaaten könne kein risikobasierter Ansatz verfolgt werden, sondern nur dort, wo die DSGVO dies explizit vorsieht. Bei der maßgeblichen Prüfung, ob ein angemessenes Schutzniveau gewährleistet werden kann, sei irrelevant, ob es sich um sensible oder nicht sensible Daten handelt. Ebenso sei nicht darauf abzustellen, ob die Daten für die US-Behörden überhaupt von Interesse sein könnten. Ein DSGVO-Verstoß liegt nach Ansicht der DSB bereits dann vor, wenn Daten übermittelt werden, ohne dass ein entsprechendes Schutzniveau gewährleistet ist (ein abstraktes Risiko sei also ausreichend, ein tatsächlicher Zugriff hingegen nicht erforderlich). Ausdrücklich abgelehnt wird dabei eine Aufweichung dieser Vorschriften im Sinne einer „wirtschaftsfreundlichen Interpretation“. Es bleibt abzuwarten, ob sich diese strikte Interpretation der DSGVO durchsetzen wird.

Ein neues Agreement

Datentransfers in Drittstaaten (insb in die USA) sind nunmehr seit rund zwei Jahren mit Rechtsunsicherheit behaftet. Seit kurzem gibt es aber einen Lichtblick: EU und USA haben am 25. März 2022 ein „Agreement in Principle“ unter dem Namen „Trans-Atlantic-Data Privacy Framework“ veröffentlicht.

Dieser Nachfolger des EU-US Privacy Shields sieht – wie sein Vorgänger – eine Selbstzertifizierung amerikanischer Unternehmen vor. Zusätzlich soll unter anderem der Datenzugriff der US-Geheimdienste auf das zum Schutz der nationalen Sicherheit notwendige Maß beschränkt werden und spezielle Mechanismen zur Überwachung und Überprüfung vorgesehen werden. Ein wesentlicher Kritikpunkt am – nicht angemessenen – US-Schutzstandard war laut EuGH: Für Europäer:innen gibt es keine wirksamen Rechtsbehelfe gegenüber amerikanischen Nachrichtendiensten. Deshalb soll künftig für europäische Bürger:innen mit dem „Data Protection Review Court“ ein zweistufiges Rechtsschutzsystem zur Verfügung stehen.

Von der grundsätzlichen Einigung bis zur tatsächlichen Verwirklichung des Trans-Atlantic-Data Privacy Framework wird es wohl noch einige Monate dauern. Angesichts der strengeren EuGH-Anforderungen für Datenübermittlungen in Drittländer und der zahlreichen kritischen Stimmen dürfte sich dieses Vorhaben durchaus als herausfordernd erweisen.

Ausblick & Fazit

Datentransfers in die USA oder andere Drittstaaten sind rechtlich kritisch. Dies aus österreichischer Sicht insbesondere, weil die DSB eine Vorreiterrolle in der strikten Anwendung der verschärften Vorgaben einnimmt. Auch die französische Aufsichtsbehörde vertritt eine ähnliche Rechtsaufassung. Das Trans-Atlantic-Data Privacy Framework könnte die Problematik wesentlich entschärfen – jedoch werden bis dahin noch einige Monate vergehen.

Zwischenzeitlich müssen Verantwortliche andere Wege finden, um die DSGVO-Compliance zu wahren. Als ersten Schritt gilt es, sich einen Überblick über die eingesetzten Tools zu verschaffen. Vollständig ausgeschlossen werden kann das diesbezügliche Risiko durch den Einsatz europäischer Alternativen. Abgesehen davon kommt – nach Durchführung eines sorgfältigen „Transfer Impact Assessments“ – der Abschluss der neuen SCC in Frage. Die DSB-Entscheidung bezieht sich nämlich auf die alten SCC – doch auch mit den neuen SCC wird ein gewisses Risiko bleiben.

ANSPRECHPARTNER

Karin Bruchbacher

Stefan Niederstrasser