Datenschutz: Datenübermittlung in die USA
Datenübermittlung zwischen den USA und Europa – Privacy Shield
Die Datenschutzgesetze der USA scheinen für die meisten Personen ein weitentferntes Thema zu sein. Tatsächlich haben jedoch einige amerikanische Gesetze sowohl für Privatpersonen als auch Unternehmen in Europa Auswirkungen. Dies betrifft unter anderem die Nutzung von Cloud-Speicher-Diensten mit Sitz in den USA, die den dortigen nationalen Gesetzen unterliegen. Denn laut der EU-Kommission existiert außerhalb der EU, abgesehen von wenigen Ausnahmen wie zum Beispiel der Schweiz, kein ausreichender Datenschutz.
Die EU ist bestrebt, eine Lösung für den weltweiten Datenaustausch trotz der unterschiedlichen Datenschutzstandards zu finden. Der Privacy Shield war ein konkreter Versuch, die Datenübermittlung von Unternehmen mit Sitz in den USA, Europa und der Schweiz dem hohen Niveau der Datenschutzanforderungen der EU anzupassen. Jedoch wurde dieses Abkommen bereits 2020 vom Europäischen Gerichtshof wieder gekippt, da die Rechtsregime der EU und USA zu unterschiedlich sind.
Was bedeutet das Ende des Privacy Shields?
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden.
Demnach dürfen nach Artikel 44 der DSGVO personenbezogene Daten nur an ein Drittland mit angemessenem Schutzniveau weitergeleitet werden. Zusätzlich wurde mit Artikel 45 und Artikel 46 der DSGVO geregelt, dass das Schutzniveau zum Beispiel mithilfe eines Angemessenheitsbeschlusses oder eine sonstige Garantie gewährleistet wird. Dies war zuvor mithilfe des Privacy Shields geregelt, da vonseiten der EU das Schutzniveau der USA als angemessen betrachtet wurde. Durch den Wegfall des Privacy Shields, ist die Datenübertragung von personenbezogenen Daten in die USA nicht mehr sicher.
Für alle, die sich das Thema Privacy Shield sowie die Folgen des Gerichtsurteils der EuGH mithilfe eines Videos erklären lassen möchten, empfehlen wir folgendes Video der Stämmler Rechtsanwälte.
Wer ist von dem Ende des Privacy Shields betroffen?
Das Urteil betrifft alle Unternehmen, die personenbezogene Daten in die USA übermitteln. Dies ist vor allem bei der Nutzung von Cloud-Speichern oder bei unternehmensinternen Datenübermittlungen der Fall. Zukünftig könnten auch jene Unternehmen betroffen sein, die auf Grundlage von Standarddatenschutzklauseln Daten in weitere Drittländer übermitteln. Es ist nicht ausgeschlossen, dass auch diese Vereinbarungen noch einmal von der EuGH überprüft werden.
Standardvertragsklauseln für die Datenübermittlung in die USA
Mit Ende der Privacy-Shield-Vereinbarung, müssen Unternehmen neue Wege finden, den Schutz von personenbezogenen Daten in Drittländern zu gewährleisten. Eine dieser Alternativen sind Standardvertragsklauseln.
Diese sind vorgefertigte Vertragsmuster der EU-Kommission für die Übermittlung von Daten von Ländern der Europäischen Union in Drittländer (Nicht-EU-Länder).
(Quelle: IHK Region Stuttgart)
Es gibt zwei Arten von Standardvertragsklauseln, die abgeschlossen werden können:
- Ersteres regelt die Datenübermittlung zwischen Unternehmen und dem Auftragsverarbeiter.
- Die zweite Klausel betrifft die Übermittlung von personenbezogenen Daten in Drittstaaten.
Die Vertragsmuster der EU-Kommission müssen unverändert übernommen werden, um gültig zu sein.
Alle Standardvertragsklauseln, also auch bereits bestehende, müssen auf die neuen angepasst werden. Also auch Unternehmen, die bisher unter dem Privacy Shield Kundendaten in die USA übermittelt haben. Die Übergangsfrist, um bestehende Vertragsverhältnisse an die neuen Standardvertragsklauseln anzupassen, beträgt 18 Monate und endet am 27. Dezember 2022.
