Wie man Daten in Übereinstimmung mit der DSGVO in die USA überträgt
Wenn Sie die besten Datenverarbeitungstools verwenden möchten, müssen Sie diejenigen von US-Unternehmen verwenden. Wenn Sie diese Tools verwenden möchten, müssen Sie wahrscheinlich die persönlichen Daten Ihrer EU-Benutzer in die USA senden.
An dieser Stelle wird es für Unternehmen heikel, da auch die Rechte der Nutzer unter der DSGVO verletzt werden können.
In diesem Artikel wird erörtert, warum eine unbeschränkte Datenübertragung in die Vereinigten Staaten nicht möglich ist und wie Sie dies auf legale Weise bewerkstelligen können.
Online-Unternehmen sind auf Datenverarbeitungswerkzeuge von US-Firmen angewiesen. Es liegt ebenso im Interesse der EU-Nutzer, dass ihre Daten verarbeitet werden, sofern dies gesetzeskonform geschieht.
Bevor Sie allerdings Nutzerdaten an diese Werkzeuge übermitteln, müssen Sie die gesetzlichen Anforderungen erfüllen. Das Gesetz fordert, dass Sie eine rechtliche Grundlage für die Datenübertragung haben, wenn die DSGVO darauf anwendbar ist.
Warum diese ergänzenden Maßnahmen
Die EU und die US-Unternehmen konnten frei Daten auf der Grundlage der Safe-Harbour-Datenschutzprinzipien austauschen.
Und dann tauchte Max Schrems auf.
Maximillian Schremms ist ein Datenschutzaktivist aus Österreich. Er ist einer der Gründer von None of Your Business, einer gemeinnützigen Organisation, die gegen große Unternehmen kämpft, die personenbezogene Daten für Gewinne verarbeiten.
Facebook ist ein solches Unternehmen. Sie haben seine Daten und in die USA übertragen. Er beschwerte sich, dass die USA als Land nicht ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern bieten.
Der Gerichtshof der Europäischen Union (EuGH) entschied 2016 in seinem Sinne und annullierte die Prinzipien. Das Urteil wurde als Schrems-Entscheidung bezeichnet.
Ein Jahr später, im Jahr 2016, unterzeichneten die USA und die EU das Privacy Shield, eine Vereinbarung zwischen der EU und den USA, die Folgendes erlaubte:
- Jedes US-Unternehmen kann personenbezogene Daten nach Europa übertragen.
- Jedes EU-Unternehmen kann personenbezogene Daten an US-Unternehmen übertragen, die unter dem Privacy Shield zertifiziert sind.
Datenflüsse waren wieder relativ frei, und Facebook übertrug Max Schremms erneut in die USA, also tauchte er noch einmal auf. Er beschwerte sich, dass das Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern bietet.
Der EuGH entschied erneut in seinem Sinne und annullierte das Privacy Shield. Diese Entscheidung wurde als Schrems II-Entscheidung bezeichnet.
Was ist die Schrems II-Entscheidung?
Die Schrems II-Entscheidung hat das Privacy Shield zwischen der EU und den US-Unternehmen aufgehoben. Daher können sie EU-Benutzerdaten nicht frei in die USA übertragen.
Der Grund, warum sie dies nicht tun können, sind zwei kontroverse US-Gesetze:
The Foreign Intelligence Surveillance Act (FISA) 1978 ist das Gesetz, das es der US-Regierung ermöglicht, Ausländer und ausländische Regierungen auszuspionieren. Es enthält Verfahren zur Sammlung von Informationen über „ausländische Mächte und ihre Agenten, die verdächtigt werden, Spionage und Terrorismus zu betreiben“.
Wenn die US-Regierung denkt, dass jemand in Spionage und Terrorismus verwickelt sein könnte, können sie Informationen über diese Person sammeln.
Die EDPB-Richtlinien erwähnen dieses Gesetz ausdrücklich als Beispiel für ein Gesetz, das ein Hindernis für die Übermittlung von Daten in ein Drittland darstellt (siehe Seite 15).
The Clarifying Overseas Use of Data Act (CLOUD Act) 2018 ermöglicht es der US-Regierung, alle persönlichen Informationen anzufordern, die auf Servern von US-Unternehmen gespeichert sind oder von ihnen betrieben werden.
Das bedeutet, dass, wenn Ihre Daten auf Amazon Web Services (AWS)-Servern gespeichert sind und die US-Behörden einen Haftbefehl für die Offenlegung solcher Informationen ausstellen, AWS keine andere Wahl hat, als ihnen die Informationen zu übergeben.
