Aus Sicht des Marketings bieten manche Produkte einen starken Reiz und man möchte ein bestimmtes Feature unbedingt auf der Website nutzen. Dann stellt sich sofort die Frage: „Darf ich das?“. Diese Frage können Sie beantworten, indem Sie die folgenden Prüfpunkte abarbeiten.
Sie dürfen Daten in den USA verarbeiten lassen, wenn ein ausreichender Schutz garantiert ist und Sie selber geprüft haben, ob dieser auch tatsächlich umgesetzt wird.
Dazu müssen zwei Voraussetzungen erfüllt sein:
- Standardvertragsklauseln – Vertrag mit genehmigten Klauseln wurde abgeschlossen.
- Eigene Datenschutzprüfung – Sie haben sich selbst davon überzeugt, dass der Anbieter den vertraglich zugesicherten Schutz auch tatsächlich bietet.
Eigene Datenschutzprüfung vor Beginn der Verarbeitung
Damit Sie später gegenüber der Aufsichtsbehörde Ihre Sorgfalt nachweisen können, sollten Sie alle Prüfprotokolle, Notizen und Unterlagen schriftlich sammeln und aufbewahren. Damit können Sie auch selbst später Ihre Gedankengänge nachvollziehen und zum Beispiel später nochmal auf das ursprüngliche Ziel zurück kommen. Warum wollten Sie ein bestimmtes Tool nochmal einsetzen?
Problem Subunternehmer
Das Problem der Prüfung der Verarbeitung wird dann richtig kompliziert, wenn Ihr US-Anbieter wiederum selbst auf andere Unternehmen als Vorlieferanten zurückgreift. Und das ist selbst bei den Größen wie Amazon oder Google der Fall, wie ein Blick in das Verzeichnis der Subunternehmer zeigt.
[Bild Subunternehmer bei Google, Stand 2022]
Im Prinzip müssen Sie jeden einzelnen Subunternehmer ebenfalls prüfen und die Ergebnisse dokumentieren. Das ist natürlich recht aufwändig, hat aber den Vorteil, dass Sie sich die Verarbeitungen selber nochmal bewusst machen.
Wenn Ihr gewünschtes Tool zum Beispiel auf die Dienste eines Datenhändlers zurück greift um bestimmte Features anbieten zu können, dann besteht prinzipiell das Risiko, dass Ihre Kundendaten in die Datenbank des Datenhändlers wandern und eine Kontrolle unmöglich wird.
So können Sie den Einsatz von US-Software prüfen
In der Praxis ist die Prüfung also durchaus umfangreich und ohne professionelle Hilfe vermutlich auch rechtlich nicht sicher durchzuführen. Falls Sie sich dafür interessieren, benötigen Sie in jedem Fall weitere Informationen.
Eine sehr gute Ressource für die Prüfung eines US-Tools finden SIe im Artikel von Dr. Schwenke „Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln„
