FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven
8 min
Beitrag vom: 07.02.2023

Dienste und Anwendungen aus den USA sind auf Webseiten kaum wegzudenken. Problematisch sind solche Webdienste aber in datenschutzrechtlicher Hinsicht, wenn darüber Betroffenendaten aus der EU in die USA gelangen. Was hier rechtlich gilt und wie die Zukunft von EU-US-Transfers aussieht, zeigen diese FAQ.

Was ist bei der Nutzung von US-Diensten auf Webseiten das grundsätzliche Problem?

Dienste, die auf europäischen Webseiten eingesetzt werden und aus den USA bzw. von US-amerikanischen Servern aus betrieben werden, greifen nicht selten auf personenbezogene Daten von EU-Seitenbesuchern zurück.

Oft ist dies primär die IP-Adresse, die – sofern nicht bei Erhebung anonymisiert – einen direkten Personenbezug aufweist.

Teilweise sind dies aber auch weitreichendere Informationen. etwa über das Surfverhalten, über Browsereigenschaften, Standorte, Nutzerkennungen sowie Bestell- und Accountdaten.

Werden diese personenbezogenen Daten aus der EU nun durch Nutzung eines US-Dienstes in die USA/an amerikanische Server übertragen, liegt ein sog. „Drittstaatentransfer“ vor, den das EU-Datenschutzrecht als besonders risikobehaftet einstuft.

Deshalb knüpft die europäische Datenschutzgrundverordnung (DSGVO) die Zulässigkeit von Drittstaatenstransfers an zusätzliche Voraussetzungen.

Diese Voraussetzungen sollen als zusätzliche Datenschutzgarantien sicherstellen, dass die aus der EU stammenden Daten in Drittländern einem vergleichbaren Schutzniveau unterliegen.

Das Problem: für die USA existieren derzeit keine geeigneten Datenschutzgarantien.

Damit ist die Nutzung von Diensten und Webanwendungen, welche personenbezogene Daten (und sei es nur die IP-Adresse) in die USA übermitteln, datenschutzrechtlich risikobehaftet, weil die Datentransfers rechtswidrig sind.

Betroffen sind grundsätzlich alle Dienste und Anwendungen, die einen direkten oder indirekten US-Bezug aufweisen.

Von Website-Hostinganbietern über Content-Delivery-Networks über Newsletter-Versanddienstleister bis zu Tracking- und Analysediensten kommt prinzipiell kein US-Webdienst ohne die Verarbeitung personenbezogener Daten aus.

Warum sind Übermittlungen personenbezogener Daten in die USA rechtswidrig?

Die in der EU geltende DSGVO fordert für Übermittlungen personenbezogener Daten in Drittländer geeignete Datenschutzgarantien.

Es kommen als Datenschutzgarantien verschiedene Mechanismen in Betracht, nämlich

  • Angemessenheitsbeschlüsse der EU-Kommission (derzeit etwa für Kanada, Neuseeland, die Schweiz, Israel etc., s. Art. 45 DSGVO)
  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)

Zwar bestand für EU-US-Transfers ursprünglich einmal ein Angemessenheitsbeschluss, betitelt als „EU-US-Privacy Shield“, der die Übermittlung von personenbezogenen EU-Daten in die USA rechtfertigte.

Dieses „Privacy Shield“ wurde aber vom EuGH mit Urteil vom 16.07.2020 – Az. C-311/18) aufgehoben und ist seither ungültig.

Seit 2020 fehlt es damit an geeigneten Datenschutzgarantien für Transfers personenbezogener Daten in die USA. Derartige Transfers sind seitdem also latent rechtswidrig.

Banner Starter Paket

Können Standardvertragsklauseln („SCC“) US-Transfers nicht rechtfertigen?

Nein.

Vielen Seitenbetreibern werden „Standardvertargsklauseln“ (englisch: Standard Contractual Clauses, SCC) ein Begriff sein.

Immerhin werden sie von vielen US-Anbietern (darunter Google, Squarespace, Cloudinary, Cloudflare und vielen weiteren) genutzt, um geeignete Datenschutzgarantien zu verbürgen.

Standardvertragsklauseln begründen hierbei die privatrechtliche Verpflichtung eines US-Diensteanbieters gegenüber Seitenbetreibern aus der EU, mit denen sie sich bestimmten Datenschutzanforderungen unterwerfen und so die bestmögliche Datensicherheit garantieren (wollen).

Zwar hält die EU-Kommission sogar konsolidierte, von ihr genehmigte Standardvertragsklauseln als Vorlage zur Verwendung durch Diensteanbieter außerhalb Europas bereit

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

Können individuelle Einwilligungen Datentransfers in die USA rechtfertigen?

Grundsätzlich ebenfalls: nein.

Zwar erkennt die DSGVO in Art. 49 bei Fehlen hinreichender anderer Datenschutzgarantien für Drittstaatentransfers ausdrückliche Einwilligungen als ausnahmsweise zulässiges Instrument an.

Für die Wirksamkeit einer Einwilligung wäre aber erforderlich, dass Seitenbesucher im Einwilligungszeitpunkt alle notwendigen Informationen über

  • den konkreten Umfang der zu ihrer Person erhobenen Daten
  • die Zwecke deren Verarbeitung in den USA
  • die konkreten Empfänger der Daten in den USA
  • die Speicherdauer

erhielten.

Diese Informationen kennt der Seitenbetreiber aber grundsätzlich nicht und kann sie daher auch nicht hinreichend beauskunften. Was mit den Daten in den USA geschieht, wissen nämlich grundsätzlich nur die Diensteanbieter, nicht aber der für die Einwilligung zuständige Seitenbetreiber.

