Kann man US-Dienste DSGVO konform nutzen?
In der Praxis haben Verantwortliche häufig das Problem, dass Sie über die Nutzung von Diensten aus Drittländern entscheiden müssen (Stichwort: Auftragsverarbeitung). In der westlichen IT-Welt wird das Drittländerranking nach wie vor von Dienstleistungen und Firmen aus den USA dominiert.
Daher ist die Frage spannend, in welcher Form eine Nutzung dieser Dienste für Unternehmen möglich ist und inwieweit das DSGVO konform vorbereitet und dokumentiert werden kann.
Auftragsverarbeitung als Regelfall?
In der Regel ist davon auszugehen, dass diese Dienste als Auftragsverarbeiter für den Verantwortlichen arbeiten, z.B. Mailchimp versendet Newsletter im Auftrag, Microsoft Office 365 speichert Dateien in der OneDrive-Dateiablage im Auftrag.
Grundsätzlich gilt, dass die Nutzung von US-Diensten, bei dem der Vertragspartner des Verantwortlichen als Auftragsverarbeiter direkt in den USA sitzt, eine Datenübertragung in die USA darstellt und dafür eine entsprechende Rechtsgrundlage gegeben sein muss. Etwas komplizierter stellt sich der Fall dar, wenn der Vertrag mit einer europäischen Konzerntochter eines Unternehmens mit Hauptsitz in den USA geschlossen wurde, daher hier der Verantwortliche nicht selbst personenbezogene Daten in die USA überträgt, aber die Übertragung dorthin und ggf. auch den Zugriff von US-Behörden nicht ausschließen kann.
Zertifizierte externe Datenschutzbeauftragte ab 99 EUR* im Monat!
Welche Rechtsgrundlage könnte gelten?
Seit der EuGH das „Privacy Shield“ für ungültig erklärt hat, sind Standardvertragsklauseln eine gängige Praxis, eine Rechtsgrundlage für den Austausch zu erlangen. Hierbei ist aber zu beachten, dass die Version von 2010 nur noch bis Ende des Jahres 2022 verwendet und danach Verträge auf den Klauseln der Version von 2021 basieren sollten. In der Fachwelt wird zu dem diskutiert, ob die neuen Standardvertragsklausen überhaupt den Anforderungen des EuGH entsprechen. Eine abschließende generelle Beurteilung gibt es nicht und dürfte auch nur im Einzelfall möglich sein. Die EU und USA planen einen Nachfolger zum Privacy Shield. Hierzu hat der US-Präsident Joe Biden bereits eine Executivorder unterschrieben, die das Thema aus US-Sicht vorantreiben und die Situation für Europäer verbessern soll. Von EU-Seite ist das Verfahren aber noch nicht abgeschlossen und wie der EuGH die Situation im Falle einer neuerlichen Klage beurteilen würde, ist noch völlig offen.
Weiterhin ist es denkbar, dass ein informierter Betroffener in die Übertragung freiwillig einwilligen kann. Hierzu gelten die üblichen Bedingungen für eine wirksame Einwilligung, die mitunter nicht einfach zu erreichen sind.
Was kann ich konkret tun?
Wichtig ist, dass jeder vom Verantwortlichen genutzte US-Dienst analysiert und das Ergebnis dokumentiert wird. Hierzu kann eine Risikoanalyse, wie sie auch Rahmen der Notwendigkeitsprüfung der Datenschutz-Folgenabschätzung im Sinne Artikel 36 der DSGVO stattfinden, ein geeignetes Mittel sein. Bei entsprechend hohem oder sehr hohem Risiko für die Rechte und Freiheiten einer natürlichen Person wäre zusätzlich die Datenschutz-Folgenabschätzung selbst erforderlich.
Sollte diese Analyse ergeben, dass eine Nutzung zulässig ist, sind die üblichen Vorgehensweisen zur Einbindung von Auftragsverarbeitern zu beachten, z.B. der Abschluss eines Auftragsverarbeitungsvertrages und die Aufnahme in die Dokumente zu den Informationspflichten, z.B. die Datenschutzerklärung
*Das Angebot richtet sich an Unternehmen, Selbständige und Freiberufler*innen in Deutschland und nicht an Verbraucher*innen. Alle angegebenen Preise sind zuzüglich der jeweils gültigen Umsatzsteuer. Es gelten detaillierte Vertragsbedingungen, die wir Ihnen mit unserem Angebot zusenden.
Der Inhalt dieses Beitrags wurde von uns sorgfältig aus öffentlichen Quellen und bekannten Einschätzungen zusammengestellt. Es sollten keine Entscheidungen allein auf Basis der Informationen in diesem Text getroffen werden. Er stellt auch keine Rechtsberatung dar und kann eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.