Datenschutz prüft Transfer personenbezogener Daten in die USA

Obwohl der EuGH schon vor fast einem Jahr das Privacy-Shield-Abkommen für unzulässig erklärte, hat sich an der Praxis der Übertragung personenbezogener Daten bisher kaum etwas geändert. Die rheinland-pfälzische Datenschutzbehörde will nun Verstöße aus diesem Bereich sanktionieren. Dabei bekommt sie Rückenwind durch ein aktuelles Urteil des obersten Gerichts in Irland zum Thema.

Der Transfer personenbezogener Daten von EU-Bürgern in die USA ist seit dem Urteil des EuGH nicht mehr so einfach wie zuvor möglich. Denn vor gut einem Jahr setzten die Straßburger Richter das sogenannte Privacy-Shield-Abkommen zwischen der EU und den USA außer Kraft und verlangten, dass derartige Datentransfers auf eine neue Rechtsgrundlage gestellt werden müssten.

Landesdatenschutzbeauftragte bemängelt datenschutzwidrigen Datenfluss

Trotz des Urteils hat sich nach Auffassung von Datenschützern die Praxis bei der Übertragung personenbezogener Daten in die USA nicht wesentlich geändert, denn nach wie vor fließen viele Daten von EU-Bürgern, etwa bei der Nutzung von Sozialen Netzwerken oder auch anderer Dienste, über den Atlantik auf Server der Anbieter in den Vereinigten Staaten. Vielen Unternehmen oder auch Behörden ist dabei nicht einmal bewusst, dass die Nutzung solcher Dienste unzulässig ist und einen Datenschutzverstoß darstellt.

Informationsinitiative soll Bewusstsein für DSGVO schaffen

Mit einer Informationsinitiative will der Landesdatenschutzbeauftragte aus Rheinland-Pfalz nun ein größeres Bewusstsein um die Problematik der nach dem EuGH-Urteil fehlenden Rechtgrundlage schaffen. Dazu schrieb die Behörde zahlreiche Verbände, Unternehmen sowie staatliche Stellen an und forderte diese auf, deren

  • Datenverarbeitungsvorgänge auf ihre Zulässigkeit hin zu überprüfen
  • und Datenschutzverstöße schnellstmöglich abzustellen oder zu verhindern.

Dies soll verhindern, dass sie ungebremst in Schwierigkeiten laufen, wenn die Datenschutzbehörde diesbezüglich nachfasst.

Privacy-Shield-Urteil betrifft fast alle

Betroffen vom Privacy-Shield-Urteil sind nach Ansicht des Datenschutzbeauftragten Dieter Kugelmann

„fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis“,

da dort in aller Regel auch personenbezogene Daten automatisiert verarbeitet und diese Daten dabei sehr oft auch in Länder außerhalb des europäischen Wirtschaftsraums übermittelt werden, wobei diese Datentransfers oftmals auch unbewusst geschehen. Somit bewegten sich diese Akteure jedoch „datenschutzrechtlich auf dünnem Eis“.

Erst Sensibilisierung, dann Überprüfungen der Datentransferpraxis

Mit ihrer Informationskampagne will die Datenschutzbehörde daher nun in einem ersten Schritt die Betroffenen für diese Problematik sensibilisieren. Zugleich kündigte Kugelmann jedoch auch weitergehende Maßnahmen an. So wolle die Behörde im weiteren Verlauf des Jahres stichprobenartige Überprüfungen vornehmen und bei festgestellten Verstößen seien dann auch Sanktionen möglich. Er empfiehlt den Betroffenen daher dringend, umgehend aktiv zu werden, sofern diese bislang noch nicht auf die neue Rechtslage reagiert haben und sofern Änderungen notwendig sein sollten. Zur Begründung der Kontrollen verweist der Datenschutzbeauftragte auf die vom EuGH geäußerte Erwartung, dass unzulässige Datentransfers von den zuständigen Behörden ausgesetzt oder verboten werden sollten.

