In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.

Schritt 1: Überprüfung des externen Datentransfers

Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.

Schritt 2: Relevante Grundlage des Datentransfers bestimmen

Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:

• Es liegt ein Angemessenheitsbeschluss der EU für ein bestimmtes Land vor. Einen solchen gibt es derzeit (!) für folgende Länder: Andorra, Argentinien, Kanada bei privaten Stellen, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Mit Unternehmen in diesen Ländern dürfen Sie Daten ohne weitere Garantien austauschen.
• Mit dem entsprechenden Unternehmen wurden sogenannte Standardvertragsklauseln vereinbart. Diese Klauseln sind meist ein Anhang zum Auftragsverarbeitervertrag. Fordern Sie die entsprechenden Verträge bei Ihrem Dienstleister an.
• Wenn ein Konzern interne Datenschutzrichtlinien – sogenannte „Binding Corporate Rules“ – verwendet, die von der EU akzeptiert wurden und Ihnen diese übermittelt, gelten diese auch als entsprechende Garantie.
• Auch eine Einwilligung der betroffenen Person kann als geeignete Garantie bewertet werden. Eine Einwilligung reicht nur in Ausnahmefällen aus, beispielsweise bei „nicht regelmäßigen Verarbeitungen“. Achtung: Ein CRM, das Daten in Amerika verarbeitet, oder ein Newsletter-Tool wäre eine regelmäßige Verarbeitung.

Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!

Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern

Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.

Folgen bei unrechtmäßigem Datentransfer in Drittländer

Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.

Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.

Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörde sorgt dafür, dass der datenschutzkonforme Einsatz vieler US-Dienste überdacht werden muss. Datenschützer haben entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp nicht rechtmäßig ist. In diesem Beitrag erfahren Sie mehr über die Mailchimp & Co. Problematik.

Mailchimp-Beschwerde in Deutschland

Ein bayrisches Unternehmen nutzte für den Versand von Newslettern Mailchimp, einen beliebten amerikanischen Email-Marketing Dienst. Darüber hat sich ein Empfänger bei der Datenschutzbehörde beschwert. Die Behörde prüfte daraufhin, ob in diesem Fall der Einsatz von Mailchimp zulässig war. Das Ergebnis der Untersuchungen: Nein, die Verwendung entspricht nicht der DSGVO! Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass Mailchimp nicht datenschutzkonform ist. Mailchimp bietet zwar EU-Standardvertragsklauseln für Kunden an, welche für die Übertragung der Mailadressen der Empfänger in die USA notwendig sind. Allerdings fehlte die zusätzlich notwendige Überprüfung durch das Unternehmen. Deshalb stellt sich weiterhin die Frage, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erfolgt sind, damit diese auch tatsächlich rechtskonform gestaltet werden können. Daraufhin entschied sich das Unternehmen dafür, auf den Einsatz dieses US-Dienstes unmittelbar zu verzichten, um einer etwaigen Strafe zu entgehen.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen.

Mailchimp und die Datenspeicherung in den USA

Grundsätzlich wurde im Urteil bezüglich der Ungültigkeit des Privacy-Shields ein Datenaustausch mit den USA nicht verboten. Die USA sind zwar ein unsicherer Drittstaat, doch durch sogenannte Standardvertragsklauseln sowie zusätzliche Vereinbarungen weiterer Sicherheiten, ist eine Datenweitergabe und eine Speicherung in den USA jedoch weiterhin möglich. Zusätzliche Sicherheiten oder Garantien, dass zum Beispiel Geheimdienste nicht auf die Daten zugreifen können, werden von Mailchimp nicht angeboten. Wichtig ist jedoch, dass das Vorhandensein zusätzlicher Sicherheiten bei jedem einzelnen „Dienst“, den man in den USA zukauft, geprüft werden muss. Hierbei ist eine sogenannte „Case by Case“ Untersuchung erforderlich. Wie im obigen Beschwerdefall beschrieben, wurde diese „Case by Case“ Untersuchung vom Unternehmen verabsäumt.

Wenn Sie also kein rechtliches Risiko eingehen wollen, müssen Sie eine Case by Case Prüfung bei Mailchimp und anderen Tools von US-Anbietern vornehmen.

Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten

• HubSpot,
• Salesforce,
• WordPress,
• Sämtlichen Googlediensten,
• ActiveCampaign und vielen weiteren.

Unsere Praxistipps

• Versuchen Sie in erster Linie, geeignete Alternativanbieter möglichst innerhalb der EU zu suchen.
• Sollten Sie dennoch US-Dienste verwenden wollen, müssen Sie diese unbedingt bezüglich des Datenschutzes überprüfen. Lesen Sie sich dazu unseren Leitfaden durch.
• Kontaktieren Sie uns, wenn Sie Unterstützung bezüglich Alternativen oder Überprüfungen benötigen. Wir stehen Ihnen wie immer sehr gerne zur Seite.
• Lesen Sie außerdem unseren vorherigen Beitrag zum Kippen Privacy Shields, um noch besser über das gesamte Thema informiert zu sein.