Datentransfer in die USA – aktuelle Entwicklungen

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat kürzlich ein in Auftrag gegebenes Gutachten zum aktuellen Stand des US-Überwachungsrechts und Überwachungsbefugnisse veröffentlicht. Demnach sind die Zugriffsrechte von US-Behörden weiter als gedacht. In Zukunft dürfte es für Unternehmen daher noch schwieriger werden, im Rahmen der vorgeschriebenen Risikobewertung einen datenschutzkonformen Datentransfer in die USA zu argumentieren.

Hintergrund

Mit dem Schrems II-Urteil hat der Europäische Gerichtshof am 16.07.2020 die EU-US-Datenschutzvereinbarung „Privacy-Shield“ für ungültig erklärt. Ein Großteil der Unternehmen haben daraufhin für den Datentransfer in die USA auf die Standardvertragsklauseln („SCC“) zurück gegriffen. Im Nachgang zu der Schrems II-Entscheidung hat die Europäische Kommission im Juni 2021 – wie wir bereits berichtet hatten – neue Standardvertragsklauseln verabschiedet. Allerdings genügt allein der Abschluss der SCC nicht für einen datenschutzkonformen Datentransfer in ein Drittland. Vielmehr treffen das Unternehmen als Datenexporteur weitere erhebliche Pflichten.

Transfer Impact Assessment (TIA)

So müssen die Parteien u.a. nach Klausel 14 lit. a) der SCC zusichern, dass sie keinen Grund zu der Annahme haben, dass die Gesetze im Bestimmungsdrittland (in unserem Fall also USA) den Datenimporteur an der Erfüllung seiner Pflichten hindern. Es muss also geprüft werden, ob der Datenimporteur durch geltende Gesetze im Drittland gezwungen sein kann, gegen die Regeln der SCC zu verstoßen. Unternehmen, die personenbezogene Daten in ein Drittland transferieren, müssen dafür eine Bewertung des Datenschutzniveaus in diesem Land vornehmen und – sofern erforderlich – weitere Schutzmaßnahmen prüfen. Diese Risikobewertung ist in einem sog. Transfer Impact Assessment (TIA) zu dokumentieren.

Im Falle eines Datentransfers in die USA muss also das exportierende Unternehmen prüfen, ob der in den USA ansässige Datenimporteur im konkreten Einzelfall tatsächlich die Regelungen der SCC einhalten kann. Maßgeblich sind dafür insbesondere die rechtlichen Möglichkeiten von US-amerikanischen Behörden auf die betroffenen personenbezogenen Daten zuzugreifen.

Gutachten zum US-Überwachungsrecht und Überwachungsbefugnissen

Vor diesem Hintergrund hat die DSK das Datenschutzniveau in den USA analysieren lassen. Das Gutachten von Prof. Stephen I. Vladeck von der University of Texas School of Law wurde Ende Januar von der DSK veröffentlicht. Nach dem Gutachten bestehen weitreichende Zugriffsmöglichkeiten von Sicherheitsbehörden und Geheimdiensten insbesondere gemäß Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA):

  • Weiter Anwendungsbereich: Neben den klassischen IT- und Telekommunikationsunternehmen fallen auch andere Unternehmen in den Anwendungsbereich, z.B. Banken, Fluggesellschaften, Hotels oder Versanddienstleister.
  • Es ist nicht erforderlich, dass der jeweilige Dienst öffentlich zur Verfügung steht. Vielmehr genügt es nach einem Gerichtsurteil, dass ein Unternehmen seinen Mitarbeitern einen E-Mail-Dienst bereitstellt, um in den Anwendungsbereich zu gelangen.
  • Alle Datenarten sind betroffen. Im vorstehenden Fall wären also nicht nur die Daten im Zusammenhang mit dem E-Mail-Dienst, sondern alle Daten des Unternehmens erfasst.
  • Sofern sich Daten auf US-Servern befinden oder über eine US-Infrastruktur übertragen werden, können die Daten Sec. 702 FISA unterfallen, unabhängig davon, wo sich das Unternehmen befindet, dem die Server und/oder Infrastruktur gehören.
  • Verstoß gegen europäisches Datenschutzrecht durch einen Zugriff ist für US-Behörde bei Beurteilung irrelevant.
  • Rechtsbehelfe gegen den Zugriff auf Daten betroffener EU-/EWR-Bürger sind kaum verfügbar.

Konsequenzen

Das Gutachten selbst hat keine unmittelbar verbindliche Wirkung. Die DSK bewertet derzeit noch die Konsequenzen, die sich aus den Feststellungen des Gutachtens ergeben. Ungeachtet dessen dürfte es für Unternehmen jetzt noch schwieriger werden, im Rahmen von TIAs einen Datentransfer in die USA zu rechtfertigen.

Autorin

  • Handels- und Vertragsrecht
  • IT-Recht
  • Datenschutz
  • Compliance
  • IP und Wettbewerbsrecht