Darf ich noch US-Dienstleister verwenden?

Seit dem Ende des Privacy Shield im Sommer 2020 stellt sich die Frage:

Darf ich überhaupt noch einen US-Dienstleister beauftragen und meine Daten in die USA transferieren?

Da das Thema sehr umfangreich und juristisch heikel ist, fasse ich für dich hier ein paar grundlegende Möglichkeiten und Vorgehensweisen zusammen.

Für Detailinformationen verlinke ich dir ganz unten gute Webadressen zum Weiterlesen.

Ich bin ausgebildete Datenschutzexpertin, aber keine Juristin.
Ich möchte mit dir meine Erfahrungen und Informationen zu diesem Thema teilen – vor allem, weil auf deiner Website schnell festzustellen ist, ob du dich mit der DSGVO beschäftigt hast oder nicht.
Ich möchte festhalten, dass ich auf eine juristisch korrekte Ausdrucksweise zugunsten der Verständlichkeit verzichte.

Ausgangspunkt

OK, das Privacy Shield wurde vom EuGH für ungültig erklärt.

Das heißt aber eigentlich nichts anderes, als dass der EuGH der Meinung ist, das von der DSGVO geforderte Schutzniveau der Daten sei in Drittländern (d.h. außerhalb der EU – es geht also nicht nur aber vor allem um die USA) nicht mehr gegeben.

Also gibt’s für dich jetzt konkret zwei – eigentlich drei – Möglichkeiten:

Möglichkeit 1: Abwarten

Du pfeifst drauf, ignorierst den Status Quo und wartest auf eine sinnvollere bzw. praktikablere Rechtssprechung.

Das geht generell immer im Leben und ist eine Frage der individuellen Nervenstärke.

Ich persönlich würde das nur in Kombination mit den Empfehlungen unter Möglichkeit 3 machen.

Möglichkeit 2: Auf europäische Dienstleister umsteigen

Du durchforstest deine DSGVO-Unterlagen nach Partnern und Auftragsverarbeitern, die in den USA sitzen und suchst dir europäische Alternativen.

Das ist die 100% sichere Variante.

Aber Vorsicht: Auch bei europäischen Dienstleistern solltest du dir den AV-Vertrag (Auftragsverarbeitungs-Vertrag) und die Subunternehmer genau ansehen. Ist hier irgendjemand aus Drittländern dabei?

Das Kleingedruckte kann sehr aussagekräftig sein…denn möglicherweise landen am Ende des Tages deine Daten dann auch bei einem europäischen Anbieter wieder in den USA…

Auch die Speicherung der Daten auf europäischen Servern bringt nicht viel, wenn der Mutterkonzern in Amerika drauf Zugriff hat.

Möglichkeit 3: Wenn du weiterhin mit US-Dienstleistern zusammenarbeiten möchtest

Je nach Unternehmensart und -größe wird man aber ohne US-Dienstleister nicht auskommen – man denke an Amazon AWS, Youtube, Vimeo, Zoom, uvm.

Daher wird es in manchen Fällen wohl nur so gehen:

Wenn du weiterhin US-Dienstleister einsetzen möchtest, musst du das damit verbundene Risiko selbst einschätzen und bewerten, d.h. du musst den Datentransfer in die USA selbst prüfen und kannst dich nicht auf eine allgemeine Regelung verlassen.

Ein echtes „Verbot des Datentransfers“ gibt es in diesem Zusammenhang nicht.

Wie hoch ist das Risiko für die Betroffenen

Das „Schöne“ an der DSGVO ist, dass es immer um eine Verhältnismäßigkeits-Prüfung geht, wie ich schon in meinen DSGVO-Tipps #6 angeführt habe.

• Um welche Daten geht es?
• Wie sensibel sind diese Daten?

Je mehr sensible Daten du verarbeitest, desto höher muss dein Sicherheitsniveau sein.

Das Ziel ist also, ein angemessenes Datenschutz-Niveau herzustellen, dazu gehört auch die Prüfung, wie hoch das Risiko im Fall eines “Datenunfalls” wäre.

Anders formuliert: Eine Liste mit E-Mail-Adressen eines Einzelunternehmens wird anders zu bewerten sein als die Gesundheitsdaten einer Versicherung. Eh irgendwie logisch…

Recherchieren und dokumentieren

Im Art. 28 DSGVO wird darauf verwiesen, dass auch die sogenannten EU-Standard-Vertragsklauseln (=Musterverträge) verwendet werden können.

Wenn du also weiterhin ein US-amerikanisches Unternehmen als Dienstleister bzw. Auftragsverarbeiter einsetzen möchtest, dann kannst du vorab mal prüfen, ob dieses in der Zwischenzeit EU-Standardvertragsklauseln eingerichtet hat. Damit sollte ein angemessenes Datenschutz-Niveau vorliegen.

Allerdings schlage ich vor, deine Recherchen zu dem Thema genau zu dokumentieren.

Dazu gehören eventuelle Anfragen an den Support (wie so eine Anfrage aussehen könnte findest du bei RA Thomas Schwenke) und natürlich aktualisierte Datenschutz-Erklärungen und/oder Auftragsverarbeiter-Verträge.

(Für sehr kleine Unternehmen wird das aber nicht sehr viel bringen. Vor allem keine Antworten. Aber du kannst es ja probieren. Sag Bescheid, wenn du sinnvolle Antworten bekommen hast.)

Also bleibt nur mehr folgende Möglichkeit: Nimm dir eine Stunde Zeit und schreib auf, warum du diesen Dienstleister unbedingt verwenden willst oder musst.
Warum brauchst du diesen Service für die Aufrechterhaltung deines Geschäftsmodells?
Gibt es alternative und vergleichbare Anbieter in der EU?

Du kannst hier ruhig ins Detail gehen und anführen, warum du unbedingt ActiveCampaign oder Mailchimp oder Zoom oder wie sie alle heißen verwenden willst und zu keinem europäischen NL-Service wechseln kannst. Was können die Ami’s was wir nicht können?

Diese Mitschriften legst du bitte bei deinen restlichen DSGVO-Unterlagen ab und/oder ergänzt dein Verarbeitungsverzeichnis damit.

Was ist noch zu tun?

• Schau deine Datenschutzhinweise durch (grob: jene für Mitarbeiter, für Kunden und für deine Webseite) und passe sie ggf. an. Auf jeden Fall kannst du Hinweise auf das Privacy Shield entfernen, die sich vermutlich auch in deinem Verarbeitungsverzeichnis finden.
• Eventuell musst du deinen Cookie-Banner anpassen und explizit darauf hinweisen, dass Daten in Drittländer übertragen werden.

Wie so ein ausführlicher Cookie-Banner aussehen könnte und noch viel mehr Details zu dem ganzen Thema findest du u.a. auf der Webseite von Dr. Thomas Schwenke.

Er gibt auch ausführliche Ratschläge und Checklisten, was man tun kann (wenn man dafür Zeit hat).

Auch der von mir hochgeschätzte Stephan Hansen-Oest hat ein paar nützliche Infos zu dem Thema: https://www.datenschutz-guru.de/boom-das-privacy-shield-ist-tot-wenig-alternativen-fuer-drittlandsverarbeitungen/

Für größere Betriebe, die eigene Verträge mit ihren Auftragsverarbeitern abgeschlossen haben, wird auch dieser Artikel von Projekt29 interessant sein. Hier findet sich eine Checkliste, um welche Klauseln diese Verträge erweitert werden sollten.