Einer Einwilligung würde also zwangsweise die „Informiertheit“ fehlen, die aber entscheidendes Kriterium für ihre Wirksamkeit ist.

Ist eine Cookie-Einwilligung nicht gleichzeitig auch eine Zustimmung zu einem US-Transfer?

Nein.

Die Einwilligung in einen Drittstaatentransfers kann niemals mit einer Cookie-Einwilligung oder einer sonstigen Zustimmung gleichgesetzt werden.

Setzt ein US-Dienst Cookies oder vergleichbare Technologien ein und bedarf daher der Zustimmung des Nutzers (etwa über ein Cookie-Consent-Tool), ist in dieser Zustimmung nicht gleichzeitig eine Einwilligung in US-Datentransfers zu sehen. Letztere folgt völlig anderen Kriterien und Informationsvoraussetzungen (s.o.).

Daher gilt: Selbst wer sich bei einem US-Dienst an eine ggf. bestehende Cookie-Einwilligungspflicht hält, handelt datenschutzwidrig, wenn der Dienst personenbezogenen Daten in die USA übermittelt.

Wie hoch ist das derzeitige Risiko für Seitenbetreiber, die US-Dienste nutzen?

Die Verwendung von US-Diensten auf Websites, die personenbezogene Daten in die USA übermitteln, ist derzeit (Stand 02/202) nicht rechtskonform möglich.

Seitenbetreiber, die derartige US-Dienste nutzen, handeln damit potenziell datenschutzwidrig.

Dies wiederum kann datenschutzrechtliche Aufsichts- und Bußgeldverfahren nach sich ziehen, für die in Deutschland die Datenschutzbehörden der Bundesländer zuständig sind.

Die Mandatslage der IT-Recht Kanzlei zeigt aber, dass die deutschen Datenschutzbehörden bislang kein großes Interesse erkennen lassen, Datenschutzverstöße durch US-Datentransfers bei kleinen und mittleren Unternehmen zu verfolgen.
Ins Visier werden vielmehr die „Big Player“, also große, wirtschaftsstarke Unternehmen mit beträchtlichen Umsätzen genommen. Auch richten sich Maßnahmen immer häufiger gegen die EU-Ableger amerikanischer Konzerne selbst.

Ein verbleibendes Risiko kann aber nicht gänzlich ausgeschlossen werden.

Wer ein solches gänzlich vermeiden will, sollte prüfen, ob für die US-Dienste ggf. Pendants aus der EU existieren, und sodann zu diesen wechseln.

Zukunftsperspektive: Werden EU-US-Transfers wieder zulässig werden?

Ja, sogar bald schon.

Die EU-Kommission hat bereits im Dezember 2022 einen Entwurf für einen neuen Angemessenheitsbeschluss mit Wirkung für die USA veröffentlicht, der mit dem Titel „EU-US Data Privacy Framework“ das annulierte „Privacy Shield“ ersetzen soll.

Der Ausarbeitung des Entwurfs war eine „Executive Order“ des US-Präsidenten Biden vorangegangen, mit welcher letzte Datensicherheitsbedenken der EU institutionell ausgeräumt werden sollten.

Der neue Angemessenheitsbeschluss muss nun noch ratifiziert werden.

Hierfür ist zunächst eine Stellungnahme des „European Data Protection Board“ (EDPB) vorgesehen. Danach muss der Beschluss von einem Komitee aus Repräsentanten der Mitgliedsstaaten gebilligt werden.

Im Anschluss kann der neue Angemessenheitsbeschluss in Kraft treten und würde ab jenem Zeitpunkt sämtliche EU-US-Transfers wieder vollständig legitimieren.

Zu erwarten ist nach derzeitigem Stand, dass der neue Angemessenheitsbeschluss noch im Jahr 2023 in Kraft tritt.

Was ist Seitennetreibern bei der Nutzung von US-Diensten also zu raten?

Die Nutzung von US-Diensten auf Webseiten ist derzeit (Stand 02/2023) zwar potenziell datenschutzwidrig, wenn darüber personenbezogene Daten von Seitenbesuchern in die USA übermittelt werden.

Behördliche Aufsichtsverfahren und Sanktionen sind aber unwahrscheinlich, weil

  • Datenschutzbehörden bisher kaum Interesse zeigen, kleine und mittlere Unternehmen zu ahnden, sondern sich eher auf große, wirtschaftsprägende Marktakteure konzentrieren
  • in absehbarer Zeit ein neuer Angemessenheitsbeschluss in Form des EU-US Data Privacy Framework in Kraft tritt, der Datentransfers in die USA wieder vollständig legalisieren wird und Behörden voraussichtlich dazu veranlasst, bis dahin keine neuen Verfahren anzustreben

Seitenbetreibern kann also (unter Verweis auf ein bestehendes geringes Restrisiko) geraten werden, ihre derzeitige Seitenstruktur und den Einsatz von US-Diensten beizubehalten und so auf aufwändige und kostspielige Abhilfemaßnahmen zu verzichten. Bis EU-US-Datentransfers wieder allgemein legalisiert werden, dauert es nicht mehr lang.

Nur, wenn ohne großen Aufwand und ohne Einbuße an Funktionalität und Kompatibilität von einem US-Dienst auf ein europäisches Pendant gewechselt werden kann, sollte dies in Erwägung gezogen werden.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: gladder / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Gilt die DSGVO für Daten von Vertretern juristischer Personen?
(06.05.2025, 07:50 Uhr)
Gilt die DSGVO für Daten von Vertretern juristischer Personen?
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
(23.04.2025, 12:15 Uhr)
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
(21.03.2025, 07:55 Uhr)
DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
(25.02.2025, 14:18 Uhr)
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei