Update Handlungsempfehlungen beim Datenexport in die U.S.A.
Nach dem Ende des US Privacy Shield und der Unsicherheit über die EU-Standardvertragsklauseln schweben die Unternehmen, die personenbezogene Daten in die U.S.A. exportieren, um sie dort verarbeiten zu lassen, in einem ungeklärten – scheinbar – rechtsfreien Raum. Aber nur scheinbar, denn die Lösung ist ganz einfach: Vermeidung jeden Datenexports in die U.S.A. So einfach dies klingt, so schwer ist es für viele Unternehmen, diese Lösung umzusetzen und daher keine Option.
Es ist Augenmaß gefragt. Wer sich bewusst in den Graubereich des ungeregelten Datenexports begibt, soll zumindest alles dafür tun, um die Rechte der Betroffenen zu schützen. Das ist kein Freifahrtschein für schlicht achselzuckende Unternehmen. Es ist vielmehr ein Abwägungsprozess notwendig, der gut dokumentiert werden sollte. Hier Schritt-für-Schritt wichtige Maßnahmen:
1. Schritt
Prüfen Sie, ob es Alternativen zur Datenverarbeitung in den U.S.A. gibt. Suchen Sie in Europa nach Firmen, die ebenso gut Ihre Daten verarbeiten können. Aber Vorsicht: Nur, weil ein Unternehmen aus den U.S.A. einen Sitz in einem europäischen Land hat, ist automatisch eine Alternative gefunden. Es geht um den Ort, wo die Datenverarbeitung tatsächlich stattfindet. Wandern die Daten vom europäischen Sitz am Ende doch wieder in ein Rechenzentrum außerhalb Europas, ist diese Firma keine Alternative. Finden Sie keine Alternative, dann dokumentieren Sie dies und gehen weiter zum
2. Schritt
Ist die Verarbeitung in den U.S.A. (oder generell außerhalb der EU) alternativlos, dann muss abgewogen werden, ob die Verarbeitung so sicher ist, dass quasi ein Standard wie in der EU erreicht wird.
Art der Daten
Dabei kann man nach der Art der Daten unterscheiden. Handelt es sich Kundendaten, Beschäftigtendaten oder Logindaten? Weniger sensible Daten lassen eher eine Verarbeitung in den U.S.A. zu. Hingegen lassen Daten zu Lohn, Lebensumstände, Kontodaten und Daten der Bezahlsysteme eher befürchten, dass die Rechte der Betroffenen stärker gefährdet sind.
Zweck der Verarbeitung
Dann setzt man den Fokus auf den Zweck der Verarbeitung. Werden die Daten aufgrund einer vertraglichen Pflicht verarbeitet oder nur wegen interner Interessen? Im letzteren Fall muss das Unternehmen die Frage stellen, ob die Verarbeitung wirklich notwendig ist.
Umfang der Verarbeitung
Wie umfangreich sind die Daten, die außerhalb der EU verarbeitet werden? Werden komplette Kunden- oder Beschäftigtendatensätze exportiert oder nur Teile davon für die Auswertung spezieller Themen? Wenn beispielsweise für Kundensupport Daten der anfragenden Kunden komplett übermittelt werden, dürfte dies eine zu große Gefahr für die Daten der Kunden darstellen. Wer aber datensparsam handelt und nur einen Teilbereich der Daten exportiert, könnte das Pendel zum Export schwingen lassen.
Zusammenhang zwischen Datenexport und Zweck
Werden die exportierten Daten aktiv genutzt? Das heißt, werden sie Dritten zugänglich gemacht? Oder findet die Verarbeitung nur aus technischen Gründen statt, wie etwa beim Hosting oder Backup? Insbesondere über die technisch-organisatorischen Maßnahmen könnte hier dafür gesorgt werden, dass die Daten sicher exportiert werden.
Datenempfänger
Beim Empfänger der Daten wäre zu unterscheiden, ob ein unabhängiger Dritter die Daten erhält oder ein Unternehmen im Konzernverbund mit dem Datensender.
Fazit
Die hier vorgestellte Abwägung muss(!) erfolgen, wenn derzeit personenbezogene Daten außerhalb der EU, insbesondere in den U.S.A. verarbeitet werden. Dabei ist wichtig zu betonen, dass mit der Abwägung und dem Ergebnis, dass die Verarbeitung in den U.S.A. alternativlos und wenig in Rechte der Betroffenen eingreift, der Datenexport nicht etwa zulässig wird. Es bleibt aktuell (Stand vom 01.12.2020) unzulässig, die personenbezogenen Daten in den U.S.A. verarbeiten zu lassen. Wer dagegen verstößt riskiert ein Bußgeld. Wer aber der Aufsichtsbehörde eine ordentliche Abwägung vorlegen kann und damit zeigt, dass sich das Unternehmen kritisch mit der Datenverarbeitung in den U.S.A. auseinandergesetzt hat, kann damit möglicherweise das Bußgeld erheblich verringern.
Wenn Sie Fragen zu diesem Thema haben, zögern Sie nicht und nehmen Sie Kontakt zu uns auf.