Wie können Unternehmen konkret vorgehen?
Die IHK Region Stuttgart hat einen Leitfaden verfasst, den Unternehmen für die Aufsetzung der neuen Standardvertragsklauseln folgen können. Wir stellen einen Auszug vor:
Betriebsinterne Bestandsaufnahme
- Werden Kundendaten in Drittstaaten, vor allem die USA, verarbeitet?
- Werden Kundendaten von Unternehmen verarbeitet mit Sitz in den USA?
Setzen die Dienstleister und Auftragsverarbeiter Anbieter, wie Webhoster, aus den USA ein?
Vereinbarung der Standardvertragsklauseln
- Unternehmen aus Drittstaaten müssen gebeten werden, die neuen Standardvertragsklauseln vorzulegen.
- Auftragsverarbeiter fragen, ob diese Standardvertragsklauseln mit deren Subunternehmer in Drittstaaten geschlossen haben.
Technische Schutzmaßnahmen überprüfen
- Anbieter aus Drittstaaten bitten, deren Sicherheitsmaßnahmen, wie Verschlüsselung, zu nennen.
- Auftragsverarbeiter fragen, ob Subunternehmer nachweislich Schutzmaßnahmen nutzen
Diese Vorgänge müssen vom jeweiligen Unternehmen dokumentiert sowie protokolliert werden. Es sollte außerdem beachtet werden, dass die Standardvertragsklausel an sich im Einzelfall meist nicht ausreicht. Eine Orientierungshilfe bieten die Landesdatenschutzbeauftragten von Baden-Württemberg.
Was kommt nach dem Privacy Shield?
Um eine sichere Übermittlung von personenbezogenen Daten von Europa in die USA zu gewährleisten, wurde bereits damit begonnen, ein neues Abkommen auszuhandeln. US-Präsident Biden ist bereit, mit der EU über ein neues Datenschutzabkommen zu sprechen. Aktuell sind noch keine konkreten Details zu dessen Inhalt bekannt.
Heise berichtete im Februar 2022, dass der Meta-Konzern im Rahmen einer internen Risikobewertung mit einer Abschaltung seiner Dienste in Europa rechne, wenn kein neues Datenschutzabkommen folgt. Ohne eine gesetzliche Grundlage für den länderübergreifenden Datentransfer wäre der Konzern nicht mehr in der Lage, Dienste wie Facebook oder Instagram in Europa anzubieten.
Max Schrems zum Privacy Shield 2.0
Datenschutzaktivist Max Schrems hat bereits 2015 erfolgreich gegen das Safe Harbour Abkommen und 2020 den Privacy Shield vor dem EuGH geklagt. Schrems hat über seine Datenschutzorganisation Noyb ein Statement zum „Privacy Shield 2.0“ verfasst.
Er erklärt, dass es sich bei dem neuen Abkommen lediglich um eine politische Ankündigung ohne Rechtsgrundlage handelt. Inhaltlich geht er davon aus, dass der endgültige Text keine großen Unterschiede zum Privacy Shield zeigt. Daher hat er bereits angekündigt, dass er die endgültige Fassung des Rechtstextes zusammen mit US-Rechtsexperten analysieren und gegebenen Falles ein drittes Mal anfechten wird.
Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um zu einem 'No-Spy'-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit.
Datenschutzaktivist Max Schrems über das geplante Abkommen „Privacy Shield 2.0“
Wie ist der Datenschutz in den Vereinigten Staaten geregelt?
Im Gegensatz zur europäischen DSGVO gibt es in den USA kein allgemeines und umfassendes Datenschutzgesetz. Einzelne Branchen und Staaten besitzen jeweils eigene Datenschutzgesetze, wie zum Beispiel die Wirtschaft, das Gesundheitswesen oder der Finanzsektor. Diese Regeln den Umgang sowie Speicherung von personenbezogenen Daten. Ein großes Problem ist, dass es keine zuständigen Stellen gibt, an die sich betroffene bei einem Datenschutzvorfall wenden können.
Wieso unterscheiden sich der Datenschutz in den USA und der EU?
In der EU gilt der Schutz von personenbezogenen Daten als Grundrecht. Dies wird unter anderem in Artikel 8 der EU Charter of Fundamental Rights werden. festgehalten:
Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
In den USA wird Datenschutz jedoch als Teil des Verbraucherschutzrechts und damit als Teil des Wirtschaftssektors gesehen. Immerhin übernimmt die Federal Trade Comission (FTC) die Rolle der datenschutzrechtlichen Aufsicht in den USA. In der EU wird dies von unabhängigen Datenschutzbehörden und -beauftragten ausgeführt.
Warum gibt es beim Datenschutz in der USA Einschränkungen?
Die US-amerikanischen Datenschutzstandards sind aus Sicht der EU nicht angemessen. Begründet werden kann dies vor allem vonseiten der amerikanischen Regierung. Mit dem USA PATRIOT Act folgte ein Gesetz, welches nach den Terroranschlägen des 11. Septembers 2001 die Berechtigungen von Sicherheitsbehörden erheblich ausweitete. So können Behörden jederzeit auf Daten zugreifen, die auf US-amerikanischen Servern gespeichert werden.
Wie sich die bedenklichen Datenschutzgesetze der USA auf die jeweiligen Personen und Unternehmen auswirken, die Produkte und Dienstleistungen von Unternehmen mit Sitz in den USA beziehen, erfahren Sie in den folgenden Kapiteln.
Weiterführende Informationen
Der US CLOUD Act
Der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ermöglicht US-Behörden den Zugriff zu Daten, die auf Server von amerikanischen Cloud-Provider gespeichert wurden. Wie der Titel schon sagt, schließt dies auch Nutzerinnen und Nutzer ein, die nicht in den USA wohnhaft sind. Damit setzt sich der CLOUD Act bewusst über bestehende und geltende Datenschutzgesetze anderer Staaten, wie auch der DSGVO, hinweg.
Kann sich ein Unternehmen gleichzeitig an die DSGVO sowie den CLOUD Act halten?
Der CLOUD Act zwingt US-amerikanische Unternehmen in einen rechtswidrigen Zwiespalt. Diese können sich nicht gleichzeitig an den CLOUD Act sowie an die DSGVO halten, da sich die beiden Gesetze widersprechen. Außerdem untersagt der CLOUD Act den Cloud-Betreibern, dessen Kunden darüber zu informieren, falls amerikanische Behörden tatsächlich ihre Daten abgefragt haben.
Einen kurzen Überblick über den CLOUD Act sowie dessen folgen, wird im folgenden Video von IONOS Deutschland erklärt.
Der EARN IT Act 2022
Der Überwachungsstaat in den USA soll unter dem Vorwand, Kinder zu schützen, ausgebaut werden. Der EARN IT Act („Eliminating Abusive and Rampant Neglect of Interactive Technologies Act“) stellt eine Bedrohung für Ende-zu-Ende-Verschlüsselung (E2EE) dar. Unternehmen werden unter Druck gesetzt, indem Sie unter diesem Gesetz zukünftig für die Inhalte Ihrer Anwenderinnen und Anwender haften. Dafür soll starke Verschlüsselung entweder abgeschafft und/oder Hintertüren eingebaut werden.
Welche Auswirkungen hat der EARN IT Act auf die Bürgerrechte?
Privatpersonen und Strafverfolgungsbehörden können künftig Internetplattformen auf Grundlage des EARN IT-Acts direkt verklagen, wenn dadurch Verbrechen gegen Kinder geahndet werden. Dies ist ein effektives Druckmittel mit dem Hintergedanken, dass dadurch die Anbieter den Behörden Zugriff auf Nutzerkonten und Inhalte gewähren müssen. Aus Sicht der Bürgerinnen und Bürger wäre das Inkrafttreten des EARN IT-Acts jedoch fatal und würde den weiteren Ausbau des Überwachungsstaates bedeuten.
Lisa Figas aus dem Boxcryptor-Team gibt im folgenden Video einen kurzen Überblick über den EARN IT Act sowie dessen Konsequenzen für unsere Bürgerrechte.
Der LAED Act – Staatlich verordnete Hintertüren
Mit dem LAED Act („Lawful Access to Encrypted Data Act”), also dem Gesetz über den rechtmäßigen Zugang zu verschlüsselten Daten, folgt ein weiteres US-amerikanisches Gesetz, welche eine Bedrohung für starke Ende-zu-Ende-Verschlüsselung darstellt. Um illegales Verhalten aufzudecken, sollen US-Provider und -Plattformen die Möglichkeit haben, eine Entschlüsselungsverpflichtung auszusprechen. Dadurch soll die Strafverfolgung erleichtert werden.
Hintertüren oder Schwachstellen?
Ähnlich wie beim EARN IT-Act sollen beim LAED-Gesetz Hintertüren in die Verschlüsselungssoftware eingebaut werden. Unter dem Vorwand, dass ausschließlich autorisierte Stellen diese nutzen können, würde das jedoch konkret die Abschaffung von Ende-zu-Ende-Verschlüsselung bedeuten. Außerdem könnten die Hintertüren – oder eher Schwachstellen – für Angriffe missbraucht werden. Während technisch-affine Personen mit kriminellen Absichten auf alternative Netzwerke ausweichen können, bedeutet der LAED Act den Ausbau des Überwachungsstaates für „durchschnittlich technisch begabte“ Privatpersonen.
Im Video Bye Bye Ende-zu-Ende-Verschlüsselung? gibt Lisa Figas aus dem Boxcryptor-Team zunächst einen Überblick über den EARN IT Act, bevor sie ab Minute 15:20 den LAED Act thematisiert.
FINRA, SOX, FIPS – Compliance und Datenschutz für die US-Finanzbranche
Was ist FINRA?
Die FINRA („Financial Regulatory Authority“) beaufsichtigt Personen und Firmen, die Wertpapiere an den US-Börsen handeln. Eine FINRA-konforme Nutzung von Cloud-Speichern? Mit speziell zertifizierten Anbietern sowie Verschlüsselungslösungen ist die konforme Arbeit mit der Cloud bedenkenlos möglich.
Die FINRA beaufsichtigt unter anderem:
- Dauer der Datenaufbewahrung
- Speicherung von Daten in der Cloud
- Verschlüsselung von Daten.
Was ist SOX?
Der SOX Act („Sarbanes-Oxley Act“) ist für die Qualität und Verlässlichkeit der Berichterstattungen von Unternehmen, die am öffentlichen Kapitalmarkt teilnehmen zuständig. Die drei zentralen Anwendungsbereiche des SOX Act sind die Corporate Governance, Compliance und eine externe Berichterstattung. Auch regelt das Gesetz die Nutzung von Cloud-Speichern und schreibt betroffenen Unternehmen vor, Daten unabhängig vom Inhalt mit einem 256-Bit-AES-Schlüssel zu verschlüsseln.
Was ist FIPS 140-2?
FIPS steht für Federal Information Processing Standard Publication und ist ein US-amerikanischer Sicherheitsstandard für die Freigabe von kryptografischen Modulen. Außerdem koordiniert FIPS die Anforderungen und Standards an Verschlüsselungsverfahren für Hardware und Software. Die Zertifizierung FIPS 140-2 ist in vier Stufen aufgeteilt und bescheinigt die physische Sicherheit einer Software. Je höher die Stufe, desto höher ist auch der Sicherheitsstandard.
Die verschiedenen Sicherheitsstufen sowie Anwendungsbereiche von FIPS 140-2, werden im Video Understanding FIPS 140-2 erklärt.
HIPAA/HITECH – Sicherheit von Gesundheitsdaten in den USA
Umgang mit personenbezogenen Daten im Gesundheitswesen
Präsident Bill Clinton verabschiedete das HIPAA-Gesetz („Health Insurance Portability and Accountability Act”) im Jahr 1996. HIPPA schreibt vor, wie mit personenbezogenen Daten im Gesundheitswesen umzugehen ist und bildet den Grundstein für die sichere Verarbeitung personenbezogener Daten in der elektronischen Patientenakte (ePA).
2009 wurde zusätzlich das HITECH-Gesetz („Health Information Technology for Economic and Clinical Health Act“) eingeführt, welche die Einführung von Technologien sowie der einfacheren Verarbeitung von Patientendaten dienen soll. Dies betrifft gerade die in Amerika weitverbreitete elektronische Patientenakte (ePA).
Die elektronische Patientenakte – zusätzlicher Nutzen oder Angriffsfläche?
