Bisher waren legale Datentransfers in die USA unter anderem durch das Selbstzertifizierungsverfahren EU-US-Privacy Shield möglich. Demnach verpflichten sich Firmen aus den USA zur Einhaltung der europäischen Mindest-Datenschutzstandards nach der DSGVO (Datenschutz-Grundverordnung). Ob sich die amerikanischen Firmen an diesen Mindeststandard halten ist fraglich. Jetzt liegt ein neues Gutachten des Europäischen Datenschutzausschusses vor, wonach eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde ohne neues Abkommen nur noch in sehr engen Grenzen möglich ist

Datenschutz in den USA

Grundsätzlich gelten in den USA sehr lasche Datenschutzgesetze. Webtracking und das Sammeln von personenbezogenen Daten sind in den USA üblich und werden kaum vom Staat reguliert. Darüber hinaus sind Anbieterkennzeichnungen (Impressum) sowie Datenschutzerklärungen auf Webseiten freiwillig und müssen nicht zwingend eingebaut werden.

US CLOUD Act

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein in den USA geltendes Gesetz, welches IT-und Internetfirmen dazu verpflichtet den US-Behörden Zugriff auf alle Daten zu ermöglichen, auf die das Unternehmen selbst auch Zugriff hat. Den US-Behörden muss der Zugriff auf unternehmenseigene Daten auch dann gewährt werden, wenn die Daten auf Servern außerhalb der USA gespeichert werden. Das bedeutet, dass die US-Behörden auf alle Daten zugreifen können, die auf einem Server liegen, der von einem US-amerikanischen Unternehmen betrieben bzw. vermietet wird.

Genau dieses Gesetz führt jetzt dazu, dass das US-Privacy Shield Programm nicht ausreicht, um Scripte und Webtracker aus den USA rechtskonform einsetzen zu können. Demnach müssten sich US-Unternehmen der IT und Internetbranche über die in den USA geltende  Gesetze hinweg setzen, damit ihre Produkte in der EU rechtskonform eingesetzt werden können. Das bedeutet zugleich, dass auch ein EU-Standardvertrag keine Rechtsgrundlage zur Nutzung mehr darstellt, da der Cloud Act weiterhin gültig bleibt.

Fazit

Sollten IT-Produkte (Scripte, Webtracker) aus den USA grundsätzlich nicht mehr in der EU datenschutzkonform eingesetzt werden können, stellt das viele Unternehmen vor das Problem der technischen Umsetzung der neuen Regelung.

Da personenbezogene Daten nur vollständig anonymisiert in Umlauf gebracht werden und nicht an Dritte weitergegeben werden dürfen, ist der Cloud Act definitiv ein Grund, Datentransfers in die USA ausnahmslos zu illegalisieren.

Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular), die Sie dann auf nur noch auf ihrer Seite einpflegen müssen. Darüber hinaus wird ihre Seite durch einen spezialisierten Rechtsanwalt  geprüft, selbstverständlich inklusive Haftungsübernahme.