Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz
eBay
BE eBay BE
eBay B2B
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Fairmondo.de
For-vegans
Fotografie und Bildbearbeitung
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage (kein Verkauf)
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kauflux
Kleinanzeigen.de
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
BE Online-Shop BE
CH Online-Shop CH
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
YouTube
Zen-Cart
ZVAB
von RA Phil Salewski

FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

News vom 07.02.2023, 13:05 Uhr | Keine Kommentare

Dienste und Anwendungen aus den USA sind auf Webseiten kaum wegzudenken. Kein anderes Land wartet mit einem vergleichbaren Angebot an webbasierter Technologie auf. Problematisch sind solche Webdienste aber in datenschutzrechtlicher Hinsicht, wenn darüber Betroffenendaten aus der EU in die USA gelangen. Was hier rechtlich gilt, welches Risiko Seitenbetreiber auf sich nehmen und wie die Zukunft von EU-US-Transfers aussieht, zeigen diese FAQ.

Inhaltsverzeichnis

I. Was ist bei der Nutzung von US-Diensten auf Webseiten das grundsätzliche Problem?

Dienste, die auf europäischen Webseiten eingesetzt werden und aus den USA bzw. von US-amerikanischen Servern aus betrieben werden, greifen nicht selten auf personenbezogene Daten von EU-Seitenbesuchern zurück.

Oft ist dies primär die IP-Adresse, die – sofern nicht bei Erhebung anonymisiert – einen direkten Personenbezug aufweist.

Teilweise sind dies aber auch weitreichendere Informationen. etwa über das Surfverhalten, über Browsereigenschaften, Standorte, Nutzerkennungen sowie Bestell- und Accountdaten.

Werden diese personenbezogenen Daten aus der EU nun durch Nutzung eines US-Dienstes in die USA/an amerikanische Server übertragen, liegt ein sog. „Drittstaatentransfer“ vor, den das EU-Datenschutzrecht als besonders risikobehaftet einstuft.

Deshalb knüpft die europäische Datenschutzgrundverordnung (DSGVO) die Zulässigkeit von Drittstaatenstransfers an zusätzliche Voraussetzungen.

Diese Voraussetzungen sollen als zusätzliche Datenschutzgarantien sicherstellen, dass die aus der EU stammenden Daten in Drittländern einem vergleichbaren Schutzniveau unterliegen.

Das Problem: für die USA existieren derzeit keine geeigneten Datenschutzgarantien.

Damit ist die Nutzung von Diensten und Webanwendungen, welche personenbezogene Daten (und sei es nur die IP-Adresse) in die USA übermitteln, datenschutzrechtlich risikobehaftet, weil die Datentransfers rechtswidrig sind.

Betroffen sind grundsätzlich alle Dienste und Anwendungen, die einen direkten oder indirekten US-Bezug aufweisen.

Von Website-Hostinganbietern über Content-Delivery-Networks über Newsletter-Versanddienstleister bis zu Tracking- und Analysediensten kommt prinzipiell kein US-Webdienst ohne die Verarbeitung personenbezogener Daten aus.

II. Warum sind Übermittlungen personenbezogener Daten in die USA rechtswidrig?

Die in der EU geltende DSGVO fordert für Übermittlungen personenbezogener Daten in Drittländer geeignete Datenschutzgarantien.

Es kommen als Datenschutzgarantien verschiedene Mechanismen in Betracht, nämlich

  • Angemessenheitsbeschlüsse der EU-Kommission (derzeit etwa für Kanada, Neuseeland, die Schweiz, Israel etc., s. Art. 45 DSGVO)
  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)

Zwar bestand für EU-US-Transfers ursprünglich einmal ein Angemessenheitsbeschluss, betitelt als „EU-US-Privacy Shield“, der die Übermittlung von personenbezogenen EU-Daten in die USA rechtfertigte.

