US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer durch Datenschutzbehörde?

Die Nutzung bestimmter US-Dienste wie u.a. Google, Facebook und viele weitere ist aus datenschutzrechtlicher Sicht gegenwärtig problematisch. Ändern kann dies aus Sicht der EU nur die US-Regierung. Diese hat mittlerweile reagiert und im Oktober in einer sog. Executive Order bemerkenswerte Veränderungen beim Datenschutz angekündigt. Die Hamburger Datenschutzbehörde sieht daran viel Positives. Wir beleuchten in diesem Beitrag, ob nun tatsächlich Hoffnung auf eine baldige Lösung zu Gunsten von Betreiber von Websites und anderen Online-Präsenzen besteht und Abmahnwellen wie im Zusammenhang mit Google Fonts schon bald der Vergangenheit angehören werden.

I. Was ist geschehen?

Mit Datum vom 07.10.2022 hat die US-Regierung die sog. „Executive Order on Enhancing Safeguards For United States Signals Intelligence Activities" veröffentlicht (im Folgenden: “Executive Order”), übersetzt: „Durchführungsverordnung zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“.

Diese Executive Order ist Teil der Antwort der US-Regierung auf die sog. Schrems II-Entscheidung des EuGH, die dazu geführt hat, dass Übermittlungen von personenbezogenen Daten aus der EU – und damit auch aus Deutschland – in die USA gegenwärtig in vielen Fällen nach Ansicht von Datenschutzbehörden und Gerichten der EU nicht vollkommen datenschutzkonform erfolgen können.

In der Praxis von Betreibern von Webshops und sonstigen Online-Präsenzen spielt dies eine erhebliche Rolle, da viele eingesetzte Tools und Services Nutzerdaten erheben und u.a. auch auf Servern in den USA verarbeiten, die aus Sicht von Behörden und Gerichten als personenbezogene Daten anzusehen sind. So ist im Zusammenhang mit der Google Fonts-Abmahnwelle in diesem Jahr beispielsweise auch ein wesentlicher datenschutzrechtlicher Kritikpunkt an der dynamischen Einbindung des Dienstes, dass dabei personenbezogene Daten in die USA übermittelt würden.

Zum 29. November 2022 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ("Hamburger Datenschutzbehörde") eine Einschätzung der Executive Order veröffentlicht.

II. Was bedeutet diese Executive Order genau?

Wesentliche Kritikpunkte des EuGH an der datenschutzrechtlichen Rechtslage in den USA im Rahmen der Schrems II-Entscheidung waren, dass die US-Nachrichtendienste weitreichende, aus europäischer Grundrechtssicht unverhältnismäßige Zugriffsbefugnisse auf personenbezogene Daten von EU-Bürgern haben, Zugriffe auf die Daten nicht hinreichend und nicht unabhängig überwacht werden und es keinen hinreichenden Rechtsschutz dagegen gibt.

Diese Kritikpunkte greift die Executive Order nun auf und läutet eine Phase der Umsetzung von Verbesserungen der datenschutzrechtlichen Rechtslage in den USA ein. Ziel der US-Regierung ist es, die datenschutzrechtlichen Bedenken der europäischen Datenschutzbehörden und Gerichte auszuräumen, so dass viele Datentransfers aus der EU wieder in datenschutzkonformer Weise in die USA erfolgen können.

Dies betrifft die Veränderung von Prozessen und Vorgehensweisen bei den insgesamt 18 Geheim- bzw. Nachrichtendienste der USA und die Einrichtung eines unabhängigen Datenschutzgerichts. Hierfür sieht die Executive Order insgesamt eine Umsetzungszeit von einem Jahr vor.

III. Welche Punkte der Executive Order sieht die Hamburger Datenschutzbehörde positiv?

Insgesamt scheint die Hamburger Datenschutzbehörde die Executive Order eher positiv zu sehen, was für Betreiber von Webshops und sonstigen Online-Präsenzen, die auf eine datenschutzkonforme Übermittlung von Daten an US-Servern angewiesen sind, als leicht positives Signal wahrgenommen werden kann.

Aus Sicht der Hamburger Datenschutzbehörde schafft die Executive Order Garantien für europäische Bürger gegenüber den vielen US-Geheim- bzw. Nachrichtendiensten und bewegt sich auf die europäische Grundrechtstradition zu, was nach dem Schrems II-Urteil des EuGH Grundvoraussetzung für eine datenschutzkonforme Verarbeitung von personenbezogenen Daten in den USA ist. Die Datenschutzaufsicht hebt zudem positiv hervor, dass die US-geheimdienstlichen Aktivitäten auf Basis der Executive Order erstmals unter einen Verhältnismäßigkeitsvorbehalt gestellt würden, der – das müsse man dann aber nach der Umsetzung in die Praxis noch genauer prüfen – hinreichend sein könnte.

Die Aufsichtsbehörde ist zudem erfreut darüber, dass die Executive Order einen effektiven Rechtsschutz von EU-Bürgern gegen sie selbst betreffende US-geheim- bzw. nachrichtendienstliche Aktivitäten durch ein als „Data Protection Review Court“ bezeichnetes, und mit unabhängigen Richter:innen besetztes Gremium mit verbindlichen Entscheidungsbefugnissen u.a. auch zur Löschung von bzw. Einschränkung der Verarbeitung von Daten vorsehe – ebenso eine wesentliche Forderung aus dem Schrems II-Urteil des EuGH.