Es spielt keine Rolle, wo sich die Server befinden – ob in den USA, der EU, Asien oder anderswo. Jedes US-Unternehmen muss der Anfrage gehorchen.
Es ist erwähnenswert, dass Regierungen sich in Strafsachen gegenseitig helfen, aber es gibt viel Bürokratie, was den Prozess sehr langsam macht. Als Ergebnis sind die Behörden oft zu spät bei der Reaktion auf Straftaten. Die US-Regierung will den Prozess mit dem CLOUD Act optimieren, aber die EDPB ist damit nicht zufrieden.
Zusammenfassend können die US-Behörden Ausländer ausspionieren, die möglicherweise in Spionage und Terrorismus verwickelt sind, und persönliche Daten, die auf Servern von US-Unternehmen auf der ganzen Welt gespeichert sind, anfordern.
Das ist der Grund, warum die EDPB besorgt ist, dass Sie Daten von EU-Benutzern in die USA senden.
Übertragen Sie Daten in die USA?
Wenn Sie sich fragen, ob Sie personenbezogene Daten in die USA übertragen oder nicht, überprüfen Sie, ob Sie Drittanbieter-Tools zur Verarbeitung von Daten verwenden, auf die die DSGVO Anwendung findet.
Die DSGVO gilt für:
- personenbezogene Daten, die von einem EU-Unternehmen gesammelt werden, und
- personenbezogene Daten von EU-Benutzern, die von jedem gesammelt werden.
Drittanbieter-Tools für die Datenverarbeitung können Amazon Web Services, Mailchimp, Convertkit, Facebook, Google Analytics und jedes andere Tool sein, das etwas mit Ihren Daten macht.
Wenn Sie personenbezogene Daten sammeln, müssen Sie diese verarbeiten, um bestimmte Ergebnisse zu erzielen. Sie verwenden beispielsweise Convertkit, um E-Mail-Adressen zu sammeln, Benutzer zu segmentieren und ihnen personalisierte E-Mails zu senden.
Das bedeutet, dass Convertkit deine Daten verarbeitet. Das bedeutet auch, dass du Daten an einen US-amerikanischen Datenverarbeiter übermittelst.
Der einzige Fall, in dem du keine Daten von EU-Benutzern überträgst
Das bedeutet jedoch nicht, dass jedes Stück Daten von EU-Benutzern, das an einen US-amerikanischen Datenverarbeiter gesendet wird, ergänzende Maßnahmen erfordert.
Wenn du kein EU-Unternehmen bist, gilt die DSGVO nur für deine Beziehung zu EU-Benutzern.
Das bedeutet, dass du nur dann das Gesetz einhalten musst, wenn du mit jemandem aus einem EU-Mitgliedsstaat interagierst. In diesem Fall benötigst du keine ergänzenden Maßnahmen, wenn du:
- ihre Einwilligung zur Verarbeitung rechtmäßig sammelst und
- sie in der Datenschutzrichtlinie informierst, dass du Drittanbieter-Verarbeitungstools verwendest, die Daten in den USA verarbeiten.
Auf diese Weise erhältst du die Zustimmung zur Übertragung bei der Sammlung. Wenn der Benutzer der Verarbeitung in den USA zustimmt, kannst du diese in den Staaten frei verarbeiten.
Der Sechs-Schritte-Prozess für Datenübertragungen in die USA gemäß der DSGVO
Wenn du feststellst, dass du Daten von EU-Benutzern aus der EU in die USA überträgst, musst du den von der EDPB empfohlenen Sechs-Schritte-Prozess für Datenübertragungen implementieren und du kannst die Datenübertragungen fortsetzen.
Bis du damit einverstanden bist, musst du jedoch die Datenübertragungen einstellen.
Die gute Nachricht ist, dass du deine wertvollen Datenverarbeitungstools, die von US-amerikanischen Unternehmen bereitgestellt werden, weiterhin nutzen kannst. Die schlechte Nachricht ist, dass du vor der Fortsetzung einige Arbeit leisten musst.
Dieser Prozess lautet wie folgt:
1. Beurteile deine Datenübertragungen
Wenn du bereits herausgefunden hast, ob du Daten in die USA überträgst, wie oben beschrieben, bist du möglicherweise mit diesem Schritt fertig.
Du musst dich deiner Datenübertragungen bewusst sein. Das bedeutet, dass du wissen musst, von wem du die Daten sammelst und dann wohin du sie zur Verarbeitung überträgst.
Wenn deine Datenübertragungen die Übermittlung von Daten in die USA beinhalten, lies weiter.
2. Überprüfe die Übertragungstools, auf die deine Übertragungen angewiesen sind
Wenn du sicher bist, dass du Daten in ein Drittland sendest, musst du deine Übertragungstools bewerten.
