Paukenschlag aus Luxemburg. Der Europäische Gerichtshof hat am 16.07.2020 in der Sache „Schrems II“ (Rechtssache C‑311/18einen jahrelangen Kampf zwischen dem Österreichischen Juristen Maximilian Schrems und Facebook beendet. By the way wurden die Datenschutz-Mechanismen für die  Übermittlung personenbezogener Daten aus der EU in die USA für wertlos erklärt bzw. schwer angezählt. Das Urteíl hat damit weitreichende Konsequenzen für alle EU-Unternehmen, die Cloud-Dienste von US-Anbietern nutzen oder allgemein personenbezogene Daten in die USA übermitteln. In diesem Beitrag erklären wir, welche Bedeutung das Urteil für Unternehmen aus der EU hat und was Unternehmer*innen jetzt tun sollten.

Dieser Beitrag wird regelmäßig ergänzt und aktualisiert. Letztes Update: 20.09.2020.

Privacy Shield ungültig

Der EuGH hat das EU-US Privacy Shield -Abkommen für ungültig erklärt. Grund sind die weitreichenden Rechte von US-Sicherheitsbehörden, die mit der DSGVO nicht in Einklang zu bringen sind. 

Das EU-US Privacy Shield diente dazu, bei US-Unternehmen ein angemessenes Datenschutzniveau zu gewährleisten. Das ist eine Zulässigkeitsvoraussetzung, um personenbezogene Daten aus der EU in die USA übermitteln zu dürfen. Viele US-Dienste wie Amazon, Facebook, Google, Salesforce, Slack, Mailchimp & Co. waren unter dem Privacy Shield zertifiziert.

Über die Website https://www.privacyshield.gov/list können Sie selbst prüfen, ob Sie Dienste von Unternehmen nutzen, die bislang eine Privacy Shield-Zertifizierung hatten.

Unternehmen sind nun angehalten, das angemessene Datenschutzniveau auf andere Weise zu gewährleisten oder die Nutzung von US-Diensten einzustellen. Das betrifft primär Auftragsverarbeiter mit Sitz in den USA, aber möglicherweise auch Datenflüsse an Konzernunternehmen. 

Standardvertragsklauseln wackeln

Der EuGH hat zudem erklärt, dass die EU- Standardvertragsklauseln weiterhin gültig sind. Diese Standarddatenschutzsklauseln bieten ebenfalls die Möglichkeit, ein angemessenes Datenschutzniveau im Drittland zu gewährleisten.

Allerdings macht der EuGH eine wesentliche Einschränkung: EU-Unternehmen dürfen den Standarddatenschutzklauseln nicht blind vertrauen, sondern müssen (ggf. zusammen mit dem Datenimporteur im Drittland) prüfen und gewährleisten, dass die vertraglichen Abreden aus den Standarddatenschutzklauseln im Drittland auch eingehalten werden können. Eine solche Prüfung erfolgt am Maßstab der Regelungen der Standarddatenschutzklauseln, den besonderen Umständen der Datenübertragung  und der im Drittland geltende Rechtsordnung.

Und hier liegt ein großes Problem, denn Aufgrund der Entscheidung zum Privacy Shield müssen wir in vielen Fällen davon ausgehen, dass US-Unternehmen auch die Standarddatenschutzklauseln nicht einhalten können. Hier muss im Einzelfall und von Dienst zu Dienst geprüft werden, ob US-Sicherheitsgesetze eine wirksame Durchführung der Vertragsklauseln erlauben, wie durch geeignete Maßnahmen das angemessene Datenschutzniveau anderweitig garantiert werden kann und wie das individuelle Risiko für die Rechte und Freiheiten der betroffenen Personen zu bewerten ist. 

Die Aufsichtsbehörden laufen sich warm

Wenn sich der erste Nebel verzogen hat, liegt die Aufmerksamkeit bei den Datenschutzaufsichtsbehörden. Bis sich die Behörden der einzelnen Bundesländer und dann der Mitgliedstaaten verständigt haben, werden wohl ein paar Wochen vergehen.

Beim Europäischen Datenschutzausschuss stand das Urteil bereits am 17.07.2020 auf der Tagesordnung. In einem ersten Statement betont der Datenschutzausschuss den Wunsch, den transatlantischen Datentransfer wieder auf solide Beine zu stellen und ein neues Datenschutzabkommen mit den USA zu schmieden. Ob uns dann ein Schrems III blüht werden wir sehen. In dem Statement heißt es:

With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment. […]  The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.

