th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Internationaler Datenverkehr EU-USA

Besonderheiten bei der Datenübermittlung in die USA

Allgemein

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland). Der internationale Datenverkehr personenbezogener Daten mit den USA darf sich daher nicht mehr auf das Privacy Shield stützen.

Das Privacy Shield war ein Abkommen zwischen der EU und den USA, welches die Übermittlungsmöglichkeiten und deren Voraussetzungen im Hinblick auf personenbezogene Daten von der EU in die USA regelte. Mit dem Privacy Shield sollte ein Nachfolger für das vorherige Abkommen, Safe Harbor, gefunden werden, das bereits 2015 vom EuGH für ungültig erklärt wurde („Urteil Schrems I“).

Dieses Abkommen war eine sogenannte „Angemessenheitsentscheidung“, mit der festgestellt wurde, dass die USA ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU an US-Unternehmen, die sich diesem „Privacy Shield“ unterworfen haben, gewährleistet haben. US-Unternehmen hatten die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.

Beispiele: Typische Anwendungsfelder von Datentransfers in die USA werden durch Tools auf der Webseite veranlasst, z.B. Reichweitenmessungen, Trackingtools, Third-Party-Cookies, Datenhosting in den USA. Aber auch andere digitale Lösungen können einen Datentransfer in die USA verursachen, z.B. Cloud-Lösungen, Mailings, Social-Media-Plugins wie Facebook-Like-Button etc. 

Im Fall der USA kam der EuGH zum Ergebnis, dass aufgrund der in den USA vorherrschenden Überwachungsgesetze und -programme (allen voran „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act), den Eingriffen in die Grundrechte der betroffenen Personen und aufgrund des Mangels an Schutzmaßnahmen oder Garantien gegen solche Eingriffe das Datenschutzniveau der EU nicht eingehalten wird. Auch der „Ombudsmannmechanismus“ gewährleiste die Durchsetzung der Rechte nicht. Aus diesem Grunde wurde das Privacy Shield für ungültig erklärt. 

Ob das datenempfangende US-Unternehmen überhaupt ein „elektronischer Diensteanbieter“, wie in der beanstandeten Regelung des Section 702 Intelligence Surveillance Act (FISA) gefordert, ist, ist im Einzelfall zu prüfen. Üblicherweise sind das z.B.: Telekommunikationsanbieter, Clouddiensteanbieter, Anbieter elektronischer Kommunikationsdienste. Im Zweifel können Unternehmen, die das abklären möchten, einen Fragebogen (wie z.B. von NOYB) an das US-Unternehmen schicken, um abzuklären, ob das Unternehmen unter die strengen Überwachungsgesetze der USA fällt, welche vom Europäischen Gerichtshof problematisch gesehen wurden. 

Ist eine Übermittlung auf Basis der Standarddatenschutzklauseln (SDK, SCC) möglich?

Zu den Standarddatenschutzklauseln entschied der EuGH, dass diese grundsätzlich gültig bleiben. Laut EuGH sind Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, aber dafür verantwortlich, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht oder die Praxis des jeweiligen Drittlandes die Wirksamkeit der oben genannten geeigneten Garantien beeinträchtigt.

Die Gültigkeit der Klauseln hängt daher davon ab, ob diese wirksame Mechanismen für die Einhaltung des Schutzniveaus gewährleisten, z.B. ob die Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen die Klauseln verstoßen wird. Die Kommission erarbeitete eine umfassende Modernisierung der Standardklauseln, um sie angesichts der neuen Anforderungen der DSGVO und der Anforderungen von Schrems II zu aktualisieren.

Die neuen Klauseln nehmen diese und auch die Empfehlungen des Europäischen Datenschutzausschusses zu vertraglichen Schutzmaßnahmen nun im Grunde auf. Es ist zudem wichtig, auch technische Maßnahmen (wie bspw. Anonymisierungsmaßnahmen) zu implementieren, da vertragliche Maßnahmen insb. im Hinblick auf die USA als nicht ausreichend gesehen werden (s. dazu die Information der Datenschutzbehörde: Internationaler Datenverkehr - Datenschutzbehörde (dsb.gv.at)).

Aktuelle Problemfälle:

Die österreichische Datenschutzbehörde hat in einer Entscheidung vom Dezember 2021 die Implementierung des Analysetools Google Analytics auf einer Webseite hinsichtlich des Datentransfers in die USA geprüft. Ausgangspunkt waren 101 Beschwerden der NGO NOYB (My Privacy is non of your Business) hinsichtlich der Verwendung von Trackingmaßnahmen, welche durch die Nutzung Daten in die USA übermitteln. 

Die getroffenen vertraglichen, aber auch die technischen und organisatorischen Maßnahmen wurden in diesem Fall für nicht ausreichend befunden, weshalb kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten (den gesamten digitalen Fußabdruck von IP-Adresse sowie anderer Online-Kennungen) in die USA bestand. Es wurde daher mit Bescheid festgestellt, dass Webseiten-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können.

Der Bescheid der Datenschutzbehörde ist noch nicht rechtskräftig. Andere Entscheidungen von anderen europäischen Aufsichtsbehörden sind allerdings bereits mit den gleichen Ergebnissen veröffentlicht worden.

Sollten daher bei der Verwendung derartiger Analysetools keine ausreichenden Pseudonymisierungs-, Verschlüsselungs- oder Anonymisierungsmaßnahmen aller personenbezogenen Daten (Nutzer-Identifikations-Nummern, IP-Adresse, Browserparameter etc.) vor der Übermittlung an Google durch den Webseitenbetreiber durchgeführt werden können, ist es empfehlenswert, auf alternative Anbieter innerhalb der EU umzusteigen. 

Welche anderen Möglichkeiten der Datenübermittlung in die USA gibt es?

Angemessenheitsbeschlüsse und Standarddatenschutzklauseln sind zwei der Möglichkeiten für einen rechtmäßigen internationalen Datenverkehr. Es gibt auch andere, wie z.B. die ausdrückliche Einwilligung der betroffenen Personen im Einzelfall oder die Erforderlichkeit für die Erfüllung eines Vertrages mit der betroffenen Person vgl. EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr

Achtung: Es ist nach derzeitigem Diskussionsstand aber fraglich, ob massenweise Datenverarbeitungen über Webseiten mit einer Einwilligung arbeiten können, weil hier nicht mehr von einem „Einzelfall“ gesprochen werden kann. Wer eine risikolose Datenverarbeitung möchte, muss sich um geeignete technische Sicherheitsmaßnahmen für die transferierten personenbezogenen Daten (Verschlüsselung, Pseudonymisierung oder Anonymisierung) kümmern oder sollte sich für europäische Alternativen entscheiden.

Weiterführende Informationen

Stand: