Unter welchen Umständen darfst du eigentlich personenbezogene Daten (insbesondere die IP-Adresse) in die USA oder andere Drittländer übermitteln?
Warum ist das überhaupt relevant?
Sicherlich hast du mittlerweile mitbekommen, dass gerade Websitebetreiber mehr und mehr Schwierigkeiten bekommen wegen der Nutzung von Tools von US-anbieten. Hierzu zählen insbesondere Shopify, Google, Klaviyo, Mailchimp, Meta etc.
Im Moment ist es leider bereits bei manchen Trittbrettfahrern angekommen, dass sich durch Auskunftsschreiben und nachfolgende Abmahnungen/Anspruch schreiben Geld machen lässt.
Umso wichtiger halte ich es, dass du genau weißt, unter welchen Umständen du solche Tools aus anderen Ländern außerhalb der Europäischen Union nutzen darfst. Gute Nachricht: es ist möglich, musst einfach wissen wie und deine Hausaufgaben machen.
Wie funktioniert es innerhalb der EU?
Solange du personenbezogene Daten innerhalb der EU nutzt, zum Beispiel ein Newsletter-Tool eines deutschen Anbieters, ist die Sache relativ entspannt.
Es genügt dann die gewöhnliche Einwilligung deines Nutzers nach Art. 6 Abs. 1 S. 1 a DSGVO in die Übermittlung dessen personenbezogener Daten (zum Beispiel Name, E-Mail-Adresse, AiP-Adresse) an diesen Anbieter.
Datenübermittlung außerhalb der EU (insbesondere USA)?
Schwierigkeiten bereiten insbesondere viele Tools aus sogenannten Drittländern. Hierzu zählen auch die USA.
Grund hierfür ist Art. 44 DS GVO. Danach ist eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig, wenn besondere Voraussetzungen erfüllt werden.
Angemessenheitsbeschluss
Eine sehr bequeme Möglichkeit besteht dann, wenn die europäische Kommission einen sogenannten Angemessenheit erlässt. Dabei handelt es sich nach Art. 45 DSGVO um einen Beschluss, dass das jeweilige Drittland ein angemessenes Schutzniveau bietet. Die Folge: eine Übermittlung personenbezogener Daten in so ein Land bedarf keiner besonderen Genehmigung. Es genügt dann die schon vorher erwähnte normale Einwilligung.
Haben wir einen solchen Angemessenheitsbeschluss?
Nein. Wir hatten einen solchen Angemessenheitsbeschluss. Basis hierfür waren informelle Absprachen zwischen der EU und den USA auf dem Gebiet des Datenschutzrechts seit 2015 (“Privacy Shield”).
Der Wiener Rechtsanwalt Max Schrems hat jedoch hier gegen geklagt. Daraufhin hat der EuGH diesen Angemessenheit gekippt (Urteil …).
Standardvertragsklauseln
Nachdem wir also nicht auf einen Angemessenheitsbeschluss zurückgreifen können, bietet Art. 46 DSGVO weitere Möglichkeiten der zulässigen Datenübermittlung in ein Drittland wie die USA.
Eine Datenübermittlung ist auch dann möglich – ohne Angemessenheit – wenn du als verantwortlicher geeignete Garantien für die betroffene Person vorgesehen hast und wenn der betroffenen Person durchsetzbare Rechte unwirksame Rechtsbehelfe zur Verfügung stehen.
Ohne eine besondere Genehmigung einer Aufsichtsbehörde können sogenannte Standardvertragsklauseln (Standard Contract Clauses) gemäß Art. 46 Abs. 2 c DSGVO herangezogen werden, wenn diese von der EU-Kommission nach einem bestimmten Prüfverfahren genehmigt wurden.
Bei Standardvertragsklauseln handelt es sich praktisch um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln vereinbarst du als Datenübermittlung mit dem Datenempfänger im Drittland europäische Datenschutzstandards.
Derzeit bestehen solche Standardvertragsklauseln und du kannst sie nutzen. Grund zum Jubeln?
Nicht unbedingt, denn im vorgenannten Urteil Schrems II hat der EuGH sehr strenge Anforderungen an die Verwendung solcher Standardvertragsklauseln festgelegt. Danach obliegt es dir als Datenexporteur, vor der Übermittlung der personenbezogenen Daten in das Drittland genau zu prüfen, ob das Schutzniveau im Drittland demjenigen innerhalb der EU gleichwertig ist.