Auch wenn das Privacy Shield-Abkommen aus Sicht der EU mit sofortiger Wirkung unbrauchbar geworden ist, werden die Behörden den Unternehmen wohl eine Schonfrist gewähren, um die Prozesse anzupassen und Verträge mit US-Dienstleistern neu zu verhandeln. Sollte sich tatsächlich ein neues Abkommen abzeichnen, könnte die Schonfrist auch bis dahin gelten. So haben wir es zumindest 2015 erlebt, als der EuGH das Safe Harbor-Abkommen für unwirksam erklärt hat. Wer damals schon im Datenschutz tätig war, erlebt gerade ein Dejá-vu.

Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, äußerte sich in einem Interview mit der FAZ wie folgt:

Der Da das Thema alle europäischen Datenschutzbehörden berührt, wird darüber momentan im Europäischen Datenschutzausschuss beraten, um ein gemeinsames Vorgehen abzustimmen – mir ist allerdings noch schleierhaft, wie eine verträgliche Lösung hier aussehen soll. Nach dem „Safe Harbor“-Urteil 2015 haben die deutschen Datenschutzbehörden erst einmal ein sechs Monate langes Moratorium auf Ordnungsmaßnahmen verhängt. Wir wollten den deutschen Unternehmen damit Zeit geben, um gemeinsam mit uns Lösungen zu erarbeiten, wie der Datenaustausch mit den Vereinigten Staaten unter Beachtung des Urteils weitergehen kann. Ob wir das diesmal genauso werden machen können, ist aber ungewiss: Vom EuGH wurde es schon damals als unerhörte Auflehnung und Missachtung des Gerichts empfunden. Der deutsche EuGH-Richter Thomas von Danwitz hat mir sinngemäß erklärt, uns müsse das Urteil ja nicht gefallen, wir müssten es nur umsetzen: sofort, konsequent, und ohne Rücksicht auf die Kollateralschäden. Man darf sich da keine Illusionen machen: Der EuGH meint das mit dem Datenschutz wirklich ernst, inklusive aller Konsequenzen.

Ein erstes Statement liegt auch von Prof. Johannes Caspar vor, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen. Für Länder wie China sind derartige datenschutzrechtliche Vorkehrungen weit entfernt. Auch mit Blick auf den Brexit wird sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr ziehen schwere Zeiten auf. Unter dem Strich bleibt die Erkenntnis: In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht. Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.

Deutlich schärfer klingt die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 17.06.2020. Dort heißt es:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem
Datenschutzniveau zu wechseln.

Einen konstruktiven Ansatz hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gewählt, der FAQ bereitgestellt hat, um einzelne Fragen zum Urteil und den Konsequenzen zu erläutern. 

Die Kollegen von Taylor Wessing haben eine Übersicht mit verschiedenen Statements zum Schrems II-Urteil veröffentlicht (Stand 14.09.2020).

Unsere Handlungsempfehlungen

Das Urteil des EuGH hinterlässt ein Vaakum. Wie sollen Unternehmen also reagieren und welche Maßnahmen können jetzt ergriffen werden, um Risiken zu reduzieren?

Wir raten dazu, einen kühlen Kopf zu bewahren, ohne dabei die Hände in den Schoß zu legen:

 

Überblick verschaffen

Verschaffen Sie sich einen Überblick, welche Dienste von US-Unternehmen in Ihrem Unternehmen im Einsatz sind und prüfen Sie, ob diese Dienste vom Wegfall des Privacy Shield-Abkommens betroffen sind. Über die Website https://www.privacyshield.gov/list können Sie selbst prüfen, ob diese Unternehmen eine Privacy Shield-Zertifizierung hatten.  

Beziehen Sie auch Analyse-, Tracking- und Marketingtools mit ein, die auf Ihrer Website laufen. „Klassiker“ sind zudem Speicherdienste, Tools zur Projektverwaltung und Kollaboration, Videokonferenz-Lösungen, Newsletter-Dienste etc. 