IV. Welche Punkte der Executive Order sieht die Hamburger Datenschutzbehörde negativ bzw. zurückhaltend?

Betont negativ sieht die Datenschutzaufsicht vor allem, dass die USA gemäß der Executive Order ausdrücklich weiterhin an der sog. Massenüberwachung (sog. „bulk collection“) festhalten wollen, diese also auch nicht zumindest in Bezug auf personenbezogene Daten von EU-Bürgern abschaffen werden. Die Hamburger Behörde deutet zumindest leise Skepsis an, dass dies im Einklang mit dem europäischen Recht stehen kann. Dies müsse nach der Umsetzung in die Praxis engmaschig datenschutzrechtlich überprüft werden.

Zwar sieht die Hamburger Datenschutzbehörde die geplante Einführung des „Data Protection Review Court“ als datenschutzrechtliche Kontrollinstanz grundsätzlich positiv, insbesondere als effektiv, kritisiert jedoch, dass dortige Rechtsschutzverfahren kaum transparent und nachvollziehbar seien. Auch dieser Aspekt sei bei der datenschutzrechtlichen Bewertung der Umsetzungsmaßnahmen später besonders genau zu überprüfen.

V. Wie geht es nun weiter?

Die Exective Ordner ist zunächst bloß ein Papier, dessen Inhalt in die Praxis umgesetzt werden muss. Beispielsweise müssen die US-Geheimdienste ihre Prozesse entsprechend anpassen bzw. umstellen - das braucht Zeit. Auch muss das neue US-Datenschutzgericht, das „Data Protection Review Court“ zunächst vollständig eingerichtet werden und seinen Betrieb starten.

Bereits parallel zu dieser Umsetzungsphase in den USA rechnet die Hamburger Datenschutzbehörde in den kommenden Monaten aber mit einer Befassung der EU-Kommission und einem von ihr vorgelegten Entwurf für einen sog. Angemessenheitsbeschluss, mit dem die EU-Kommission die etwaige Angemessenheit des Schutzniveaus für personenbezogene Daten im Vergleich zum EU-Datenschutzrecht feststellt.

Diesen Entwurf des Angemessenheitsbeschlusses wird dann der Europäische Datenschutzausschuss (EDSA) kritisch prüfen und bewerten. Anschließend kommt es dann ggf. zu einer finalen Entscheidung der EU-Kommission über einen Angemessenheitsbeschluss.

Sollte die Entscheidung der EU-Kommission dann so ausfallen, dass sie die Rechtslage und die gelebte Praxis in den USA als angemessenes Datenschutzniveau einstuft, dürfte dies aber (erneut) nicht das Ende sein: europäische Datenschützer haben bereits angekündigt, den Prozess ebenso kritisch zu verfolgen und einen solchen Angemessenheitsbeschluss rechtlich zu bekämpfen, falls er aus ihrer Sicht gegen EU-Datenschutzrecht verstoßen sollte.

VI. Wie ist die Einschätzung der Hamburger Datenschutzbehörde insgesamt einzuordnen?

Wir sind an sich gewohnt, dass die deutschen und europäischen Datenschutzbehörden Datentransfers in die USA kritisch gegenüberstehen. Da ist es recht ungewohnt und unerwartet, wenn eine deutsche Datenschutzbehörde etwas Hoffnung zu verbreiten scheint.

Doch Vorsicht: die Hamburger Datenschutzbehörde äußert sich bloß dahingehend, dass das, was die Executive Order beinhaltet, Schritte in die richtige Richtung sein können, wenn die Executive Order erstens so konsequent umgesetzt und zweitens in der Praxis tatsächlich auch so gelebt werden sollte. Letztlich plädiert die Behörde bloß für eine unvoreingenommene Prüfung, sobald die Maßnahmen in den USA in die Praxis umgesetzt sind und angewendet werden. Ob Übermittlungen von personenbezogenen Daten in die USA, z.B. im Rahmen der Nutzung von Google Analytics und Facebook, damit in absehbarer Zeit mit Sicherheitheit datenschutzkonform erfolgen können, steht somit weiterhin in den Sternen.

So oder so wird die praktische Umsetzung der Maßnahmen in den USA und dann auch die datenschutzrechtlichen Bewertungen durch die verschiedenen EU-Behörden noch einige Zeit in Anspruch nehmen – mit einer schnellen Lösung ist somit aktuell weiterhin nicht unbedingt zu rechnen.

VII. Was bedeutet dies für Online-Händler und andere Betreiber von Online-Präsenzen?

Wie auch die Hamburger Datenschutzbehörde betont, hat die Executive Order an der Rechtslage in den USA zum aktuellen Zeitpunkt noch nichts Entscheidendes geändert.

Die Übermittlung von personenbezogenen Daten in die USA, also etwa an Dienstleister wie Google, Facebook oder Instagram mit Sitz und Servern in den USA, bleibt bis auf Weiteres – und wohl auch noch eine gewisse Zeit lang – datenschutzrechtlich problematisch und kann nach Ansicht von Datenschutzbehörden und Gerichten in der EU gegen das EU-Datenschutzrecht verstoßen. Betreiber von Webshops und sonstigen Online-Präsenzen, die Tools oder Services einsetzen, bei denen personenbezogene Daten auch in die USA übermittelt werden, müssen daher noch mit Gegenwind, und vielleicht auch mit der einen oder anderen Abmahnwelle rechnen. Dennoch zeichnet sich am Horizont aktuell offenbar ein zarter Hoffnungsschimmer ab, dass sich etwas zum Besseren verändern könnte.

Wir informieren und beraten unsere Mandanten natürlich auch weiterhin, sobald bei diesem Thema entscheidende Veränderungen anstehen, die sich auf sie auswirken können. Mandanten, die unsere Schutzpakete abonniert haben, erhalten regelmäßige Updates zu diesem und anderen Themen per Newsletter und haben Zugriff auf viele Informationen, wie Leitfäden und Muster, zum Umgang auch mit diesen Datenschutzthemen..

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.