Nutzung der US-Dienstleister: DSGVO-Konformität?

Datenschutz spielt auch in der digitalen Kommunikation eine grosse Rolle. Man denkt sofort an Datenschutzerklärungen auf jeder Website, an das Formular für das Abonnieren der Newsletter, den Schutz der Kundendaten und Vieles mehr. Hier diskutieren wir einen ein wenig versteckten Zusammenhang: Die Nutzung von US-basierten Anbietern für online Services.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S.-Privacy Shield wurde eine neue Grundlage für Datenübermittlungen von der EU in die USA gelegt. Sie ermöglichte europäischen Unternehmen Daten auch bei US-Dienstleistern zu hosten/bearbeiten zu können (z.B. in der Cloud) ohne Datenschutzrichtlinien zu verletzen.

Doch seit Juli 2020 ist das Privacy Shield nicht mehr gültig. Das hat Auswirkungen für Kunden von Adobe (z.B. Cloud, iStock), Amazon AWS, G-Suite (Google), Salesforce und SAP um nur einige Anbieter zu nennen.

Der „Schrems II“ Fall wurde durch die Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems ausgelöst. Hier weiter unten bieten wir Ihnen sogenannte „Schrems II“ Handlungsempfehlungen für eine datenschutzkonforme Verarbeitung in den USA.

In einem Überblick vergleichen wir die Datenschutzgrundverordnung (DSGVO) (gültig seit Mai 2018 – FAQs von DrKPI) mit dem California Consumer Protection Act (CCPA) (in Kraft seit Januar 2020), der für in Kalifornien ansässige Personen gilt. Er wurde dem DSGVO nachgebaut und hat in den USA als Vorbild andere Bundesstaaten beeinflusst:

• Die DSGVO gilt für personenbezogene Daten der betroffenen Personen in der EU, während der
• CCPA für personenbezogene Daten von Verbrauchern und Haushalten in Kalifornien gilt.

Stresstest für Marketingdaten und Datenschutz

Dank Digitalisierung sind Daten im Marketing ein Dauerthema. Aus diesem Grunde stellen wir Ihnen auch den drkpi® DSGVO Audit Light Ratgeber zur Verfügung.

Dass medizinische Daten akkurat und zeitnah genutzt werden müssen erleben wir aktuell bei den COVID-19 Tracing Apps, die in vielen Ländern eingesetzt werden. Die Tracking-Apps auf der ganzen Welt speichern Kontaktdaten von Personen, welche bis 2 Tage vor Krankheitsbeginn mit dem Infizierten Kontakt hatten. Im August 2020 fanden Forscher, dass Infizierte das Coronavirus bis zu 5 oder 6 Tage vor Ausbruch der Krankheit weitergeben können.

Somit gibt uns die App ein ungenaues Bild der Realität. Hinzu kommt, dass z.B. in der Schweiz viele die App wegen Bedenken zum Datenschutz nicht nutzen wollen.

Sind diese Bedenken berechtigt? Viele Menschen vergessen, dass Sie bei Nutzung anderer Apps viel mehr Daten preisgeben:

• Wenn bei Google eingeloggt, sammelt Chrome Browser Daten.
  Alternative: Firefox, Brave, Vivio, usw.
  Trend: Third-Party-Cookies im Google Chrome Browser sind ab 2022 nicht mehr willkommen. Apple löscht im Safari Browser alle First-Party-Cookies nach 24 Stunden.
• Websites zur Gesundheit teilen Daten mit Werbekunden – #DSGVO #CCPA Verletzungen: Symptome, die in den Symptom-Checker von WebMD eingegeben wurden, und die erhaltenen Diagnosen, einschliesslich der „Medikamentenüberdosierung“, wurden mit Facebook geteilt.
  Informationen zu Menstruations- und Ovulationszyklus vom BabyCentre wurden mit Amazon Marketing geteilt.
  Schlüsselwörter wie „Herzkrankheit“ und „Abtreibung in Betracht ziehen“ wurden von der British Heart Foundation, Bupa und Healthline sowie Scorecard Research und Blue Kai (im Besitz von Oracle) geteilt.
  Weiterführendes Lesematerial zum Thema: FT How top health websites are sharing sensitive data with advertisers, FT Best of Business Data health warning, 2019-11-16/17, p. 11 (nur für Abonnenten).

