Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
clicksale
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
SumUp
Teilehaber.de
Tentary
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

07.02.2023, 13:05 Uhr | Lesezeit: 8 min
FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

Dienste und Anwendungen aus den USA sind auf Webseiten kaum wegzudenken. Kein anderes Land wartet mit einem vergleichbaren Angebot an webbasierter Technologie auf. Problematisch sind solche Webdienste aber in datenschutzrechtlicher Hinsicht, wenn darüber Betroffenendaten aus der EU in die USA gelangen. Was hier rechtlich gilt, welches Risiko Seitenbetreiber auf sich nehmen und wie die Zukunft von EU-US-Transfers aussieht, zeigen diese FAQ.

I. Was ist bei der Nutzung von US-Diensten auf Webseiten das grundsätzliche Problem?

Dienste, die auf europäischen Webseiten eingesetzt werden und aus den USA bzw. von US-amerikanischen Servern aus betrieben werden, greifen nicht selten auf personenbezogene Daten von EU-Seitenbesuchern zurück.

Oft ist dies primär die IP-Adresse, die – sofern nicht bei Erhebung anonymisiert – einen direkten Personenbezug aufweist.

Teilweise sind dies aber auch weitreichendere Informationen. etwa über das Surfverhalten, über Browsereigenschaften, Standorte, Nutzerkennungen sowie Bestell- und Accountdaten.

Werden diese personenbezogenen Daten aus der EU nun durch Nutzung eines US-Dienstes in die USA/an amerikanische Server übertragen, liegt ein sog. „Drittstaatentransfer“ vor, den das EU-Datenschutzrecht als besonders risikobehaftet einstuft.

Deshalb knüpft die europäische Datenschutzgrundverordnung (DSGVO) die Zulässigkeit von Drittstaatenstransfers an zusätzliche Voraussetzungen.

Diese Voraussetzungen sollen als zusätzliche Datenschutzgarantien sicherstellen, dass die aus der EU stammenden Daten in Drittländern einem vergleichbaren Schutzniveau unterliegen.

Das Problem: für die USA existieren derzeit keine geeigneten Datenschutzgarantien.

Damit ist die Nutzung von Diensten und Webanwendungen, welche personenbezogene Daten (und sei es nur die IP-Adresse) in die USA übermitteln, datenschutzrechtlich risikobehaftet, weil die Datentransfers rechtswidrig sind.

Betroffen sind grundsätzlich alle Dienste und Anwendungen, die einen direkten oder indirekten US-Bezug aufweisen.

Von Website-Hostinganbietern über Content-Delivery-Networks über Newsletter-Versanddienstleister bis zu Tracking- und Analysediensten kommt prinzipiell kein US-Webdienst ohne die Verarbeitung personenbezogener Daten aus.

II. Warum sind Übermittlungen personenbezogener Daten in die USA rechtswidrig?

Die in der EU geltende DSGVO fordert für Übermittlungen personenbezogener Daten in Drittländer geeignete Datenschutzgarantien.

Es kommen als Datenschutzgarantien verschiedene Mechanismen in Betracht, nämlich

  • Angemessenheitsbeschlüsse der EU-Kommission (derzeit etwa für Kanada, Neuseeland, die Schweiz, Israel etc., s. Art. 45 DSGVO)
  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)

Zwar bestand für EU-US-Transfers ursprünglich einmal ein Angemessenheitsbeschluss, betitelt als „EU-US-Privacy Shield“, der die Übermittlung von personenbezogenen EU-Daten in die USA rechtfertigte.

Dieses „Privacy Shield“ wurde aber vom EuGH mit Urteil vom 16.07.2020 – Az. C-311/18) aufgehoben und ist seither ungültig.

Seit 2020 fehlt es damit an geeigneten Datenschutzgarantien für Transfers personenbezogener Daten in die USA. Derartige Transfers sind seitdem also latent rechtswidrig.

Kostenfreies Bewertungssystem SHOPVOTE

III. Können Standardvertragsklauseln („SCC“) US-Transfers nicht rechtfertigen?

Nein.

Vielen Seitenbetreibern werden „Standardvertargsklauseln“ (englisch: Standard Contractual Clauses, SCC) ein Begriff sein.

Immerhin werden sie von vielen US-Anbietern (darunter Google, Squarespace, Cloudinary, Cloudflare und vielen weiteren) genutzt, um geeignete Datenschutzgarantien zu verbürgen.

Standardvertragsklauseln begründen hierbei die privatrechtliche Verpflichtung eines US-Diensteanbieters gegenüber Seitenbetreibern aus der EU, mit denen sie sich bestimmten Datenschutzanforderungen unterwerfen und so die bestmögliche Datensicherheit garantieren (wollen).

Zwar hält die EU-Kommission sogar konsolidierte, von ihr genehmigte Standardvertragsklauseln als Vorlage zur Verwendung durch Diensteanbieter außerhalb Europas bereit

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

IV. Können individuelle Einwilligungen Datentransfers in die USA rechtfertigen?

Grundsätzlich ebenfalls: nein.

Zwar erkennt die DSGVO in Art. 49 bei Fehlen hinreichender anderer Datenschutzgarantien für Drittstaatentransfers ausdrückliche Einwilligungen als ausnahmsweise zulässiges Instrument an.

Für die Wirksamkeit einer Einwilligung wäre aber erforderlich, dass Seitenbesucher im Einwilligungszeitpunkt alle notwendigen Informationen über

  • den konkreten Umfang der zu ihrer Person erhobenen Daten
  • die Zwecke deren Verarbeitung in den USA
  • die konkreten Empfänger der Daten in den USA
  • die Speicherdauer

erhielten.

Diese Informationen kennt der Seitenbetreiber aber grundsätzlich nicht und kann sie daher auch nicht hinreichend beauskunften. Was mit den Daten in den USA geschieht, wissen nämlich grundsätzlich nur die Diensteanbieter, nicht aber der für die Einwilligung zuständige Seitenbetreiber.

Einer Einwilligung würde also zwangsweise die „Informiertheit“ fehlen, die aber entscheidendes Kriterium für ihre Wirksamkeit ist.

V. Ist eine Cookie-Einwilligung nicht gleichzeitig auch eine Zustimmung zu einem US-Transfer?

Nein.

Die Einwilligung in einen Drittstaatentransfers kann niemals mit einer Cookie-Einwilligung oder einer sonstigen Zustimmung gleichgesetzt werden.

Setzt ein US-Dienst Cookies oder vergleichbare Technologien ein und bedarf daher der Zustimmung des Nutzers (etwa über ein Cookie-Consent-Tool), ist in dieser Zustimmung nicht gleichzeitig eine Einwilligung in US-Datentransfers zu sehen. Letztere folgt völlig anderen Kriterien und Informationsvoraussetzungen (s.o.).

Daher gilt: Selbst wer sich bei einem US-Dienst an eine ggf. bestehende Cookie-Einwilligungspflicht hält, handelt datenschutzwidrig, wenn der Dienst personenbezogenen Daten in die USA übermittelt.

VI. Wie hoch ist das derzeitige Risiko für Seitenbetreiber, die US-Dienste nutzen?

Die Verwendung von US-Diensten auf Websites, die personenbezogene Daten in die USA übermitteln, ist derzeit (Stand 02/202) nicht rechtskonform möglich.

Seitenbetreiber, die derartige US-Dienste nutzen, handeln damit potenziell datenschutzwidrig.

Dies wiederum kann datenschutzrechtliche Aufsichts- und Bußgeldverfahren nach sich ziehen, für die in Deutschland die Datenschutzbehörden der Bundesländer zuständig sind.

Die Mandatslage der IT-Recht Kanzlei zeigt aber, dass die deutschen Datenschutzbehörden bislang kein großes Interesse erkennen lassen, Datenschutzverstöße durch US-Datentransfers bei kleinen und mittleren Unternehmen zu verfolgen.
Ins Visier werden vielmehr die „Big Player“, also große, wirtschaftsstarke Unternehmen mit beträchtlichen Umsätzen genommen. Auch richten sich Maßnahmen immer häufiger gegen die EU-Ableger amerikanischer Konzerne selbst.

Ein verbleibendes Risiko kann aber nicht gänzlich ausgeschlossen werden.

Wer ein solches gänzlich vermeiden will, sollte prüfen, ob für die US-Dienste ggf. Pendants aus der EU existieren, und sodann zu diesen wechseln.

VII. Zukunftsperspektive: Werden EU-US-Transfers wieder zulässig werden?

Ja, sogar bald schon.

Die EU-Kommission hat bereits im Dezember 2022 einen Entwurf für einen neuen Angemessenheitsbeschluss mit Wirkung für die USA veröffentlicht, der mit dem Titel „EU-US Data Privacy Framework“ das annulierte „Privacy Shield“ ersetzen soll.

Der Ausarbeitung des Entwurfs war eine „Executive Order“ des US-Präsidenten Biden vorangegangen, mit welcher letzte Datensicherheitsbedenken der EU institutionell ausgeräumt werden sollten.

Der neue Angemessenheitsbeschluss muss nun noch ratifiziert werden.

Hierfür ist zunächst eine Stellungnahme des „European Data Protection Board“ (EDPB) vorgesehen. Danach muss der Beschluss von einem Komitee aus Repräsentanten der Mitgliedsstaaten gebilligt werden.

Im Anschluss kann der neue Angemessenheitsbeschluss in Kraft treten und würde ab jenem Zeitpunkt sämtliche EU-US-Transfers wieder vollständig legitimieren.

Zu erwarten ist nach derzeitigem Stand, dass der neue Angemessenheitsbeschluss noch im Jahr 2023 in Kraft tritt.

VIII. Was ist Seitennetreibern bei der Nutzung von US-Diensten also zu raten?

Die Nutzung von US-Diensten auf Webseiten ist derzeit (Stand 02/2023) zwar potenziell datenschutzwidrig, wenn darüber personenbezogene Daten von Seitenbesuchern in die USA übermittelt werden.

Behördliche Aufsichtsverfahren und Sanktionen sind aber unwahrscheinlich, weil

  • Datenschutzbehörden bisher kaum Interesse zeigen, kleine und mittlere Unternehmen zu ahnden, sondern sich eher auf große, wirtschaftsprägende Marktakteure konzentrieren
  • in absehbarer Zeit ein neuer Angemessenheitsbeschluss in Form des EU-US Data Privacy Framework in Kraft tritt, der Datentransfers in die USA wieder vollständig legalisieren wird und Behörden voraussichtlich dazu veranlasst, bis dahin keine neuen Verfahren anzustreben

Seitenbetreibern kann also (unter Verweis auf ein bestehendes geringes Restrisiko) geraten werden, ihre derzeitige Seitenstruktur und den Einsatz von US-Diensten beizubehalten und so auf aufwändige und kostspielige Abhilfemaßnahmen zu verzichten. Bis EU-US-Datentransfers wieder allgemein legalisiert werden, dauert es nicht mehr lang.

Nur, wenn ohne großen Aufwand und ohne Einbuße an Funktionalität und Kompatibilität von einem US-Dienst auf ein europäisches Pendant gewechselt werden kann, sollte dies in Erwägung gezogen werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei