Datenverarbeitung in versus außerhalb der EU
Das Thema Datenverarbeitung innerhalb und außerhalb der EU wirft eine Reihe von Fragen auf: Gehören Ihre personenbezogenen Daten - also zum Beispiel Ihre Einkünfte, Ihr Suchverhalten im Internet, Ihre besuchten Seiten, Ihre Personalakte, Krankenakte, Standortdaten etc. - Ihnen oder der Allgemeinheit? Wie hoch ist das Datenschutzniveau innerhalb der EU und wie sieht es in Nicht-EU-Ländern aus? In den folgenden Abschnitten haben wir die relevanten Fakten rund um das Thema Datenverarbeitung in und außerhalb der Europäischen Union für Sie zusammengefasst. Verschaffen Sie sich einen Überblick!
In der EU werden Ihre Daten per Gesetz geschützt
Nach Artikel 8 der Grundrechtecharta der Europäischen Union hat jede Person das Recht auf Schutz der eigenen personenbezogenen Daten. Zudem sind Rechte wie das Recht auf Auskunft und das Recht auf Löschung geregelt. Auch die Kontrolle des Datenschutzes durch unabhängige Stellen wird garantiert. Umgesetzt wird dies durch die Datenschutzgrundverordnung. Die DSGVO zwingt Unternehmen, Ihre Daten zu schützen und Ihre Rechte zu gewährleisten.1
Wie (wurden) werden Ihre Daten im Ausland geschützt?
Doch im Internet gelten keine Grenzen. Wie werden Ihre Daten geschützt, wenn sie außerhalb von Europa verarbeitet werden, beispielsweise in den USA? Damit Sie sich nicht auf das folgenlose Versprechen von Unternehmen (welche mit Ihren Daten Geld verdienen) verlassen müssen, versucht die EU, Ihre Rechte zu stärken:
Safe Harbour 2000-2015
Im Jahr 2000 wird der Safe Harbour2 Beschluss mit den USA geschlossen. Der Beschluss soll Unternehmen ermöglichen, personenbezogene Daten aus einem Land der Europäischen Union in die USA zu übermitteln. Und zwar in Übereinstimmung mit der europäischen Datenschutzrichtlinie.
Es wird schnell klar, dass das Abkommen Ihre personenbezogenen Daten nicht wirksam schützt. Der Düsseldorfer Kreis (Arbeitskreis Wirtschaft der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) erklärt bereits im April 2010, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürften3.
2015 wird endlich der Safe Harbour Beschluss gekippt, unter anderem mit folgender Begründung:
„Die amerikanische Safe-Harbor-Regelung ermöglicht (…) Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei (…) weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.“4
„Die amerikanische Safe-Harbor-Regelung ermöglicht (…) Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei (…) weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.“4
Fazit: Ohne Ihr Wissen konnten und wurden Ihre Daten verarbeitet, ausgewertet, an Dritte weitergegeben, für Massen- oder Personenüberwachung genutzt. Sie haben nicht die Kontrolle oder die Datenhoheit über Ihre personenbezogenen Daten, sofern diese in den USA verarbeitet werden.
Privacy Shield 2016-2020
Damit Unternehmen weiterhin Ihre Daten in die USA schicken dürfen, muss schnell eine neue Rechtsgrundlage her. So wird 2016 das Privacy Shield Abkommen geschlossen. Hauptunterschied zu Safe Harbour: strengere Anforderungen an US Datenempfänger und (theoretische) Klagemöglichkeit für Betroffene in den USA. US Recht hat aber weiterhin Vorrang, deswegen werden alle Ihre Daten weiterhin für eine flächendeckende und anlasslose Überwachung genutzt.5 Entsprechend ist auch dieser „Deal6“ von Anfang an höchst umstritten (selbst beim Europäischen Parlament selbst)7. Von daher ist es ein Wunder, dass Privacy Shield erst 2020 für ungültig erklärt wird.
Die neuen Standardvertragsklauseln seit 2021
Es gilt jedoch weiterhin – eine schnelle Lösung muss her, denn mit Ihren Daten wird Geld verdient, also müssen Ihre Daten exportiert und weitergegeben werden können. Diesmal wird mehr Verantwortung auf den Datenexporteur – also auf das Unternehmen, welches Ihre Daten weitergeben möchte – übertragen.
Die neuen Standardvertragsklauseln sind arbeitsintensiver für den Datenexporteur – er muss die betroffenen Personen informieren, er muss die Daten richtig und sofern notwendig auch aktuell halten, er muss die Zweckbindung der Daten garantieren und vor allem sich selbst davon überzeugen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Pflichten nachzukommen. Doch es gilt weiterhin wie zuvor auch: andere Länder, allen voran die USA, haben großes Interesse an Ihren Daten und erhalten ganz legal nach nationalem Recht die Kontrolle darüber.
Zwischenfazit
Die Urteile des EuGH bestätigen: der Schutz Ihrer Daten in Nicht-EU-Ländern war in der Vergangenheit und ist auch weiterhin gesetzlich unzureichend geregelt: die individuelle Rechtsordnung einzelner Länder widerspricht der Verwendung von Standardvertragsklauseln8. Das ist beispielsweise in den USA der Fall.9 Sie sollten sich stets bewusst sein, dass die technischen und organisatorischen Maßnahmen von Unternehmen zum Schutz Ihrer Daten nur die halbe Wahrheit sind. Staatliche Organisationen fangen Daten mit Bezug zu Ihrer Person ab und nutzen diese flächendeckend und anlasslos.
Es ist irrelevant, ob die Server in Europa stehen, solange das Unternehmen seinen Sitz in den USA hat oder von US-Aktionären kontrolliert wird. Deswegen ist bspw. Microsoft OneDrive auch mit EU Servern nicht DSGVO konform. Gleiches gilt entsprechend auch für Tools wie Surveymonkey oder Qualtrics.
Ausblick: "Data Privacy Framework"
Es wird bereits am „EU-U.S. Data Privacy Framework“ als neues Datenschutzabkommen zwischen den USA und der EU getüftelt. So lange es jedoch zu keiner eindeutigen Gesetzesänderung in den USA kommt, welche den Zugriff der US-Regierung auf Daten der EU-Bürger einschränkt oder datenschutzkonform regelt, bleibt es fraglich, wie lange dieses Bestand haben wird.
Update Sommer 2023: der Datentransfer zwischen den USA und der EU bleibt ein aktuelles und spannendes Thema. Eine aktuelle Rückschau und einen Blick auf die neuesten diesbezüglichen Regulatorien (insbesondere des Data Privacy Framework 2023) finden Sie hier: Data Privacy Framework - Datentransfer weiterhin problematisch
Datenverarbeitung bei LamaPoll
Sie bestimmen selbst, welche Daten, von welchen Betroffenen, zu welchem Zweck und auf welche Art und Weise verarbeitet werden. Sie können die Rechte der Betroffenen ganz einfach selbst oder auch gern mit unserer Unterstützung wahrnehmen. Sie bestimmen nahezu alles – von der Art der eingesetzten Cookies bis zur Löschfrist.10
Wir sind nur dazu da, um Ihre Daten zu schützen. Unser Informationssicherheits-Managementsystem wird extern vom unabhängigen TÜV zertifiziert11.
Wir sind nur dazu da, um Ihre Daten zu schützen. Unser Informationssicherheits-Managementsystem wird extern vom unabhängigen TÜV zertifiziert11.
Bezüglich Datentransfer und -weitergabe gilt:
- Wir verarbeiten Ihre Daten (Stand 2022) ausschließlich auf dem Gebiet der Bundesrepublik Deutschland. Wie Sie unserem AVV entnehmen können, verbieten wir uns die Datenverarbeitung außerhalb der Europäischen Union.
- Wir setzen (Stand 2022) zwei Subunternehmer aus Deutschland (Strato AG und Hetzner Online) ein. Diese stellen uns sogenannte Root Server zur Verfügung. Das sind Server, die wir selbst managen und auf welche nur wir Zugriff haben. Die Server befinden sich auf dem Gebiet der Bundesrepublik Deutschland. Der Datentransfer zu diesen Servern und auch alle Festplatten der Server (data at rest) sind verschlüsselt.
- Weder wir noch unsere Subunternehmer unterliegen dem 50 U.S.C. § 1881a (= FISA 702).
- Weder wir noch unsere Subunternehmer werden von einer US-Muttergesellschaft oder einem US-Aktionär kontrolliert, und haben auch keine andere relevante Verbindung zu den USA, die das US-Recht indirekt auf uns anwendbar machen könnte.
- Selbst wenn sich dies ändern sollte, sind wir nach EU-Recht verpflichtet, alle Anordnungen, Ersuchen oder Direktiven von US-Einrichtungen zu ignorieren, die von uns verlangen würden, personenbezogene Daten, die wir verarbeiten, der US-Regierung gemäß 50 U.S.C. § 1881a (= FSIA 702) oder EO 12.333 offenzulegen. Wir sind auch nach aktuellem, allgemein zugänglichem Wissensstand der Technik auch in der Lage, einen solchen Zugriff faktisch zu sperren.
- Wir unterliegen keinem anderen Gesetz, das als Beeinträchtigung des Schutzes personenbezogener Daten nach der DSGVO (Artikel 44 DSGVO) angesehen werden könnte.
Bei Fragen zu unseren technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten verweisen wir auf den Anhang im AVV13, auf unser ISO Zertifikat14 und auf Nachfrage zu unserem Sicherheitskonzept.
Quellen und Verweise:
1 ttps://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/GrundlagenDatenschutzrecht.html
2 https://de.wikipedia.org/wiki/Safe_Harbor
3 https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf
4 https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf
5 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
6 https://www.nytimes.com/2016/07/13/technology/europe-eu-us-privacy-shield.html
7 https://www.derstandard.at/consent/tcf/2000037687339/eu-parlament-privacy-shield-muss-ueberarbeitet-werden
8 https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&doclang=DE
9 https://www.deutschlandfunk.de/datenschutzvereinbarung-da-steht-genauso-drin-us-recht-hat-100.html
10 https://app.lamapoll.de/contracts/downloadLatestEDV/
11 https://www.lamapoll.de/cms/files/files/LamaPoll-ISO_27001-zertifikat-62366ms27001_de.pdf
12 https://app.lamapoll.de/contracts/downloadLatestSUB/
13 https://app.lamapoll.de/contracts/downloadLatestAVV
14 https://www.lamapoll.de/cms/files/files/LamaPoll-ISO_27001-zertifikat-62366ms27001_de.pdf
Warum LamaPoll?
Mehr Informationen zum Thema DSGVO:
Mehr als 10.000 Unternehmen erstellen bereits Online Umfragen mit unserem Umfragetool.
Kontakt