Daten, die in der ePA verarbeitet werden, gehören einer „besonderen Kategorie von personenbezogenen Daten“ an. Die ePA ermöglicht eine einfache Handhabung und Transparenz für Ärzte, sodass alle wichtigen Patienteninformationen sofort und an einem Ort zu finden sind. Die sensiblen Informationen über die Gesundheit und das Wohlbefinden einer Person, macht die ePA jedoch auch besonders anfällig für Cyberangriffe. Deshalb ist es wichtig, die sensiblen Gesundheitsdaten effektiv vor Angriffen zu schützen, damit wichtige Informationen nicht in die falschen Hände geraten.
Im Video „The HIPAA Privacy Rule” erhalten Sie einen Überblick über die HIPAA/HITECH-Gesetze sowie deren Anwendungsfälle in englischer Sprache.
CCPA und CPRA – Datenschutz in Kalifornien
Unternehmen, die bereits DSGVO-Konform sind, müssen zur Einhaltung des California Consumer Privacy Act (CCPA) lediglich kleinere Anpassungen für die Verarbeitung personenbezogener Daten in Kalifornien vornehmen. Dabei sind die Bedingungen des CCPA so beabsichtigt, dass gerade die größeren IT-Unternehmen im Silicon Valley darunterfallen.
Das Gesetz bringt einige neue Rechte für die in Kalifornien lebenden Personen mit sich, unter anderem:
- Zu deren Persönlichen Daten
- Einem Diskriminierungsverbot
- Schadensersatz geltend machen.
Der California Privacy Right Act (CPRA) ist eine Konkretisierung des CCPA und soll kalifornischen Verbraucherinnen und Verbrauchern das Recht geben, die Weitergabe von sensiblen Informationen zu verhindern. Der CPRA wird im Januar 2023 in Kraft treten und sich rückwirkend auf alle Daten beziehen, die seit dem 01. Januar 2022 gesammelt wurden.
Im Video „CCPA vs. GDPR“ finden Sie einen Vergleich des kalifornischen Datenschutzgesetzes mit der DSGVO in englischer Sprache.
Die Zukunft der sicheren Übermittlung personenbezogener Daten in die USA
Die Verhandlungen zwischen US-Präsident Biden und EU-Kommissionschefin von der Leyen machen Hoffnung auf einen vertrauenswürdigen Nachfolger des Privacy Shields. Allerdings werden Datenschutzaktivisten wie Max Schrems das Abkommen genauestens überprüfen und gegebenenfalls anfechten, sollte sich nicht grundlegend etwas an der US-amerikanischen Haltung zum Thema Datenschutz ändern.
Da die größten Technologie-Konzerne ihren Sitz in den USA haben, ist es wichtig, dass die personenbezogenen Daten von EU-Bürgerinnen und -Bürgern mit höchstmöglichem Schutz behandelt werden. Geheimdienste und Behörden aus den USA versuchen über verschiedene Gesetze wie dem EARN IT oder LAED Act, Hintertüren in Ende-zu-Ende-Verschlüsselung zu erzwingen. Diese Hintertüren sind jedoch automatisch Schwachstellen und bieten Personen mit kriminellen Absichten eine Möglichkeit, an die sensiblen Daten der Nutzerinnen und Nutzer zu gelangen.
Ob und vor allem wann ein „Privacy Shield 2.0“ in Kraft treten und auch datenschutzrechtlich unbedenklich sein wird, ist unklar. Unternehmen und Privatpersonen haben jedoch schon jetzt die Option, sensible Daten effektiv zu schützen. Durch Verschlüsselungslösungen wie Boxcryptor, werden Ihre Daten geschützt, bevor sie in die Cloud hochgeladen werden. So haben weder die Cloud-Anbieter noch irgendwelche Behörden aus Drittländern die Möglichkeit, auf Ihre Daten zuzugreifen.
Mit Zero-Knowledge-Anbieter von Verschlüsselungslösungen haben Sie zudem die Sicherheit, dass Sie die volle Kontrolle über Ihre Daten behalten, da der Anbieter wortwörtlich weder Ahnung noch Zugriff auf Ihre Daten hat. Was Sie sonst noch bei der Auswahl von geeigneter Verschlüsselungssoftware beachten sollten, erfahren Sie in folgendem Artikel.