Paukenschlag aus Luxemburg. Der Europäische Gerichtshof hat am 16.07.2020 in der Sache „Schrems II“ (Rechtssache C‑311/18einen jahrelangen Kampf zwischen dem Österreichischen Juristen Maximilian Schrems und Facebook beendet. By the way wurden die Datenschutz-Mechanismen für die  Übermittlung personenbezogener Daten aus der EU in die USA für wertlos erklärt bzw. schwer angezählt. Das Urteíl hat damit weitreichende Konsequenzen für alle EU-Unternehmen, die Cloud-Dienste von US-Anbietern nutzen oder allgemein personenbezogene Daten in die USA übermitteln. In diesem Beitrag erklären wir, welche Bedeutung das Urteil für Unternehmen aus der EU hat und was Unternehmer*innen jetzt tun sollten. 

Privacy Shield ungültig

Der EuGH hat das EU-US Privacy Shield -Abkommen für ungültig erklärt. Grund sind die weitreichenden Rechte von US-Sicherheitsbehörden, die mit der DSGVO nicht in Einklang zu bringen sind. 

Das EU-US Privacy Shield diente dazu, bei US-Unternehmen ein angemessenes Datenschutzniveau zu gewährleisten. Das ist eine Zulässigkeitsvoraussetzung, um personenbezogene Daten aus der EU in die USA übermitteln zu dürfen. Viele US-Dienste wie Amazon, Facebook, Google, Salesforce, Slack, Mailchimp & Co. waren unter dem Privacy Shield zertifiziert.

Über die Website https://www.privacyshield.gov/list können Sie selbst prüfen, ob Sie Dienste von Unternehmen nutzen, die bislang eine Privacy Shield-Zertifizierung hatten.

Unternehmen sind nun angehalten, das angemessene Datenschutzniveau auf andere Weise zu gewährleisten oder die Nutzung von US-Diensten einzustellen. Das betrifft primär Auftragsverarbeiter mit Sitz in den USA, aber möglicherweise auch Datenflüsse an Konzernunternehmen. 

Standardvertragsklauseln wackeln

Der EuGH hat zudem erklärt, dass die EU- Standardvertragsklauseln weiterhin gültig sind. Diese Standarddatenschutzsklauseln bieten ebenfalls die Möglichkeit, ein angemessenes Datenschutzniveau im Drittland zu gewährleisten.

Allerdings macht der EuGH eine wesentliche Einschränkung: EU-Unternehmen dürfen den Standarddatenschutzklauseln nicht blind vertrauen, sondern müssen (ggf. zusammen mit dem Datenimporteur im Drittland) prüfen und gewährleisten, dass die vertraglichen Abreden aus den Standarddatenschutzklauseln im Drittland auch eingehalten werden können. Eine solche Prüfung erfolgt am Maßstab der Regelungen der Standarddatenschutzklauseln, den besonderen Umständen der Datenübertragung  und der im Drittland geltende Rechtsordnung.

Und hier liegt ein großes Problem, denn Aufgrund der Entscheidung zum Privacy Shield müssen wir in vielen Fällen davon ausgehen, dass US-Unternehmen auch die Standarddatenschutzklauseln nicht einhalten können. Hier muss im Einzelfall und von Dienst zu Dienst geprüft werden, ob US-Sicherheitsgesetze eine wirksame Durchführung der Vertragsklauseln erlauben.

Möglicherweise kann durch geeignete Maßnahmen das angemessene Datenschutzniveau anderweitig garantiert werden kann. Diesen Vorschlag macht zumindest der Europäische Datenschutzausschuss (EDPB) in einer ersten Stellungnahme vom 17.06.2020, in der es heißt:

If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.

Die Aufsichtsbehörden laufen sich warm

Wenn sich der erste Nebel verzogen hat, liegt die Aufmerksamkeit bei den Datenschutzaufsichtsbehörden. Bis sich die Behörden der einzelnen Bundesländer und dann der Mitgliedstaaten verständigt haben, werden wohl ein paar Wochen vergehen.

Beim Europäischen Datenschutzausschuss stand das Urteil bereits am 17.07.2020 auf der Tagesordnung. In einem ersten Statement betont der Datenschutzausschuss den Wunsch, den transatlantischen Datentransfer wieder auf solide Beine zu stellen und ein neues Datenschutzabkommen mit den USA zu schmieden. Ob uns dann ein Schrems III blüht werden wir sehen. In dem Statement heißt es:

With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment. […]  The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.

Auch wenn das Privacy Shield-Abkommen aus Sicht der EU mit sofortiger Wirkung unbrauchbar geworden ist, werden die Behörden den Unternehmen wohl eine Schonfrist gewähren, um die Prozesse anzupassen und Verträge mit US-Dienstleistern neu zu verhandeln. Sollte sich tatsächlich ein neues Abkommen abzeichnen, könnte die Schonfrist auch bis dahin gelten. So haben wir es zumindest 2015 erlebt, als der EuGH das Safe Harbor-Abkommen für unwirksam erklärt hat. Wer damals schon im Datenschutz tätig war, erlebt gerade ein Dejá-vu.

Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, äußerte sich in einem Interview mit der FAZ wie folgt:

Der Da das Thema alle europäischen Datenschutzbehörden berührt, wird darüber momentan im Europäischen Datenschutzausschuss beraten, um ein gemeinsames Vorgehen abzustimmen – mir ist allerdings noch schleierhaft, wie eine verträgliche Lösung hier aussehen soll. Nach dem „Safe Harbor“-Urteil 2015 haben die deutschen Datenschutzbehörden erst einmal ein sechs Monate langes Moratorium auf Ordnungsmaßnahmen verhängt. Wir wollten den deutschen Unternehmen damit Zeit geben, um gemeinsam mit uns Lösungen zu erarbeiten, wie der Datenaustausch mit den Vereinigten Staaten unter Beachtung des Urteils weitergehen kann. Ob wir das diesmal genauso werden machen können, ist aber ungewiss: Vom EuGH wurde es schon damals als unerhörte Auflehnung und Missachtung des Gerichts empfunden. Der deutsche EuGH-Richter Thomas von Danwitz hat mir sinngemäß erklärt, uns müsse das Urteil ja nicht gefallen, wir müssten es nur umsetzen: sofort, konsequent, und ohne Rücksicht auf die Kollateralschäden. Man darf sich da keine Illusionen machen: Der EuGH meint das mit dem Datenschutz wirklich ernst, inklusive aller Konsequenzen.

Ein erstes Statement liegt auch von Prof. Johannes Caspar vor, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen. Für Länder wie China sind derartige datenschutzrechtliche Vorkehrungen weit entfernt. Auch mit Blick auf den Brexit wird sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr ziehen schwere Zeiten auf. Unter dem Strich bleibt die Erkenntnis: In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht. Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.

Deutlich schärfer klingt die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 17.06.2020. Dort heißt es:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem
Datenschutzniveau zu wechseln.

Einen konstruktiven Ansatz hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gewählt, der FAQ bereitgestellt hat, um einzelne Fragen zum Urteil und den Konsequenzen zu erläutern. 

Unsere Handlungsempfehlungen

Das Urteil des EuGH hinterlässt ein Vaakum. Wie sollen Unternehmen also reagieren und welche Maßnahmen können jetzt ergriffen werden, um Risiken zu reduzieren?

Wir raten dazu, einen kühlen Kopf zu bewahren, ohne dabei die Hände in den Schoß zu legen:

 

Überblick verschaffen

Verschaffen Sie sich einen Überblick, welche Dienste von US-Unternehmen in Ihrem Unternehmen im Einsatz sind und prüfen Sie, ob diese Dienste vom Wegfall des Privacy Shield-Abkommens betroffen sind. Über die Website https://www.privacyshield.gov/list können Sie selbst prüfen, ob diese Unternehmen eine Privacy Shield-Zertifizierung hatten.  

Beziehen Sie auch Analyse-, Tracking- und Marketingtools mit ein, die auf Ihrer Website laufen. „Klassiker“ sind zudem Speicherdienste, Tools zur Projektverwaltung und Kollaboration, Videokonferenz-Lösungen, Newsletter-Dienste etc. 

Die nachfolgende Matrix kann Sie dabei unterstützen, die relevanten Kandidaten ausfindig zu machen. Maßgeblich ist, ob der Speicherort der Daten in den USA ist („Server“) und/oder der Anbieter seinen Sitz in den USA hat („Anbieter“). Hat eine US-Konzern („Konzernmutter“) eine Tochtergesellschaft mit Sitz in der EU, die als Anbieter auftritt, muss geprüft werden, ob Daten an die Konzernmutter übermittelt werden oder sonstige Risiken für die Daten bestehen.  

Standardvertragsklauseln enthalten?

Prüfen Sie, ob in den AGB und sonstigen Verträgen die Standardvertragsklauseln enthalten sind. Hinweis: In den meisten Fällen wird es sich bei den US-Diensten um eine Auftragsverarbeitung gemäß Art. 28 DSGVO handeln, weshalb die Standardvertragsklauseln  für Auftragsverarbeiter enthalten sein müssen. Bei Datenflüssen zwischen zwei Verantwortlichen, was häufig bei konzerninternen Datenflüssen vorliegt, sind hingegen andere Standardvertragsklauseln erforderlich. 

Verhandlungen führen

Wenn keine Standardvertragsklauseln einbezogen sind, müssen Sie mit dem Dienstleister verhandeln. Aufgrund des Urteils besteht zudem Hoffnung, dass US-Dienstleister die Standardvertragsklauseln zunehmend proaktiv in ihre AGB integrieren werden. Ohne die Standardvertragsklauseln hängen Sie in der Luft und müssen die Datenverarbeitung stoppen, um nicht gegen die DSGVO zu verstoßen.

Wahrscheinlich fragen Sie sich, ob die Einbeziehung der Standardvertragsklauseln überhaupt Sinn macht, wenn sie – wie oben beschrieben –  in den USA mehr Schein als Sein sind. Wenn die Beendigung der Datenübermittlung für Sie keine Option ist, haben Sie nach unserer Ansicht einfach keine andere Wahl, um das Risiko zumindest zu reduzieren. 

Gerade deshalb sollten Unternehmer jetzt aktiv werden und sich bei ihrem Dienstleister nach den Datenschutzstandards erkundigen. Wird der Datenschutz wirklich gewährleistet oder nur in den AGB behauptet? Fällt das Unternehmen in den Anwendungsbereich der US-Sicherheitsgesetze? Können Daten wirksam verschlüsselt werden? Das alles lässt sich in Erfahrung bringen. Verantwortliche sind zudem gut beraten, wenn sie ihre Bemühungen in diese Richtung dokumentieren können (Stichwort „Rechenschaftspflicht“). 

Datenschutzhinweise anpassen

Alle Datenschutzhinweise auf Websites, für Beschäftigte etc. müssen überarbeitet werden, sofern sich darin Referenzen auf das Privacy Shield-Abkommen befinden.

 

Dieser Beitrag wird laufend ergänzt und aktualisiert. 

Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er berät Unternehmen bei der Umsetzung der DSGVO sowie zu Rechtsfragen im Online-Marketing.

Wie hat Ihnen dieser Beitrag gefallen?
(Bewertungen: 8, Ø: 5 von 5)