Dieses „Privacy Shield“ wurde aber vom EuGH mit Urteil vom 16.07.2020 – Az. C-311/18) aufgehoben und ist seither ungültig.

Seit 2020 fehlt es damit an geeigneten Datenschutzgarantien für Transfers personenbezogener Daten in die USA. Derartige Transfers sind seitdem also latent rechtswidrig.

Banner Premium Paket

III. Können Standardvertragsklauseln („SCC“) US-Transfers nicht rechtfertigen?

Nein.

Vielen Seitenbetreibern werden „Standardvertargsklauseln“ (englisch: Standard Contractual Clauses, SCC) ein Begriff sein.

Immerhin werden sie von vielen US-Anbietern (darunter Google, Squarespace, Cloudinary, Cloudflare und vielen weiteren) genutzt, um geeignete Datenschutzgarantien zu verbürgen.

Standardvertragsklauseln begründen hierbei die privatrechtliche Verpflichtung eines US-Diensteanbieters gegenüber Seitenbetreibern aus der EU, mit denen sie sich bestimmten Datenschutzanforderungen unterwerfen und so die bestmögliche Datensicherheit garantieren (wollen).

Zwar hält die EU-Kommission sogar konsolidierte, von ihr genehmigte Standardvertragsklauseln als Vorlage zur Verwendung durch Diensteanbieter außerhalb Europas bereit

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

IV. Können individuelle Einwilligungen Datentransfers in die USA rechtfertigen?

Grundsätzlich ebenfalls: nein.

Zwar erkennt die DSGVO in Art. 49 bei Fehlen hinreichender anderer Datenschutzgarantien für Drittstaatentransfers ausdrückliche Einwilligungen als ausnahmsweise zulässiges Instrument an.

Für die Wirksamkeit einer Einwilligung wäre aber erforderlich, dass Seitenbesucher im Einwilligungszeitpunkt alle notwendigen Informationen über

  • den konkreten Umfang der zu ihrer Person erhobenen Daten
  • die Zwecke deren Verarbeitung in den USA
  • die konkreten Empfänger der Daten in den USA
  • die Speicherdauer

erhielten.

Diese Informationen kennt der Seitenbetreiber aber grundsätzlich nicht und kann sie daher auch nicht hinreichend beauskunften. Was mit den Daten in den USA geschieht, wissen nämlich grundsätzlich nur die Diensteanbieter, nicht aber der für die Einwilligung zuständige Seitenbetreiber.

Einer Einwilligung würde also zwangsweise die „Informiertheit“ fehlen, die aber entscheidendes Kriterium für ihre Wirksamkeit ist.

V. Ist eine Cookie-Einwilligung nicht gleichzeitig auch eine Zustimmung zu einem US-Transfer?

Nein.

Die Einwilligung in einen Drittstaatentransfers kann niemals mit einer Cookie-Einwilligung oder einer sonstigen Zustimmung gleichgesetzt werden.

Setzt ein US-Dienst Cookies oder vergleichbare Technologien ein und bedarf daher der Zustimmung des Nutzers (etwa über ein Cookie-Consent-Tool), ist in dieser Zustimmung nicht gleichzeitig eine Einwilligung in US-Datentransfers zu sehen. Letztere folgt völlig anderen Kriterien und Informationsvoraussetzungen (s.o.).

Daher gilt: Selbst wer sich bei einem US-Dienst an eine ggf. bestehende Cookie-Einwilligungspflicht hält, handelt datenschutzwidrig, wenn der Dienst personenbezogenen Daten in die USA übermittelt.

VI. Wie hoch ist das derzeitige Risiko für Seitenbetreiber, die US-Dienste nutzen?

Die Verwendung von US-Diensten auf Websites, die personenbezogene Daten in die USA übermitteln, ist derzeit (Stand 02/202) nicht rechtskonform möglich.

Seitenbetreiber, die derartige US-Dienste nutzen, handeln damit potenziell datenschutzwidrig.