Vergleich DSGVO mit CCPA

Ein Grossteil der Anbieter von Software-as-a-Service (SaaS) und Cloud-Diensten haben ihren Sitz in den USA. Dort werden die Daten zum Teil auch verarbeitet oder von Europa via die USA nach Australien übermittelt. Beispiele sind Amazon AWS, G-Suite, Oracle, Salesforce, Mailchimp, Microsoft, Adobe, PayPal und andere.

Doch auch in den USA wird Datenschutz immer mehr ein Thema. Diese Tabelle vergleicht DSGVO mit dem CCPA. Beim genauen Lesen fällt auf, dass das CCPA sehr viele Ähnlichkeiten mit der EU Datenschutzgrundverordnung (DSGVO) hat.

Start of project	EU DatenschutzGrundverordnung (DSGVO)	California Consumer Protection Act (CCPA)
In Kraft seit:	2018-05-25	2020-01-01
Was sind die Rechte des Konsumenten oder einer Privatperson?	Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn ja, haben sie grundsätzlich ein Recht auf Bestimmung über diese Daten.	AB 375 ermöglicht es jedem kalifornischen Verbraucher, die Einsicht in alle Informationen zu verlangen, die ein Unternehmen über ihn gespeichert hat. Ebenfalls hat er oder sie das Recht, die vollständige Liste aller Dritten einsehen zu dürfen, mit denen Daten ausgetauscht werden. Das Gesetz gibt den Verbrauchern das Recht, alle Daten zu verlangen, die ein Unternehmen in den letzten 12 Monaten über sie gesammelt hat.
Für wen gilt diese(s) Gesetz / Verordnung – territoriale Anwendung?	Nach Art. 3 Abs. 2 DSGVO gilt 1. Für datenverarbeitenden Unternehmen mit Sitz in der Europäischen Union. 2. Schweizer Firmen welche in der EU wohnenden Personen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Es müssen jedoch aktiv Kunden aus der EU geworben werden um unter das DSGVO zu fallen. Beispielsweise Zahlung in Euro möglich, Lieferbedingungen für EU Kunden sind aufgelistet, Webseite ist in einer EU Sprache, usw.	1. Alle Unternehmen, die an in Kalifornien lebende Konsumenten Leistungen anbieten und mindestens 25 Millionen Dollar Jahreseinnahmen haben. 2. Firmen welche Daten von mehr als 50.000 Personen haben (Vorsicht, mehr als 4.000 Besucher auf Ihrer Website pro Monat, und diese Sache wird relevant). 3. Unternehmen, die mehr als die Hälfte ihrer Einnahmen aus dem Verkauf von persönlichen Daten erzielen.
Welche Daten sind geschützt?	Personenbezogene Daten gem. Artikel 4 der DSGVO sind alle Informationen, die sich auf eine bestimmte (identifizierte) oder bestimmbare (identifizierbare) natürliche Person beziehen. Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann (z.B. Name, Geburtsdatum, Postadresse, usw.). Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.	Der CCPA berücksichtigt nur Daten, die von einem Verbraucher zur Verfügung gestellt wurden (z.B. Name, Geburtsdatum, Alter, etc.), und schliesst persönliche Daten aus, die von Dritten gekauft oder durch Dritte erworben wurden. Personenbezogene Daten umfassen keine anonymisierten Benutzerinformationen – die oft das Rohmaterial für die Schulung von Modellen der maschinellen KI sind. Eigentumsaufzeichnungen wie z.B. Software zur Gesichtserkennung! Siehe auch California’s data breach notification law.
Welche Daten sind nicht geschützt?	Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung (z.B. Abführung von Steuern oder Sozialabgaben). Nur das Recht der EU oder der EU-Mitgliedstaaten ist hier massgeblich. Nicht geschützt sind Daten von juristischen Personen wie Firmen oder Stiftungen.	„Öffentlich zugängliche“ Informationen, die von Bundes-, Landes- oder Kommunalregierungen gesammelt und veröffentlicht werden, sind unter dem CCPA nicht geschützt. Dazu gehören Einträge im Grundbuch, Gerichtsakten, Wählerregistrierungen sowie Geburts-, Heirats- und Sterbeurkunden. Etwa 200 Datenvermittlungsfirmen in den USA, wie BeenVerified, Intelius, SearchPeopleFree und Spokeo, sammeln und verkaufen diese Informationen und tun dies auch weiterhin.
Was sind die Bussen bei Verstössen gegen das Gesetz?	Bei Verstössen gegen die DSGVO haben die Aufsichtsbehörden die Kompetenz zum Erlass von Massnahmen und zur Verhängung von Bussen bis zu EUR 20 Mio oder 4% des gesamten weltweiten Jahresumsatzes des zu büssenden Unternehmens (zur Verhängung von Bussen genügt Fahrlässigkeit, Vorsatz ist nicht erforderlich).	1. Der Verbraucher kann den Generalstaatsanwalt informieren, der eine Geldbusse von bis zu 7.500 Dollar pro Datensatz verhängen kann. Das Unternehmen kann strafrechtlich belangt werden. 2. Wenn der Generalstaatsanwalt die Strafverfolgung ablehnt, dann können die betroffenen Verbraucher eine Sammelklage gegen das Unternehmen einreichen.
Was ist bei einer Datenschutzverletzung zu tun?	Bei Datenschutzverletzung muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Bei hohem Risiko von Persönlichkeitsverletzungen muss zudem die betroffene Person benachrichtigt werden.	Unternehmen sind nicht verpflichtet, Verstösse gemäss AB 375 zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldbussen möglich sind. Eine Organisation, die die DSGVO einhält, muss wahrscheinlich keine weiteren Massnahmen ergreifen, um AB 375 in Bezug auf die Sicherung von Daten einzuhalten.

Schrems II Handlungsempfehlung: Lösung für Nutzung der US-Dienstleister

Die EuGH-Entscheidung in der Angelegenheit Schrems II verpflichtet die Verantwortlichen zu unmittelbaren Handlungen, um Übermittlungen an Empfänger in den USA (und anderen Drittstaaten) weiterhin rechtmässig durchführen zu können und keinen Sanktionen durch die Aufsichtsbehörden ausgesetzt zu sein.

Der Privacy Shield ist ab sofort ungültig. Doch wenn ich die obige Tabelle genau studiere, tauchen Fragen auf wie beispielsweise:

• Sollte es nicht ein Unterschied sein, ob mein Datenverarbeiter dies in Kalifornien macht oder Arkansas (eher weniger streng mit Datenschutz) und wenn
• ich überhaupt nicht überprüfen kann, wo die Daten in der Cloud gespeichert sind (geographisch gesehen)?

Das Schrems II Urteil gegen Facebook hat ein „Wackeln“ der EU-Standardvertragsklauseln zu Folge. Denn hierdurch sind in einigen Unternehmen elementare Geschäftsprozesse bedroht.  Nach Massgabe des EuGH-Urteils müssen Verantwortliche nun zusätzliche Schutzmassnahmen vereinbaren bzw. sicherstellen, die eine datenschutzkonforme Verarbeitung z.B. in den USA gewährleisten.

Die baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI) hat am 24. August 2020 eine Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II veröffentlicht.

Vorgeschlagen werden vom LfDi allerdings nicht nur Ergänzungen der EU-Standardvertragsklauseln. Der Regulator will die Umsetzung der Schrems II Handlungsempfehlung mit Änderungen der EU-Standardvertragsklauseln sicherstellen. Die Änderungen sind genehmigungspflichtig. Also müsste ein in der D-A-CH Region domiziliertes Unternehmen die Änderungen der für ihn zuständigen Aufsichtsbehörde vorgelegt und von dieser genehmigt werden (auch ein Schweizer Unternehmen wird diese Sachlage abklären müssen, wenn es Daten von EU-domizilierten Kunden in den USA bearbeiten lässt).

Soweit uns bekannt, schlägt der LfDI als erste Behörde Folgendes vor.

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.