Die DSGVO definiert Übertragungstools als die rechtliche Grundlage für die Übertragung von Daten in ein Drittland. Dazu gehören:
- Angemessenheitsbeschlüsse
- Standardvertragsklauseln (SCCs)
- Unternehmensinterne Datenschutzvorschriften (BCRs)
- Benutzerzustimmung
- Öffentliches Interesse und andere ausdrücklich in der DSGVO genannte Ausnahmen.
Das Privacy Shield war eine Scheinangemessenheitsentscheidung zwischen der EU und den USA, die den freien Fluss personenbezogener Daten ermöglichte, aber jetzt nicht mehr existiert.
Das bedeutet, dass Sie sich auf SCCs, BCRs oder die Zustimmung der Benutzer verlassen müssen (andere Gründe sind in den meisten Szenarien unwahrscheinlich).
3. Beurteilen Sie die Risiken, die die US-Gesetze mit sich bringen
Der dritte Schritt erfordert, dass Sie die Risiken der nationalen Gesetzgebung für Ihre Datenübertragungen bewerten.
Im Falle von Übertragungen in die USA umfasst dies das Risiko, dass Ihre US-Datenverarbeiter Ihre Daten auf Anfrage der US-Behörden offenlegen.
Wenn Sie auch Daten in andere Länder übertragen, bewerten Sie nicht die mit deren Gesetzen verbundenen Risiken.
4. Identifizieren und Übernehmen Sie Zusätzliche Maßnahmen zum Schutz Ihrer Daten
Dieser Schritt umfasst den größten Teil der harten Arbeit. Wenn Sie wissen, dass Sie Daten in ein riskantes Land übertragen, müssen Sie Sicherheitsmaßnahmen zum Schutz Ihrer Daten implementieren.
Die EDPB bietet Richtlinien zu diesen Maßnahmen. Sie geben Unternehmen eine Vorstellung davon, was sie tun könnten, um die Daten der Benutzer zu schützen und mit der DSGVO konform zu bleiben.
Es gibt zwei Fälle, in denen keine Maßnahmen für eine rechtmäßige Datenübertragung ausreichen:
- Die Übertragung von Daten in unverschlüsselten Clouds, bei denen Behörden auf die Daten zugreifen können, in einer Weise, die in einer demokratischen Gesellschaft nicht zu erwarten ist, oder
- Der Remote-Zugriff auf Daten in einem Drittland, bei dem Behörden auf die Daten in einer Weise zugreifen können, die in einer demokratischen Gesellschaft nicht zu erwarten ist.
In allen anderen Fällen können Sie sich auf geeignete Sicherheitsmaßnahmen verlassen.
Diese Maßnahmen können technischer, organisatorischer und vertraglicher Natur sein. Hier ist eine Zusammenfassung davon:
Technische Maßnahmen
Ihre technischen Maßnahmen funktionieren, wenn sie sicherstellen, dass der Datenschutz im Drittland dem in der EU bereitgestellten angemessen ist.
Mit anderen Worten, technische Maßnahmen sollten sicherstellen, dass US-Behörden nicht an die Daten Ihrer Benutzer gelangen können.
Hier sind einige Beispiele dafür, was eine angemessene technische Maßnahme ausmacht:
Datenverschlüsselung
Datenverschlüsselung ist eine wirksame technische Maßnahme, solange sie den folgenden Anforderungen entspricht:
- Die personenbezogenen Daten werden vor der Übermittlung an die Datenverarbeitungstools verschlüsselt. Das bedeutet, dass du die Daten verschlüsselt senden musst und nicht darauf vertrauen kannst, dass der Datenprozessor deine Daten verschlüsselt.
- Nur du kontrollierst die Verschlüsselungsschlüssel, was bedeutet, dass der Datenprozessor nicht auf die Daten zugreifen kann, ohne dass du ihm den Zugriff gewährst. Dadurch soll gewährleistet werden, dass der Datenprozessor bei einer Aufforderung durch eine Behörde, der er folgen muss, keine Möglichkeit hat, die Daten bereitzustellen, da nur du die Verschlüsselungsschlüssel besitzt.
- Die Verschlüsselung muss auf dem neuesten Stand sein.
Verschlüsselung von Daten, die lediglich durch Drittländer transportiert werden
Sie möchten möglicherweise Daten in ein angemessenes Land übertragen, aber es muss durch ein unsicheres Land transportiert werden. In diesem Fall können Sie eine moderne Verschlüsselung in Betracht ziehen, damit:
- Daten nur im Zielort entschlüsselt werden können
- Der Transfer auf dem neuesten Stand ist
- Sie allein die Entschlüsselungsschlüssel kontrollieren.
