Zugegeben, die obige Frage ist ein wenig provokant formuliert. Aber spätestens seit dem Urteil des EuGH vom 16.7.2020, Aktenzeichen C-311/18, ist diese Frage berechtigt.

In diesem Urteil hat der EuGH die Verarbeitung von personenbezogenen Daten in den USA lediglich auf Grundlage des EU-US Privacy Shield für illegal erklärt.

Zahlreiche Unternehmen des Mittelstands verarbeiten ihre Daten in den USA. Regelmäßig geschieht dies durch Beauftragung von Dienstleistern, die ihren Sitz in den USA haben und insbesondere dort personenbezogenen Daten ihrer Kunden im Auftrag verarbeiten. Dies kann z.B. dann der Fall sein, wenn sich Unternehmen Cloud Lösungen zur Verarbeitung ihrer personenbezogenen Daten bedienen. Auch große IT-Dienstleister, die ihren Sitz in den USA haben verarbeiten, demnach regelmäßig im Auftrag für ihre europäischen Kunden personenbezogenen Daten in den USA.

Bislang ist man davon ausgegangen, dass diejenigen Dienstleister und Unternehmen aus den USA, die nach dem EU-US Privacy Shield zertifiziert sind, für Verarbeitung von personenbezogenen Daten im Auftrag herangezogen werden können, da durch diese Zertifizierung gewährleistet werden sollte, dass die Verarbeitung in den USA dem Schutzniveau der Datenverarbeitung in der EU entspricht.

Der EuGH hält das EU-US Privacy Shield nicht für rechtswirksam. In den USA herrsche nicht das gleiche Datenschutzniveau vor, wie in den Ländern der EU. Hintergrund ist, dass US-amerikanischen Dienstleister gesetzlich verpflichtet sind, an US-Ermittlungsbehörden sämtliche Inhalte und Informationen zu offenbaren, die sie für ihre Kunden speichern und verarbeiten. Dies gilt im Übrigen sogar für europäische Töchter dieser US-Unternehmen, und zwar sogar dann, wenn die Datenverarbeitung in der EU stattfindet.

Dies bedeutet, dass z.B. auch ein US-amerikanisches Tochterunternehmen mit Sitz in Deutschland, welches auf einem Server in Deutschland Daten seiner Kunden verarbeitet, gehalten ist entsprechende Informationen im Bedarfsfall an die US Behörden weiterzuleiten.

Dies steht selbstverständlich im diametralen Widerspruch zu den europäischen Datenschutzgesetzen und zu dem Recht auf Informationsfreiheit.  Gefährlich wird es immer dann, wenn hierbei auch noch die Problematik von berufsrechtlichen besonderen Pflichten zur Verschwiegenheit mit hineinspielt, so z.B. die Pflicht zur anwaltlichen Verschwiegenheit, die Verpflichtung zur Verschwiegenheit von Ärzten, Steuerberatern usw.

Der EuGH geht allerdings davon aus, dass grundsätzlich personenbezogene Daten in den USA dann noch verarbeitet werden dürfen, wenn die Parteien einen Vertrag zur Auftragsverarbeitung nach den Standardklauseln der Kommission vereinbart haben. Dies ist regelmäßig in den Lizenzbedingungen der großen Softwareanbieter aus den USA mit vereinbart. Allerdings stellt der EuGH darauf ab, daß gewährleistet sein muss, dass die darin verankerten gegenseitigen Rechte und Pflichten auch tatsächlich von den in den USA ansässigen Firmen eingehalten werden.

Um es vorwegzunehmen, es bestehen große Bedenken, dass die US-Unternehmen entsprechend den Vorstellungen der europäischen Gesetzgeber und des EuGH den Anforderungen an den Datenschutz gerecht werden können, dass sie eben zumeist anderen gesetzlichen Verpflichtungen in ihren Heimatländern unterliegen. Aus diesem Grund hat der EuGH die Aufsichtsbehörden angehalten, notfalls eine Übermittlung von Daten in den USA zu untersagen.

Bemerkenswert ist natürlich, dass für den Fall, dass die Aufsichtsbehörden zu dem Ergebnis gelangen, dass in den USA nach Standardvertragsklauseln grundsätzlich nicht rechtens personenbezogene Daten verarbeitet werden können, sämtliche Unternehmen gehalten sind hier zu reagieren.

Hier gibt es keine Übergangsfristen!

Als eine der ersten Aufsichtsbehörden hat der Landebeauftrage für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz Handlungsanweisungen zu diesem Urteil veröffentlicht.

Die Seite kann aufgerufen werden unter (Stand 20.07.2020):

https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

Hiernach müssen sich Verantwortliche in der EU im Zusammenhang mit der Verwendung von Standardvertragsklauseln folgende Fragen stellen:

„a)       Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?

b)         Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?

c)         Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen, so dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können?

d)         Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden?

e)         Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Nehmen Sie Kontakt mit künftigen Vertragspartner in Ländern auf, in denen die Daten besser geschützt sind.“

Auch zahlreiche weitere Fragen werden auf dieser Seite seitens der Aufsicht beantwortet.

Aus unserer Sicht ist es empfehlenswert sich Gedanken über Alternativen der Datenverarbeitung innerhalb der EU zu machen.

Zu erwarten wird sein, dass sich die Aufsichtsbehörden mit zahlreichen großen Dienstleistern aus den USA auf einen Modus verständigen wollen, inwieweit die jeweiligen US Anbieter für ihre europäischen Kunden gewährleisten können, dass das Datenschutzniveau für die Verarbeitung der personenbezogenen Daten der EU Kunden auch bei Verarbeitung von US-Anbietern gewährleistet wird. Denkbar ist insoweit auch, dass die US-Anbieter Kooperationen mit europäischen Dienstleistern eingehen werden, die nicht den entsprechenden US-amerikanischen Regularien zur Offenlegung von Informationen an Ermittlungsbehörden unterliegen.

Dies alles bleibt jedoch abzuwarten. Im ungünstigsten Fall, könnte die Übermittlung von Daten in die USA im Einzelfall für unzulässig erklärt werden. Sollten Sie hier dann weiterhin auf entsprechende US-amerikanische Dienstleister ersetzen, so droht Ihnen ein Bußgeld, sofern sie personenbezogenen Daten in die USA übermitteln.

Soweit Sie unsicher sein sollten, ob bei Ihnen Datenübertragung in die USA stattfindet, und ob dies weiterhin rechtens möglich ist, so nehmen sie gerne mit uns Kontakt auf.

Cornelius Weiß Rechtsanwalt

Karlsruhe, den 20.07.2019