Dies wiederum kann datenschutzrechtliche Aufsichts- und Bußgeldverfahren nach sich ziehen, für die in Deutschland die Datenschutzbehörden der Bundesländer zuständig sind.

Die Mandatslage der IT-Recht Kanzlei zeigt aber, dass die deutschen Datenschutzbehörden bislang kein großes Interesse erkennen lassen, Datenschutzverstöße durch US-Datentransfers bei kleinen und mittleren Unternehmen zu verfolgen.
Ins Visier werden vielmehr die „Big Player“, also große, wirtschaftsstarke Unternehmen mit beträchtlichen Umsätzen genommen. Auch richten sich Maßnahmen immer häufiger gegen die EU-Ableger amerikanischer Konzerne selbst.

Ein verbleibendes Risiko kann aber nicht gänzlich ausgeschlossen werden.

Wer ein solches gänzlich vermeiden will, sollte prüfen, ob für die US-Dienste ggf. Pendants aus der EU existieren, und sodann zu diesen wechseln.

VII. Zukunftsperspektive: Werden EU-US-Transfers wieder zulässig werden?

Ja, sogar bald schon.

Die EU-Kommission hat bereits im Dezember 2022 einen Entwurf für einen neuen Angemessenheitsbeschluss mit Wirkung für die USA veröffentlicht, der mit dem Titel „EU-US Data Privacy Framework“ das annulierte „Privacy Shield“ ersetzen soll.

Der Ausarbeitung des Entwurfs war eine „Executive Order“ des US-Präsidenten Biden vorangegangen, mit welcher letzte Datensicherheitsbedenken der EU institutionell ausgeräumt werden sollten.

Der neue Angemessenheitsbeschluss muss nun noch ratifiziert werden.

Hierfür ist zunächst eine Stellungnahme des „European Data Protection Board“ (EDPB) vorgesehen. Danach muss der Beschluss von einem Komitee aus Repräsentanten der Mitgliedsstaaten gebilligt werden.

Im Anschluss kann der neue Angemessenheitsbeschluss in Kraft treten und würde ab jenem Zeitpunkt sämtliche EU-US-Transfers wieder vollständig legitimieren.

Zu erwarten ist nach derzeitigem Stand, dass der neue Angemessenheitsbeschluss noch im Jahr 2023 in Kraft tritt.

VIII. Was ist Seitennetreibern bei der Nutzung von US-Diensten also zu raten?

Die Nutzung von US-Diensten auf Webseiten ist derzeit (Stand 02/2023) zwar potenziell datenschutzwidrig, wenn darüber personenbezogene Daten von Seitenbesuchern in die USA übermittelt werden.

Behördliche Aufsichtsverfahren und Sanktionen sind aber unwahrscheinlich, weil

  • Datenschutzbehörden bisher kaum Interesse zeigen, kleine und mittlere Unternehmen zu ahnden, sondern sich eher auf große, wirtschaftsprägende Marktakteure konzentrieren
  • in absehbarer Zeit ein neuer Angemessenheitsbeschluss in Form des EU-US Data Privacy Framework in Kraft tritt, der Datentransfers in die USA wieder vollständig legalisieren wird und Behörden voraussichtlich dazu veranlasst, bis dahin keine neuen Verfahren anzustreben

Seitenbetreibern kann also (unter Verweis auf ein bestehendes geringes Restrisiko) geraten werden, ihre derzeitige Seitenstruktur und den Einsatz von US-Diensten beizubehalten und so auf aufwändige und kostspielige Abhilfemaßnahmen zu verzichten. Bis EU-US-Datentransfers wieder allgemein legalisiert werden, dauert es nicht mehr lang.

Nur, wenn ohne großen Aufwand und ohne Einbuße an Funktionalität und Kompatibilität von einem US-Dienst auf ein europäisches Pendant gewechselt werden kann, sollte dies in Erwägung gezogen werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Phil Salewski Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2023 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller