Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
BE Amazon BE
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
BE eBay BE
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
CH Homepage CH
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
DE Online-Shop DE
BE Online-Shop BE
CH Online-Shop CH
Online-Shop (digitale Inhalte)
Online-Shop - B2B
DE Online-Shop - B2B DE
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

07.02.2023, 13:05 Uhr | Lesezeit: 8 min
von RA Phil Salewski
FAQ zu Datentransfers in die USA: Aktuelle und künftige Perspektiven

Dienste und Anwendungen aus den USA sind auf Webseiten kaum wegzudenken. Kein anderes Land wartet mit einem vergleichbaren Angebot an webbasierter Technologie auf. Problematisch sind solche Webdienste aber in datenschutzrechtlicher Hinsicht, wenn darüber Betroffenendaten aus der EU in die USA gelangen. Was hier rechtlich gilt, welches Risiko Seitenbetreiber auf sich nehmen und wie die Zukunft von EU-US-Transfers aussieht, zeigen diese FAQ.

Inhaltsverzeichnis

I. Was ist bei der Nutzung von US-Diensten auf Webseiten das grundsätzliche Problem?

Dienste, die auf europäischen Webseiten eingesetzt werden und aus den USA bzw. von US-amerikanischen Servern aus betrieben werden, greifen nicht selten auf personenbezogene Daten von EU-Seitenbesuchern zurück.

Oft ist dies primär die IP-Adresse, die – sofern nicht bei Erhebung anonymisiert – einen direkten Personenbezug aufweist.

Teilweise sind dies aber auch weitreichendere Informationen. etwa über das Surfverhalten, über Browsereigenschaften, Standorte, Nutzerkennungen sowie Bestell- und Accountdaten.

Werden diese personenbezogenen Daten aus der EU nun durch Nutzung eines US-Dienstes in die USA/an amerikanische Server übertragen, liegt ein sog. „Drittstaatentransfer“ vor, den das EU-Datenschutzrecht als besonders risikobehaftet einstuft.

Deshalb knüpft die europäische Datenschutzgrundverordnung (DSGVO) die Zulässigkeit von Drittstaatenstransfers an zusätzliche Voraussetzungen.

Diese Voraussetzungen sollen als zusätzliche Datenschutzgarantien sicherstellen, dass die aus der EU stammenden Daten in Drittländern einem vergleichbaren Schutzniveau unterliegen.

Das Problem: für die USA existieren derzeit keine geeigneten Datenschutzgarantien.

Damit ist die Nutzung von Diensten und Webanwendungen, welche personenbezogene Daten (und sei es nur die IP-Adresse) in die USA übermitteln, datenschutzrechtlich risikobehaftet, weil die Datentransfers rechtswidrig sind.

Betroffen sind grundsätzlich alle Dienste und Anwendungen, die einen direkten oder indirekten US-Bezug aufweisen.

Von Website-Hostinganbietern über Content-Delivery-Networks über Newsletter-Versanddienstleister bis zu Tracking- und Analysediensten kommt prinzipiell kein US-Webdienst ohne die Verarbeitung personenbezogener Daten aus.

II. Warum sind Übermittlungen personenbezogener Daten in die USA rechtswidrig?

Die in der EU geltende DSGVO fordert für Übermittlungen personenbezogener Daten in Drittländer geeignete Datenschutzgarantien.

Es kommen als Datenschutzgarantien verschiedene Mechanismen in Betracht, nämlich

  • Angemessenheitsbeschlüsse der EU-Kommission (derzeit etwa für Kanada, Neuseeland, die Schweiz, Israel etc., s. Art. 45 DSGVO)
  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)

Zwar bestand für EU-US-Transfers ursprünglich einmal ein Angemessenheitsbeschluss, betitelt als „EU-US-Privacy Shield“, der die Übermittlung von personenbezogenen EU-Daten in die USA rechtfertigte.

Dieses „Privacy Shield“ wurde aber vom EuGH mit Urteil vom 16.07.2020 – Az. C-311/18) aufgehoben und ist seither ungültig.

Seit 2020 fehlt es damit an geeigneten Datenschutzgarantien für Transfers personenbezogener Daten in die USA. Derartige Transfers sind seitdem also latent rechtswidrig.

1

III. Können Standardvertragsklauseln („SCC“) US-Transfers nicht rechtfertigen?

Nein.

Vielen Seitenbetreibern werden „Standardvertargsklauseln“ (englisch: Standard Contractual Clauses, SCC) ein Begriff sein.

Immerhin werden sie von vielen US-Anbietern (darunter Google, Squarespace, Cloudinary, Cloudflare und vielen weiteren) genutzt, um geeignete Datenschutzgarantien zu verbürgen.

Standardvertragsklauseln begründen hierbei die privatrechtliche Verpflichtung eines US-Diensteanbieters gegenüber Seitenbetreibern aus der EU, mit denen sie sich bestimmten Datenschutzanforderungen unterwerfen und so die bestmögliche Datensicherheit garantieren (wollen).

Zwar hält die EU-Kommission sogar konsolidierte, von ihr genehmigte Standardvertragsklauseln als Vorlage zur Verwendung durch Diensteanbieter außerhalb Europas bereit

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

IV. Können individuelle Einwilligungen Datentransfers in die USA rechtfertigen?

Grundsätzlich ebenfalls: nein.

Zwar erkennt die DSGVO in Art. 49 bei Fehlen hinreichender anderer Datenschutzgarantien für Drittstaatentransfers ausdrückliche Einwilligungen als ausnahmsweise zulässiges Instrument an.

Für die Wirksamkeit einer Einwilligung wäre aber erforderlich, dass Seitenbesucher im Einwilligungszeitpunkt alle notwendigen Informationen über

  • den konkreten Umfang der zu ihrer Person erhobenen Daten
  • die Zwecke deren Verarbeitung in den USA
  • die konkreten Empfänger der Daten in den USA
  • die Speicherdauer

erhielten.

Diese Informationen kennt der Seitenbetreiber aber grundsätzlich nicht und kann sie daher auch nicht hinreichend beauskunften. Was mit den Daten in den USA geschieht, wissen nämlich grundsätzlich nur die Diensteanbieter, nicht aber der für die Einwilligung zuständige Seitenbetreiber.

Einer Einwilligung würde also zwangsweise die „Informiertheit“ fehlen, die aber entscheidendes Kriterium für ihre Wirksamkeit ist.

V. Ist eine Cookie-Einwilligung nicht gleichzeitig auch eine Zustimmung zu einem US-Transfer?

Nein.

Die Einwilligung in einen Drittstaatentransfers kann niemals mit einer Cookie-Einwilligung oder einer sonstigen Zustimmung gleichgesetzt werden.

Setzt ein US-Dienst Cookies oder vergleichbare Technologien ein und bedarf daher der Zustimmung des Nutzers (etwa über ein Cookie-Consent-Tool), ist in dieser Zustimmung nicht gleichzeitig eine Einwilligung in US-Datentransfers zu sehen. Letztere folgt völlig anderen Kriterien und Informationsvoraussetzungen (s.o.).

Daher gilt: Selbst wer sich bei einem US-Dienst an eine ggf. bestehende Cookie-Einwilligungspflicht hält, handelt datenschutzwidrig, wenn der Dienst personenbezogenen Daten in die USA übermittelt.

VI. Wie hoch ist das derzeitige Risiko für Seitenbetreiber, die US-Dienste nutzen?

Die Verwendung von US-Diensten auf Websites, die personenbezogene Daten in die USA übermitteln, ist derzeit (Stand 02/202) nicht rechtskonform möglich.

Seitenbetreiber, die derartige US-Dienste nutzen, handeln damit potenziell datenschutzwidrig.

Dies wiederum kann datenschutzrechtliche Aufsichts- und Bußgeldverfahren nach sich ziehen, für die in Deutschland die Datenschutzbehörden der Bundesländer zuständig sind.

Die Mandatslage der IT-Recht Kanzlei zeigt aber, dass die deutschen Datenschutzbehörden bislang kein großes Interesse erkennen lassen, Datenschutzverstöße durch US-Datentransfers bei kleinen und mittleren Unternehmen zu verfolgen.
Ins Visier werden vielmehr die „Big Player“, also große, wirtschaftsstarke Unternehmen mit beträchtlichen Umsätzen genommen. Auch richten sich Maßnahmen immer häufiger gegen die EU-Ableger amerikanischer Konzerne selbst.

Ein verbleibendes Risiko kann aber nicht gänzlich ausgeschlossen werden.

Wer ein solches gänzlich vermeiden will, sollte prüfen, ob für die US-Dienste ggf. Pendants aus der EU existieren, und sodann zu diesen wechseln.

VII. Zukunftsperspektive: Werden EU-US-Transfers wieder zulässig werden?

Ja, sogar bald schon.

Die EU-Kommission hat bereits im Dezember 2022 einen Entwurf für einen neuen Angemessenheitsbeschluss mit Wirkung für die USA veröffentlicht, der mit dem Titel „EU-US Data Privacy Framework“ das annulierte „Privacy Shield“ ersetzen soll.

Der Ausarbeitung des Entwurfs war eine „Executive Order“ des US-Präsidenten Biden vorangegangen, mit welcher letzte Datensicherheitsbedenken der EU institutionell ausgeräumt werden sollten.

Der neue Angemessenheitsbeschluss muss nun noch ratifiziert werden.

Hierfür ist zunächst eine Stellungnahme des „European Data Protection Board“ (EDPB) vorgesehen. Danach muss der Beschluss von einem Komitee aus Repräsentanten der Mitgliedsstaaten gebilligt werden.

Im Anschluss kann der neue Angemessenheitsbeschluss in Kraft treten und würde ab jenem Zeitpunkt sämtliche EU-US-Transfers wieder vollständig legitimieren.

Zu erwarten ist nach derzeitigem Stand, dass der neue Angemessenheitsbeschluss noch im Jahr 2023 in Kraft tritt.

VIII. Was ist Seitennetreibern bei der Nutzung von US-Diensten also zu raten?

Die Nutzung von US-Diensten auf Webseiten ist derzeit (Stand 02/2023) zwar potenziell datenschutzwidrig, wenn darüber personenbezogene Daten von Seitenbesuchern in die USA übermittelt werden.

Behördliche Aufsichtsverfahren und Sanktionen sind aber unwahrscheinlich, weil

  • Datenschutzbehörden bisher kaum Interesse zeigen, kleine und mittlere Unternehmen zu ahnden, sondern sich eher auf große, wirtschaftsprägende Marktakteure konzentrieren
  • in absehbarer Zeit ein neuer Angemessenheitsbeschluss in Form des EU-US Data Privacy Framework in Kraft tritt, der Datentransfers in die USA wieder vollständig legalisieren wird und Behörden voraussichtlich dazu veranlasst, bis dahin keine neuen Verfahren anzustreben

Seitenbetreibern kann also (unter Verweis auf ein bestehendes geringes Restrisiko) geraten werden, ihre derzeitige Seitenstruktur und den Einsatz von US-Diensten beizubehalten und so auf aufwändige und kostspielige Abhilfemaßnahmen zu verzichten. Bis EU-US-Datentransfers wieder allgemein legalisiert werden, dauert es nicht mehr lang.

Nur, wenn ohne großen Aufwand und ohne Einbuße an Funktionalität und Kompatibilität von einem US-Dienst auf ein europäisches Pendant gewechselt werden kann, sollte dies in Erwägung gezogen werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
(16.04.2024, 14:24 Uhr)
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(16.04.2024, 14:16 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei