Zum Hauptinhalt springen

Unwissend? Unschuldig? Rechtsbrecher?

Von Alexandra Vetrovsky-Brychta

Recht
Selbst unter Beachtung aller Datenschutzbestimmungen des Privacy Shields konnte ein Zugriff auf personenbezogene Daten durch US-Behörden nicht ausgeschlossen werden.
© adobe.stock / Anton Balazh

Der EuGH hat die Rechtsgrundlage der Datenübermittlung in die USA im Vorjahr für ungültig erklärt. Daher ist nun Vorsicht geboten.


Hinweis: Der Inhalt dieser Seite wurde vor 3 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Die Corona-Pandemie hat gewohnte Arbeitsweisen auf den Kopf gestellt: Binnen Wochen hat sich die Kommunikation durch Homeoffice und E-Learning in den digitalen Raum verlegt. Dabei greifen wir täglich auf amerikanische Plattformen wie Zoom oder Microsoft Teams zurück. Mit 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy Shield, die bisherige Rechtsgrundlage der Datenübermittlung in die USA, für ungültig erklärt. Damit wurden alle Anwendungen, die personenbezogene Daten in die USA übermitteln, verboten.

Die Grundlage für das Urteil war, dass selbst unter Beachtung aller Datenschutzbestimmungen des Privacy Shields ein Zugriff auf personenbezogene Daten durch US-Behörden nicht ausgeschlossen werden konnte. Grund dafür ist das mangelnde Schutzniveau in den USA sowie das fehlende Rechtsschutzsystem für europäische Verbraucher. Dabei geht es nicht rein um die physische Übermittlung von Daten. Denn auch die Nutzung von Plug-ins Sozialer Medien oder einer Fanseite fällt bereits unter Übermittlung. Dadurch ergibt sich eine viel größere Betroffenheit als nur ein "Verschicken von Daten ins US-Territorium".

Erst vor kurzem wurde das Ausmaß durch ein Urteil der Bayerischen Landesdatenschutzbehörde bestätigt. Diese hat die Nutzung des amerikanischen Newsletter-Tools MailChimp aufgrund nicht zulässiger Datenübermittlung untersagt. Die Datenschutzbehörde liefert dadurch erstmals Klarheit über die datenschutzrechtlichen Konsequenzen, die durch das Privacy-Shield-Urteil für das E-Mail-Marketing entstehen können.

Empfindliche Strafen drohen

Seit dem EuGH-Urteil herrschte Ungewissheit, denn viele Unternehmen sind weder über drohende Strafen ausreichend informiert, noch darüber, wie man diese vermeiden kann. Sie wählten daher den Weg des geringsten Widerstandes und trafen nach wie vor eine unreflektierte Auswahl von US-Unternehmen für den E-Mail-Versand sowie Marketing-Automation.

Doch damit bewegen sie sich auf dünnem Eis. Denn wie der zuvor genannte Fall zeigt, drohen Strafen, und zwar von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes. Abgesehen davon muss auch beachtet werden, dass die Behörde eine sofortige Unterlassung der unzulässigen Datenverarbeitung fordern kann. Dies kann für ein Unternehmen existenzbedrohend sein, wenn etwa das Versenden von E-Mails ein wichtiger Absatzkanal ist und dieser Umsatzbringer plötzlich wegfällt. Es fehlt nach wie vor an entsprechender Rechtssicherheit und an Wissen bei den Unternehmen. Der Dialog Marketing Verband Österreich (DMVÖ) setzt sich gemeinsam mit anderen Interessenvertretungen mit Nachdruck dafür ein, dass es hier zu einer Änderung und Sensibilisierung kommt.

Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) sind alle Unternehmen bei der Verarbeitung personenbezogener Daten verpflichtet, ein Verarbeitungsverzeichnis zu erstellen. In diesem sollten auch Informationen über die Übermittlung und Rechtsgrundlage angeführt werden. Genau hier sollte man ansetzen und alle Dienste auflisten, die eine Übermittlung in die USA zur Folge haben.

Möglichkeit der Einwilligung

Wenn die Übermittlung zuvor auf Basis des Privacy Shields erfolgte, ist im nächsten Schritt zu prüfen, ob es europäische Alternativen dazu gibt. Ist das nicht der Fall, gibt es die Möglichkeit, Standardvertragsklauseln zu nutzen und mit dem Datenverarbeiter in Kontakt zu treten, ob die Übermittlung darauf gestützt werden kann. Standardvertragsklauseln alleine sind aber nicht ausreichend. Unterliegt ein US-Unternehmen nämlich dem Foreign Intelligence Surveillance Act (Fisa)-Gesetz zur Überwachung, wie Facebook, Google oder Yahoo, müssen zusätzliche Absicherungsmaßnahmen ergriffen werden.

Letztendlich bleibt immer noch die Möglichkeit der Einwilligung, hier liegt der Teufel allerdings im Detail. Denn bei dieser Variante müssen alle Betroffenen (auch bestehende Kunden) eine Einwilligung abgeben, die strengen Anforderungen unterliegt. Deren Abgabe darf nicht pauschal oder als Teil eines Vertrages erfolgen. Somit muss für jeden Anwendungsfall eine gesonderte Einwilligung mit ausdrücklicher Zustimmung gegeben werden, und auch das Risiko der Datenübermittlung muss transparent dargestellt werden. In der Praxis ist diese Form nicht besonders praktikabel und wirtschaftlich.

Europäische Alternativen

Um aus dem Rechtsbrecher-Status ausbrechen zu können, benötigt es einerseits europäische Alternativen, die den US-Tools um nichts nachstehen, und andererseits zusätzliche Maßnahmen zu den Standardvertragsklauseln wie etwa Verschlüsselung oder vertragliche Handhaben wie vom Europäischen Datenschutzrat bereits aufgelistet.

Nach der gültigen Rechtslage ist es oft schwierig, DSGVO-konform zu agieren, wenn personenbezogene Daten in die USA übermittelt werden. Denn häufig steht ein kleines, österreichisches Unternehmen einem Digital Giant aus Übersee gegenüber und müsste auf Änderung der Datenübermittlungsprozesse pochen. In der Praxis wird die faktische Durchsetzungskraft wohl enden wollend sein.

Nichtsdestotrotz darf man als verantwortungsbewusster Manager nicht die Augen verschließen und muss sich mit der Thematik auseinandersetzen, risikoabschwächende Maßnahmen vornehmen, Alternativen prüfen und vor allem die durchgeführten Schritte dokumentieren. Jedes Unternehmen muss im Falle eines Beschwerdeverfahrens gewappnet sein und nachweisen können, sich aktiv um eine Lösung zu bemühen. Fest steht, dass an der mangelnden Rechtssicherheit gearbeitet werden muss und wirtschaftlich vertretbare Umsetzungsschritte geschaffen werden müssen. Bis dahin sollten sich Unternehmen an Arbeitshilfen von Interessenvertretungen orientieren und die Neuerungen laufend verfolgen.

Zur Autorin~