Im Hinblick auf die USA als Drittland ist das im Moment unsicher. Ein Lichtblick ist das von Präsident Biden verabschiedete Executive Order 14086 vom 7. Oktober 2022, mit der wesentlich erweiterte Rechtsschutzmöglichkeiten für die jeweils betroffene Person eingerichtet werden.
Übermittlung zur Vertragserfüllung
Wenn weder Standardvertragsklauseln noch ein Angemessenheitsbeschluss weiterhelfen, bleibt dir noch eine weitere Möglichkeit:
Die Übermittlung der personenbezogenen Daten in das Drittland ist zwingend notwendig, damit du deine Vertragspflichten gegenüber der betroffenen Person erfüllen kannst (Art. 49 Abs. 1 b DSGVO).
Es muss sich aber um die Erfüllung oder die Durchführung vorvertraglicher Maßnahmen unmittelbar zwischen dir und der betroffenen Person als Vertragspartner handeln.
Beispiel: du vermittelst einen Vertrag zwischen einer deutschen Person und einem US-amerikanischen Unternehmen (zum Beispiel ein US-Oldtimer). Damit du du deine gegenüber der betroffenen Person obliegenden Pflichten aus dem Vermittlungsvertrag erfüllen kannst, musst du zwingend ihre personenbezogenen Daten an das US-Unternehmen übermitteln. Denn dieses muss ja schließlich wissen, wem sie ihr Auto verkaufen und dann auch liefern wird.
Einwilligung
Die letzte Möglichkeit ist die besondere Einwilligung nach Art. 49 DSGVO. Ich wähle bewusst das Wort „besondere“ weil es eben nicht gleichbedeutend ist mit der schon am Anfang genannten Einwilligung nach Art. 6 DSGVO.
Art. 49 Abs. 1 a DSGVO lässt eine Übermittlung personenbezogener Daten in ein Drittland auch dann zu, wenn du als verantwortlicher der betroffenen Person genau die möglichen Risiken der Datenübermittlung (insbesondere aufgrund fehlender Rechtsschutzmöglichkeiten) ohne Angemessenheitsbeschluss und ohne geeigneten Garantien erklärt hast
und
wenn die betroffene Person dann auch ausdrücklich in die Übermittlung Ihrer personenbezogenen Daten in das Drittland einwilligt.
Eine solche besondere Einwilligung ist wieder ein Risiko für sich. Denn einerseits musst du der Person sehr detailliert die Risiken beim Datentransfer in das Drittland erläutern. Auf der anderen Seite musst du aber auch dafür sorgen, dass die Einwilligungsklausel so gut verständlich ist, dass die betroffene Person sie auch versteht. Es muss also eine informierte Einwilligung sein, die freiwillig erfolgt.
Viele fragen mich übrigens, ob ich nicht den Zugriff auf die Website oder generell einen Vertragsschluss davon abhängig machen kann, ob die betroffene Person in eine Datenübermittlung in die USA einwilligt. Hier besteht aber das Problem des sogenannten Koppelungsverbots. Es ist unzulässig, eine Leistung davon abhängig zu machen, ob eine andere Person in eine bestimmte Datenverarbeitung einwilligt. Vielmehr musst du den Zutritt zu einer Website oder Vertragserfüllung auch ohne Datentransfer in das Drittland anbieten, wenn das möglich ist.
Was passiert, wenn ich mich nicht darum kümmere?
Die aktuell steigende Zahl an privaten Personen, die datenschutzrechtliche Ansprüche gegen Unternehmen geltend machen, sollte bei dir die Alarmglocken läuten lassen.
Zunächst kann die betroffene Person ihr Recht nach Art. 15 DSGVO ausüben und Auskunft über diejenigen Daten verlangen, die du über diese Person verarbeitest.
Stellt sich dann heraus, dass du Personendaten des Betroffenen in die USA übermittelt hast (dafür genügt schon die IP-Adresse) hat sie unter Umständen weitere Ansprüche gegen dich.
Ein Schmerzensgeld, wie es einige nun massenhaft geltend machen, halte ich zwar für nicht gegeben. Diese Frage ist aktuell beim EuGH anhängig und wird in einigen Monaten entschieden werden.
Aber zumindest einen Unterlassungsanspruch dürfte nach Art. 82 DSGVO die betroffene Person gegen dich haben, weil eben die Rechtsgrundlage fehlt.
Und es bleibt der betroffenen Person natürlich die Option offen, dein Verhalten einer Datenschutz-Behörde zu melden. Diese dann ein Bußgeld gegen dich verhängt oder dich nur ermahnt, bleibt dahingestellt. Das hängt immer vom Einzelfall ab.