Die Überlassung von personenbezogenen Daten an Unternehmen mit Sitz in den USA scheint in Österreich / Europa kein relevantes Thema zu sein, haben doch die meisten Plattformen und Websites Analyse- und sonstige Dienste mit eingebunden. Daraus ergibt sich eine mehrfache unternehmerische Abhängigkeit auf Basis der Netzwerkstrukturen, die so nicht gewünscht sein kann. Nachdem der EuGH am 16.7. 2020 das EU-US Privacy Shield für ungültig erklärt hat, ist die Einbindung von Diensten, die in den USA stationiert sind, in Websites und Plattformen, die hauptsächlich mit personenbezogenen Daten arbeiten, als besonders problematisch anzusehen.

Es wird seither oft eingewendet, dass die EU-Standardvertragsklauseln die gängigen Praktiken abdecken. Von der Gesellschaft für Datenschutz und Datensicherheit in DE (https://www.gdd.de) wird jedoch empfohlen, diese personenbezogenen Daten hinsichtlich Art, Umfang und Verarbeitungszweck neu zu evaluieren.

In diesem Zusammenhang ist es besonders bemerkenswert, dass sein einigen Monaten die österreichischen Bankinstitute dazu übergehen, die bislang als Bankomatkarte bezeichnete Bankcard in eine sogenannte Debit-Karte umzuwandeln. Diese neue Karte wird mit der Ankündigung gelobt, dass man damit auch im Internet einkaufen könne. Interessant dabei ist die Tatsache, dass manche Terminals die Zahlung mit dieser Karte nicht von Anfang an unterstützt haben, manche vor der Bezahlung eine andere Einstellung benötigten. Dieser Zustand in zwar zur Zeit scheinbar behoben, hat jedoch die Aufmerksamkeit darauf gelenkt, die Hintergründe dieser Karten genauer zu betrachten.

Und siehe da – diese neue Debit-Karte ist eine Kreditkarte der Firma Mastercard. Dies bestätigt auch der Blick auf die jeweiligen Zahlungsbelege.

Eine Sache, die damit einhergeht: Die mit diesen Karten getätigten Transaktionen – können* – in den USA landen und dort verarbeitet werden. Bei den Datenschutzerklärungen diverser Bankinstitute findet man den Hinweis, dass Mastercard sich zu verbindlichen internen Datenschutzvorschriften verpflichtet hat. Dabei wird auch gerne auf den Art. 47 Abs. 2, b der DSGVO verwiesen, in dem beschrieben ist, welche Daten diese internen Datenschutzvorschriften zu berücksichtigen haben. Die Bedingung, die in Art 47, Abs. 1, b genannt wird, wird jedoch nicht ausdrücklich erwähnt. Dort steht nämlich, dass den “betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu übertragen” sind. – Und das wird im Zusammenhang mit einem Einkauf beim nahegelegenen **markt wohl niemand wahrnehmen können.
* diese Formulierung als Möglichkeit kann die Tatsache verschleiern, dass diese Daten mit anzunehmender Sicherheit in den USA landen

Die EU selbst sagt dazu, dass diese “Verbindlichen Unternehmensregeln” (BCR) Datenschutzrichtlinien darstellen, alle allgemeinen Datenschutzgrundsätze und durchsetzbaren Rechte enthalten und angemessene Schutzmaßnahmen für die Datenübertragung gewährleisten müssen. Gleichzeitig müssen diese Regeln den Datenschutzbehörden in der EU zur Genehmigung vorgelegt werden.

Im Falle der BCR (Binding Corporate Rules) von Mastercard stammen diese ursprünglich aus dem Februar 2017 und wurden im Dezember 2018 überarbeitet. Zu einem Zeitpunkt, zu dem der EU US Privacy Shield durchaus noch aufrecht war. Das bedeutet, dass die Entscheidung der genehmigenden Datenschutzbehörde damals auf anderen Grundlagen stattgefunden hat, als sie derzeit gegeben sind.

Diese “Verbindlichen Unternehmensregeln” orientieren sich an den in der DSGVO formulierten Datenschutzregeln. Interessant dabei ist ein Punkt, der unter der Einschränkung der Datennutzung genannt wird und etwa so lautet: Wir verarbeiten die Daten ausschließlich in dem Umfang, der notwendig ist um die Transaktionen durchzuführen, solange es nicht anders gesetzlich erlaubt ist, die Daten weiter zu verarbeiten – in dem Fall werden wir die Daten ausschließlich nach den Richtlinien des anzuwendenden Gesetze verarbeiten.

Welche Gesetze hier Anwendung finden bleibt offen. Ob die der EU, oder die der USA?