2020-08-24 – baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI). Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II  (zweitletzte und letzte Seite der pdf Datei)

Aber sind meine Daten in Europa sicher? Achtung: US CLOUD Act

Im Jahr 2013, im Fall Microsoft gegen die Vereinigten Staaten, weigerte sich Microsoft erfolgreich, Daten an das Federal Bureau of Investigations (FBI) weiterzugeben. Das FBI beantragte bei Microsoft in Irland Zugriff auf Daten auf Servern.

Der „Clarifying Lawful Overseas Use of Data Act“ („CLOUD Act“) erlaubt es im Kern den US-Strafverfolgungsbehörden, von Kommunikationsdienstanbietern, wie etwa Cloud- oder E-Mail-Anbietern, in den USA Daten anzufordern, über die sie Besitz, Verwahrung oder Kontrolle ausüben.

Dies kann auch Daten betreffen, die in der Cloud auf Servern in den Mitgliedstaaten der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) und der Schweiz (z.B. Microsoft Schweiz) gehostet werden. Grundsätzlich bedeutet dies, dass auch wenn ich ein Dienstleister in Europa nutze, wenn z.B. der Cloud Service Provider eine USA Firma ist, besteht die Möglichkeit das USA Behörden Zugang bekommen, DSGVO hin oder her.

Schlussfolgerungen – Datenschutzkonformität bei Nutzung der US-Dienstleister?

Was der LfDI vorschlägt ist, dass ich ihn überzeugen muss, welche Anwendung und welchen Anbieter ich in den USA nutzen will. Der von mir in den USA genutzte Dienstleister muss so gut sein, dass es in Europa und insbesondere Deutschland keine zumutbare Alternative gibt.

Viele Firmen müssten also eine Alternative für den jetzigen Newsletter-Provider wie Mailchimp, ActiveCampaign und weitere suchen. Wir haben es versucht und für den Marketingverband einen Service in Deutschland eingerichtet. Doch die so tolle DSGVO-Konformität lies zu wünschen übrig und technische Funktionalität war nicht zufriedenstellend.

Auch andere Angebote hatten bei den Tests keine gut funktionierenden Schnittstellen (API = Aplication Interface Programming) oder auch altmodische Editoren Angebote. Das bedeutete für uns viel mehr Arbeit, Zeitverlust und somit Kosten. All dies ohne dass wir eine wirklich gute DSGVO-Konformität erreichten.

Für den #drkpiBlogTracker Service Newsletter (siehe Einwilligung USA Datenverbarbeitung) sowie unseren Newsletter #drkpi sind wir weiterhin auf Mailchimp (hier der Check/Abo anfordern nutzen wir auch wieder Mailchimp – trotz des EuGH-Urteils.

Noch komplizierter wird es, wenn bei Nutzung eines US-Anbieters mehr als Name, Vorname und Email gespeichert werden. Beispielsweise können dies auch Versicherungsnummern, Gesundheits- oder Zahlungsdaten sein, welche in der Cloud gehostet werden (bei Amazon AWS usw.). Eigentlich müsste ich im Vorfeld die Datenschutzbehörden überzeugen.

Das Resultat ist:

• Datenschutzbehörden brauchen für die Bearbeitung all dieser Eingaben zur Genehmigung viel Zeit und Nerven und
• Betrieben gibt das viel Aufwand und sie brauchen Geduld bis alles genehmigt wird. Wenn nicht, geht der Stress erst recht los.

Da kann man nur hoffen, dass die neu aufgenommenen Gespräche nach dem Schrems-II-Urteil zwischen dem U.S. Department of Commerce und die Europäische Kommission bald eine Möglichkeit eines Privacy Shield 2.0 („enhanced EU‑U.S. Privacy Shield“) präsentieren können. Das wäre von Vorteil für Unternehmen und Konsumenten (siehe Pressemitteilung).

Wenn Sie sich bei Ihrer digitalen Kommunikation an die EU-DSGVO halten, sind Sie schon einmal innerhalb von Europa sicher. Hier loht es sich in eine stabile Basis zum Datenschutz zu investieren, Personal zu schulen, richtig zu dokumentieren. Sonst kann es sehr teuer werden. Möchten Sie wissen, wo Sie stehen? Nutzen Sie unseren AuditLight Check (zum Herunterladen als PDF).