In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.
Schritt 1: Überprüfung des externen Datentransfers
Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.
Schritt 2: Relevante Grundlage des Datentransfers bestimmen
Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:
- Es liegt ein Angemessenheitsbeschluss der EU für ein bestimmtes Land vor. Einen solchen gibt es derzeit (!) für folgende Länder: Andorra, Argentinien, Kanada bei privaten Stellen, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Mit Unternehmen in diesen Ländern dürfen Sie Daten ohne weitere Garantien austauschen.
- Mit dem entsprechenden Unternehmen wurden sogenannte Standardvertragsklauseln vereinbart. Diese Klauseln sind meist ein Anhang zum Auftragsverarbeitervertrag. Fordern Sie die entsprechenden Verträge bei Ihrem Dienstleister an.
- Wenn ein Konzern interne Datenschutzrichtlinien – sogenannte „Binding Corporate Rules“ – verwendet, die von der EU akzeptiert wurden und Ihnen diese übermittelt, gelten diese auch als entsprechende Garantie.
- Auch eine Einwilligung der betroffenen Person kann als geeignete Garantie bewertet werden. Eine Einwilligung reicht nur in Ausnahmefällen aus, beispielsweise bei „nicht regelmäßigen Verarbeitungen“. Achtung: Ein CRM, das Daten in Amerika verarbeitet, oder ein Newsletter-Tool wäre eine regelmäßige Verarbeitung.
Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!
Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern
Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.
Folgen bei unrechtmäßigem Datentransfer in Drittländer
Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.
Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.
Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.