Pseudonymisierung von Daten
Pseudonymisierte personenbezogene Daten sind keine so gute Maßnahme wie die Verschlüsselung von Daten, aber es ist ausreichend, wenn sie den folgenden Anforderungen entsprechen:
- Eine Einzelperson kann ohne zusätzliche Informationen nicht identifiziert werden.
- Diese zusätzlichen Informationen müssen in der Europäischen Union gespeichert werden.
- Eine Einzelperson kann nicht durch einen Vergleich von Daten, die von einem Drittland besessen werden, identifiziert werden.
- Nur du besitzt den Pseudonymisierungsalgorithmus.
Aufteilung oder Mehrparteienverarbeitung
Sie können Ihre Daten aufteilen, so dass eine Einzelperson nicht identifiziert werden kann und sie an mehrere Datenprozessoren übertragen, ohne dass die Daten, die andere Prozessoren erhalten haben, offengelegt werden.
Auf diese Weise könnten Sie Ihre Daten von Prozessoren in Drittländern verarbeiten lassen, ohne dass eine natürliche Person identifiziert werden kann.
Die Aufteilung der Datenverarbeitung muss den folgenden Anforderungen entsprechen:
- Die separaten Datenbatches sollten an separate Entitäten in verschiedenen Rechtsordnungen gesendet werden.
- Mit den aufgeteilten Daten kann keine Einzelperson identifiziert werden.
- Der Verarbeitungsalgorithmus ist sicher.
- Es gibt keine Anhaltspunkte dafür, dass Behörden aus beiden (oder allen) Rechtsordnungen bei der Zugriff auf die Daten zusammenarbeiten.
- Eine Einzelperson kann nicht durch einen Vergleich von Daten, die von einem Drittland besessen werden, identifiziert werden.
Eine Einzelperson kann nicht durch einen Vergleich von Daten, die von einem Drittland besessen werden, identifiziert werden.
Sie können Daten frei an geschützte Empfänger personenbezogener Daten wie Anwälte oder Ärzte übertragen, wenn:
- das Drittland das Privileg der Kommunikation mit ihnen schützt
- dieses Privileg alle Arten von Informationen einschließlich Verschlüsselungsschlüssel, Passwörter usw. umfasst
- sie in keinem Fall verpflichtet sind, personenbezogene Daten an Behörden weiterzugeben
- die Verschlüsselung auf dem neuesten Stand ist
- nur Sie die Verschlüsselungsschlüssel kontrollieren
Organisatorische Maßnahmen
Organisatorische Maßnahmen sollen Ihrem Unternehmen helfen, die technischen Maßnahmen reibungslos umzusetzen. Sie ergänzen sich gegenseitig. Die Umsetzung von organisatorischen Maßnahmen ohne technische Maßnahmen ist nutzlos.
Die häufigsten organisatorischen Maßnahmen umfassen:
- interne Richtlinien zur Umsetzung der technischen Maßnahmen (solange sie mit den EU-Gesetzen vereinbar sind)
- Organisationsmethoden
- Datenminimierungsmethoden
- Transparenz- und Rechenschaftspflichtmaßnahmen
- Annahme von Standards und bewährten Verfahren
Beschränken Sie sich nicht auf diese Maßnahmen. Passen Sie sie entsprechend Ihrem Unternehmen an.
Vertragliche Maßnahmen
Verwenden Sie vertragliche Maßnahmen nur in Kombination mit technischen und organisatorischen Maßnahmen. Wenn Sie vertragliche Maßnahmen in Ihre Verträge mit US-amerikanischen Datenverarbeitern aufnehmen, aber die erforderlichen technischen und organisatorischen Maßnahmen nicht umsetzen, sind Sie nicht konform mit der DSGVO.
Die EDPB-Empfehlungen listen viele Vertragsklauseln auf, um Ihre Verträge mit Datenverarbeitern zu bereichern, um die Übertragungsanforderungen zu erfüllen.
5. Nehmen Sie die erforderlichen Verfahrensschritte vor
Der fünfte Schritt erfordert von Ihnen, die erforderlichen Verfahrensschritte zur Umsetzung der Maßnahmen aus dem vierten Schritt vorzunehmen.
Dies bedeutet, dass Sie Ihre ergänzenden Maßnahmen in Ihre SCCs oder BCRs aufnehmen und gegebenenfalls in die Datenschutzrichtlinie aufnehmen müssen.
