Trump kippt Datenschutzabkommen 'US-EU Data Shield Agreement'

Per Executive Order   hat Donald Trump die Privatsphärenrechte in den USA in zwei Klassen geteilt: Nicht-US-Bürger sollen kein Recht auf Privatsphäre genießen, wie es Einheimische tun. Dies soll vermutlich vor allem als Schlag gegen illegale Einwanderer dienen, bedroht aber das US-EU Data Shield Agreement. Dabei handelt es sich um ein zwischen der Europäischen Kommission und der US-Regierung ausgehandeltes Abkommen zum Datenschutz.

Das erst im Sommer 2016 ausgehandelte Nachfolgeabkommen zu 'Safe Harbor'   gestattet es Unternehmen, welche sich zur Einhaltung der Privacy Shield Prinzipien verpflichten und dies im Rahmen einer Selbstzertifizierung nachweisen, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein angemessenes Datenschutzniveau, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Das Dekret kann jetzt so verstanden werden, dass auch der Datenschutz für EU-Bürger ausgehebelt wird.

Welche Handlungsalternativen gibt es?

Es gibt verschiedene Möglichkeiten, für eine datenschutzkonforme Datenübermittlung an US-Dienstleister zu sorgen. In vielen Fällen werden nicht alle Varianten in Betracht kommen.

• Sitz innerhalb der EU oder in einem sicheren Drittland
  
  Große US-Dienstleister, allen voran Microsoft, bauen massiv Serverstandorte innerhalb der EU und sogar in Deutschland aus, die von lokalen Gesellschaften betrieben werden. Ist gewährleistet, dass Mitarbeiter von US-Gesellschaften auf diese Daten keinen Zugriff haben, liegt keine Übermittlung in die USA vor.
• Abschluss von EU-Standardvertragsklauseln
  Ein angemessenes Datenschutzniveau kann auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck drei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Für Online-Marketing-Dienstleister dürften die Standardvertragsklauseln für Auftragsdatenverarbeiter in der Regel die richtige Alternative sein. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages, stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen. Wichtig ist, dass von den Standardwerken nicht abgewichen wird. Anderenfalls entfällt die Privilegierung und ein sicheres Datenschutzniveau kann nicht angenommen werden. Die Erfahrung zeigt, dass gerade die Anbieter von Standardlösungen mit einer großen Kundenbasis in Europa dem zusätzlichen Abschluss solcher Vereinbarungen aufgeschlossen gegenüber stehen.
  
  
• Abschluss eines individuellen Vertrags mit dem Dienstleister
  Denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Rechtlich hilft das aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichem Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe nicht erteilt.
  
• Einwilligung in die Datenübermittlung in die USA
  Stets zulässig ist die Übertragung von Daten an Unternehmen in den USA, wenn der Betroffene wirksam eingewilligt hat. Dies ergibt sich aus § 4c BDSG. Die Anforderungen an eine transparente Information und darauf beruhende Einwilligung sind jedoch hoch. Eine bloße Änderung der Datenschutzbestimmungen genügt jedenfalls nicht. Es bedarf einer transparenten Information des Kunden auch über die Risiken der Übermittlung von Daten in die USA, zudem muss dem Kunden eine echte Wahlmöglichkeit gegeben werden. Eine "untergeschobene Einwilligung" würden die Datenschutzbehörden nicht akzeptieren. Willigt der Kunde nicht ein, muss der Datentransfer unterbleiben.

Fast 1.500 Unternehmen haben bisher das Abkommen unterzeichnet, darunter alle großen IT-Unternehmen. Nun stehen europäische Unternehmen wieder da, wo sie nach dem Safe-Harbor-Ende standen  .