Nachdem ich in einem vorherigen Beitrag das Urteil des Europäischen Gerichtshofs zum PrivacyShield (C-311/18) ausführlich erläutert habe, stelle ich nun eine erste, echte Ausweichmöglichkeit vor. Gleich zum Punkt:
Die Lösung kurz vorgestellt
Mit ihrem Artikel 49 Absatz 1 Satz 1 lit. a schenkt uns die Datenschutzgrundverordnung eine einfache, wenn auch unpraktikable Möglichkeit, Datenübermittlungen oder -auslagerungen in die USA unabhängig vom Bestand des PrivacyShields zu rechtfertigen. Hier hat der Verantwortliche die Möglichkeit, den Datentransfer in die USA durch eine ausdrückliche Einwilligung des Betroffenen zu rechtfertigen.
In der Umsetzung ist folgendes zu beachten:
- Der Einwilligungstext muss ausdrücklich auf die Risiken hinweisen, die eine Datenübermittlung in die USA ohne den Schutz eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln mit sich bringt. Es ist insbesondere auf folgende Risiken hinzuweisen:
- In den USA existiert kein einheitliches Datenschutzrecht; schon gar nicht ein solches, das vergleichbar mit der DSGVO wäre.
- Der US-Gesetzgeber hat sich zahlreiche Zugriffsrechte auf die Daten zugebilligt (vgl. etwa Section 702 des FISA oder die E.O. 12333 i.V.m. PPD-28), die mit unserem Rechtsverständnis nicht vereinbar sind.
- EU-Bürger haben in den USA keinen effektiven Rechtsschutz zu erwarten.
- Die Einwilligung muss ausdrücklich erfolgen. Anders ausgedrückt: Die Betroffenen müssen die Entscheidung ganz bewusst und in Kenntnis der Risiken treffen.
Die Umsetzung
Die Frage des „Wie“ hängt von der jeweiligen Datenverarbeitung ab. Hier die Fallgruppen:
- Stützt Ihr die Datenverarbeitung bereits auf eine Einwilligung? Und bietet der US-Empfänger keine Standardvertragsklauseln? In diesem Fall empfiehlt sich, die bestehende Einwilligungserklärung dahingehend zu erweitern, dass sie auch die Übermittlung der Daten in die USA umfasst. Am Beispiel einer WhatsApp-Einwilligung könnte der Einwilligungstext u.U. lauten: „Hiermit willige ich ein, mit Unternehmen XY per WhatsApp zu kommunizieren und gestatte dies auch bei Kenntnis aller Risiken einer Datenverarbeitung in den USA, wie in der Transparenzerklärung beschrieben.“ In der zu verlinkenden Transparenzerklärung ist dann auf alle Risiken hinzuweisen.
- Stützt Ihr die Datenverarbeitung auf eine einwilligungsunabhängige Rechtsvorschrift (z.B. Artikel 6 Absatz 1 Satz 1 lit. b oder f DSGVO)? Und bietet der US-Empfänger keine Standardvertragsklauseln? In diesem Fall belasst es bei der einwilligungsunabhängigen Rechtsgrundlage und holt nur für den US-Transfer eine Einwilligung ein. Bei einem Produktbestellformular könnte beispielsweise unter dem Formular (neben einer Checkbox) stehen: „Das Unternehmen XY wird mich werblich ansprechen, wobei ich weiß, dass ich dem jederzeit und ohne Kosten (außer den Verbindungskosten) widersprechen kann. Ergänzend gestatte ich bei Kenntnis aller Risiken einer Datenverarbeitung in den USA, eine dort stattfindende Datenverarbeitung, wie in der Transparenzerklärung beschrieben.“ In der zu verlinkenden Transparenzerklärung ist dann auf alle Risiken hinzuweisen.
- Unabhängig davon, auf welche Rechtsgrundlage Ihr die zugrundeliegende Datenverarbeitung stützt, wird es US-Unternehmen geben, die noch Standardvertragsklauseln anbieten. Hier ist eine solche Einwilligung streng genommen gar nicht möglich (ich weiß, hierüber können Juristen lange streiten). Hier könnte man aber vorsorglich eine solche Einwilligung einholen. Hier gilt allerdings äußerste Vorsicht, da mit Artikel 49 Absatz 1 Satz 1 litt. b, c DSGVO auch hier gute Alternativen zur Verfügung stehen. Dazu mehr in einem späteren Artikel.
- Altdaten sind mittels sog. ROL-Kampagnen entsprechend nachzuqualifizieren.
Für wen lohnt sich das?
Ich will ganz offen sein. Der Entwurf einer korrekten Einwilligung und insbesondere einer guten korrespondierenden Transparenzerklärung ist extrem aufwändig. Daher sollte hiermit sparsam umgegangen werden. Die Variante lohnt sich v.a. in Fällen, in denen ein Unternehmen für eine bestimmte Verarbeitung ohnehin schon immer eine Einwilligung einholen und auch stets hohe Einwilligungsraten haben.