6. Überprüfen Sie den Schutz in angemessenen Abständen
Überprüfen Sie Ihre Übertragungen, Ihre Übertragungswerkzeuge und die Risiken der relevanten nationalen Gesetzgebung in angemessenen Abständen, um sicherzustellen, dass Sie konform sind.
In der Praxis würde dies bedeuten, eine solche Bewertung alle 6 bis 12 Monate durchzuführen, bei der Sie prüfen, wie und wo Sie Daten übertragen, die rechtliche Grundlage dafür und eventuelle neue Risiken.
Die neuen Risiken betreffen in der Regel Änderungen in Gesetzen und Vorschriften, Änderungen im politischen Umfeld, Änderungen der Serverstandorte von Verarbeitern usw.
Der Schritt-für-Schritt-Prozess
Um es zusammenzufassen, hier ist ein Prozess, dem Sie folgen könnten, um rechtskonforme Datenübertragungen durchzuführen:
- 1. Stellen Sie sicher, dass die DSGVO auf Sie zutrifft
- 2. Wenn dies der Fall ist, bewerten Sie Ihre Datenverarbeiter
- 3. Überprüfen Sie, wo Ihre Verarbeiter Daten verarbeiten
- 4. Bewerten Sie Ihre Datenübertragungswerkzeuge
- 5. Wenn Sie Daten in die USA (oder andere Drittländer mit ähnlichen Risiken) übertragen, erkennen Sie an, dass Sie ergänzende Maßnahmen benötigen
- 6. Bewerten Sie Ihre spezifische Situation und entscheiden Sie, welche technischen, organisatorischen und vertraglichen Maßnahmen Sie benötigen. Wenn Sie Hilfe benötigen, ist es ratsam, mit einem Datenschutzanwalt und IT-Personal zu sprechen.
- 7. Setzen Sie die Maßnahmen um
- 8. Fügen Sie die Maßnahmen in Ihre Richtlinien, Verträge und andere Dokumente ein, wo erforderlich
- 9. Behalten Sie Änderungen relevanter Gesetze im Auge, die Ihre Datenübertragungen beeinflussen könnten.
Glauben Sie, dass ein Unternehmen Ihre Daten unrechtmäßig in die USA überträgt?
Wenn Sie nur ein normaler Benutzer einer Website oder App sind, dessen Daten in einer Weise in die USA übertragen werden, die gegen die Grundsätze der DSGVO verstößt, können Ihre Rechte aus der DSGVO verletzt werden.
Um herauszufinden, ob dies der Fall ist, müssen Sie eine Anfrage als betroffene Person stellen. Aber nicht irgendeine Anfrage als betroffene Person.
Stellen Sie eine Anfrage, um Informationen zur Datenverarbeitung zu erhalten. Wenn Sie diese einreichen, vergessen Sie nicht, Informationen zu Datenübertragungen und der rechtlichen Grundlage der Übertragungen anzufordern.
Wenn der Datenverantwortliche die Anfragen über ein Kontaktformular erhält, das keine Anpassung der Empfehlungen zulässt, warten Sie einfach auf ihre Antwort. Wenn es keine Details zu den Übertragungen enthält, reichen Sie eine zusätzliche Anfrage per E-Mail ein.
Wenn sie Daten in die USA übertragen, aber keine rechtliche Grundlage dafür haben oder nicht ausreichende Maßnahmen ergriffen haben, haben Sie ein paar Möglichkeiten:
- Lassen Sie es sie wissen, bitten Sie sie, sich an das Gesetz zu halten und sehen Sie, was passiert
- Legen Sie bei der zuständigen Datenschutzbehörde Beschwerde ein.
Wenn der Datenverantwortliche Daten gegen die DSGVO in die USA übertragen hat, aber sich dessen nicht bewusst ist, sind sie vielleicht bereit, dies zu ändern.
In jedem anderen Fall kann es erforderlich sein, die Datenschutzbehörde einzubeziehen.
Ein Unternehmen kann auch eine saftige DSGVO-Strafe erhalten, wenn es sich nicht an die EU-Vorschriften hält.
Die Takeaways
Wenn Sie ein Unternehmen sind, das personenbezogene Daten verarbeitet, sollten Sie verstehen, dass Datenübertragungen in die USA ein riskantes Geschäft sind.
Obwohl viele dies als eine weitere Belastung betrachten, die die EU den Unternehmen weltweit auferlegt, sollten Sie wissen, dass dies zum Wohl der Benutzer geschieht. Ihre Daten müssen geschützt werden.
Die technischen Maßnahmen sind nicht schwer umzusetzen. Wenn Sie nicht wissen, wo Sie anfangen sollen, ist es ratsam, sich an einen IT-Experten und einen Anwalt zu wenden.