Datentransfer in die USA: Neue Standardvertragsklauseln der EU-Kommission bieten keine umfassende Sicherheit

Die Problematik des „Internationalen Datentransfers“ aus Sicht der DSGVO hatten wir schon in einem ersten Blogartikel aufgegriffen. Seitdem hat die EU-Kommission neue Standardvertragsklauseln für den Datentransfer zwischen der EU und Drittländern erlassen. Diese finden daher auch Anwendung auf den Datentransfer mit den USA.

Bis spätestens 27.12.2021 müssen alle Unternehmen, die die bisherigen Standardvertragsklauseln verwenden, auf die neuen Regelungen umgestellt haben.

Ist mit Verwendung der neuen Standardvertragsklauseln der Datentransfer in die USA automatisch sicher?

Das ist leider nicht der Fall. Die Sicherheits- und Geheimdienstbehörden der USA haben nach wie vor das Recht, auf solche Daten zuzugreifen und damit die in der DSGVO festgelegten Datenschutzregeln zu umgehen.

Was kann ein Versender kommerzieller E-Mails zusätzlich tun, um den Datentransfer in die USA rechtlich korrekt abzuwickeln?

Es müssen zusätzliche Maßnahmen ergriffen werden, um wieder ein Datenschutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau gleichwertig ist. Alles andere würde gegen geltendes Recht verstoßen. Hierzu können beispielsweise übermittelte Daten verschlüsselt werden. Grundsätzlich lautet die Empfehlung, die geplanten Maßnahmen mit der zuständigen Datenschutzbehörde des eigenen Landes abzustimmen, um auf der sicheren Seite zu sein.

Prüfen die nationalen Datenschutzbehörden, ob Unternehmen zusätzliche Schutzmaßnahmen ergreifen?

In Deutschland ist das der Fall. Die Aufsichtsbehörden verschiedener Bundesländer haben in einer gemeinsamen Aktion begonnen, stichprobenartig zu prüfen, wie Unternehmen diese Anforderungen umsetzen, indem sie Fragebögen veröffentlicht haben, die sie an ausgewählte Unternehmen versenden, vgl. https://datenschutz-hamburg.de/pressemitteilungen/2021/06/2021-06-01-fragebogen-datentransfer.

Es ist davon auszugehen, dass Aufsichtsbehörden in anderen Bundesländern folgen werden.

Darüber hinaus gibt es bereits einen konkreten Fall, in dem eine Aufsichtsbehörde aufgrund einer Kundenbeschwerde tätig geworden ist und einem in Deutschland ansässigen Unternehmen, das einen US-amerikanischen E-Mail Service Provider zur Versendung seiner Newsletter beauftragt hatte, bescheinigt hat, dass die Verwendung der Standardvertragsklauseln nicht ausreicht, um das Schutzniveau der DSGVO sicher zu stellen.

Von einem Bußgeld wurde in diesem Fall noch einmal abgesehen.

Das Unternehmen hat inzwischen seinen Vertrag mit dem amerikanischen Mailboxprovider beendet und versendet nun anderweitig.