Kooperation zur Aussetzung beanstandeter Datentransfers oder auch Bußgelder

Sollten bei den Kontrollen unzulässige Datentransfers festgestellt werden, wolle man versuchen, in einen „kooperativen Dialog“ mit den Unternehmen zu treten und die beanstandeten Übertragungen auszusetzen. Wo dies jedoch nicht möglich sei, werde die Behörde „mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen“ reagieren, womit auch die Verhängung von Bußgeldern gemeint sein dürfte. Entscheidung für Beibehaltung der bisherigen Praxis sollte dokumentiert werden

Was sollten Unternehmen bei DSGVO-widrigem Datentransfer unternehmen? 

Einen Tipp für die Verantwortlichen gibt Kugelmann auch gleich noch:

  • Sollten Verantwortliche oder auch Auftragsverarbeiter bei der Überprüfung der Datenübermittlungspraxis zu dem Schluss kommen, dass eine Umstellung der Verträge oder Prozesse nicht erforderlich sei und die bisherige Praxis daher unverändert beibehalten werden könne, solle dies zusammen mit den für diese Entscheidung maßgeblichen Gründen unbedingt dokumentiert werden.
  • Eine solche Dokumentation könne sich später sanktionsmildernd auswirken, falls die Behörde bei einer Kontrolle zu dem Ergebnis kommen sollte, dass der Datentransfer sehr wohl hätte angepasst werden müssen.

Weiterer Gegenwind für Datentransfer in die USA durch Gerichtsurteil in Irland

Um die Übertragung personenbezogener Daten in die USA durch Dienste wie Google und Facebook gibt es schon seit langem gerichtliche Auseinandersetzung. In diesem Dauerstreit hat jetzt auch das oberste Gericht Irlands, der High Court, nun eine Entscheidung getroffen, die den in den USA angesiedelten Diensten einige Sorgen bereiten könnte. Das Gericht wies die Forderung von Facebook zurück, die von der irischen Datenschutzbehörde (Data Protection Commission – DPC) angestrebte Untersuchung des transatlantischen Datentransfers zu blockieren. Damit kann die Behörde nach einer gut halbjährigen Unterbrechung nun wieder tätig werden.

Irische Datenschutzbehörde (DPC) nimmt Datentransfer in die USA nun unter die Lupe 

Im Herbst letzten Jahres hatte der High Court den Antrag von Facebook auf eine gerichtliche Überprüfung einer vorläufigen Anordnung der DPC zum Stopp des Datentransfers auf Grundlage der Standardvertragsklauseln noch genehmigt, sodass die Behörde zunächst keine weiteren Schritte unternahm. Nach dem jetzt ergangenen Urteil sieht der Datenschutz-Aktivist Max Schrems, durch dessen Beschwerde das Privacy-Shield-Abkommen letztlich gestoppt wurde, vor allem auch die DPC in der Pflicht, nun endlich die transatlantischen Datentransfers von Facebook zu stoppen.

DCP wurde wegen Passivität bezüglich Datenübertragung von der EU in die USA schon länger kritisiert

Der irischen Behörde, die auch von anderen Datenschutzinstitutionen in der EU aufgrund ihrer Passivität zum Teil heftig kritisiert wird, wirft Schrems bzw. die von ihm gegründete Initiative noyb eine Verzögerungstaktik vor, durch die Entscheidungen gegen Facebook bislang immer hinausgezögert worden seien. Er erwartet, dass die bisherige Praxis von Facebook bei der Übertragung personenbezogener Daten von der EU in die USA nun kurzfristig, wahrscheinlich noch vor dem Sommer, gestoppt werde.

Hintergrund: Noyb (None of your Business)

Der österreichische Datenschutzaktivist Max Schrems, der große Konzerne schon lange wegen seine Datenschutzmängel angreift,  hat eine Organisation auf die Beine gestellt, mit der Datenschutzrechte besser geschützt werden sollen. Der Datenschützer Max Schrems ist vor allem durch seine Klagen gegen Facebook bekannt geworden, in deren Folge die Datenschutzabkommen Safe Harbor zwischen der EU und den USA gekippt wurde. Später kippte er vor dem EuGH Privacy Shield.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Noyb (None of your Business) ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen. 

DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Weitere News zum Thema:

Datenschutzbehörde drängt auf Einsatz von Open-Source-Lösungen

Die Macht großer Technologiekonzerne soll eingedämmt werden

Noyb gegen Trackingverfahren: Datenschutzorganisation nimmt Apple ins Visier