Die nachfolgende Matrix kann Sie dabei unterstützen, die relevanten Kandidaten ausfindig zu machen. Maßgeblich ist, ob der Speicherort der Daten in den USA ist („Server“) und/oder der Anbieter seinen Sitz in den USA hat („Anbieter“). Hat eine US-Konzern („Konzernmutter“) eine Tochtergesellschaft mit Sitz in der EU, die als Anbieter auftritt, muss geprüft werden, ob Daten an die Konzernmutter übermittelt werden oder sonstige Risiken für die Daten bestehen.  

Alternativen prüfen

Sie umschiffen das Problem, wenn auf US-Dienste verzichtet werden kann. Der Landesdatenschutzbeauftragte Baden-Württemberg macht die Auseinandersetzung mit alternativen Lösungen zu einem wesentlichen Prüfpunkt. In der Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ heißt es dazu:

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben/mit dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI BadenWürttemberg untersagt werden.

Bei einzelnen Verarbeitungen ist der Wechsel zu einem EU-Anbieter sicherlich möglich, bei anderen kann es hingegen durchaus schwierig werden. Häufig bieten US-Dienstleister ausgereifte Lösungen an, denen in Sachen Funktionsumfang, Skalierbarkeit, Datensicherheit und Preis kein EU-Dienst das Wasser reichen kann. In den folgenden Schritten geht es daher um die Risikoreduktion bei der weiteren Nutzung von US-Diensten.

 

Standardvertragsklauseln enthalten?

Prüfen Sie, ob in den AGB und sonstigen Verträgen die Standardvertragsklauseln enthalten sind. Hinweis: In den meisten Fällen wird es sich bei den US-Diensten um eine Auftragsverarbeitung gemäß Art. 28 DSGVO handeln, weshalb die Standardvertragsklauseln  für Auftragsverarbeiter enthalten sein müssen. Bei Datenflüssen zwischen zwei Verantwortlichen, was häufig bei konzerninternen Datenflüssen vorliegt, sind hingegen andere Standardvertragsklauseln erforderlich. 

Wenn keine Standardvertragsklauseln einbezogen sind, müssen Sie mit dem Dienstleister verhandeln. Aufgrund des Urteils besteht zudem Hoffnung, dass US-Dienstleister die Standardvertragsklauseln zunehmend proaktiv in ihre AGB integrieren werden. Ohne die Standardvertragsklauseln hängen Sie in der Luft und müssen die Datenverarbeitung stoppen, um nicht gegen die DSGVO zu verstoßen.

Wahrscheinlich fragen Sie sich, ob die Einbeziehung der Standardvertragsklauseln überhaupt Sinn macht, wenn sie – wie oben beschrieben –  in den USA mehr Schein als Sein sind. Wenn die Beendigung der Datenübermittlung für Sie keine Option ist, haben Sie nach unserer Ansicht einfach keine andere Wahl, um das Risiko zumindest zu reduzieren.

 

Vertragstreue klären

Gerade deshalb sollten Unternehmer jetzt aktiv werden und sich bei ihrem Dienstleister nach den Datenschutzstandards erkundigen. Fällt das Unternehmen in den Anwendungsbereich der US-Sicherheitsgesetze? Können die vertraglichen Regelungen aus den Standardvertragsklauseln wirklich gewährleistet werden? Wie geht das Unternehmen mit behördlichen Anfragen um? Das alles lässt sich in Erfahrung bringen.

Die Organisation noyb stellt auf der eigenen Website Checklisten und Musterschreiben bereit, die zu diesem Zweck genutzt werden können.

 

Zusätzliche Maßnahmen ergreifen

Der EuGH hat hervorgehoben, dass die Standardvertragsklauseln weiterhin gültig sind, aber ggf. durch zusätzliche Maßnahmen gestützt werden müssen, um ein angemessenes Datenschutzniveau zu gewährleisten. Der Verantwortliche muss dann zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Denkbar sind beispielsweise Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann sowie die Anonymisierung aller personenbezogenen Daten.

Der Europäische Datenschutzausschuss hat zudem eine Taskforce gegründet, die Empfehlungen ausarbeiten soll, um die Verantwortlichen und Auftragsverarbeiter bei ihrer Aufgabe zu unterstützen, geeignete zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Daten in Drittländer zu ermitteln und umzusetzen.

Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses, hat dazu in einem Press Release vom 04.09.2020 angekündigt:

„Der Europäischen Datenschutzausschuss ist sich sehr wohl bewusst, dass das Schrems-II-Urteil den Verantwortlichen eine wichtige Verantwortung überträgt. Zusätzlich zu der Erklärung und dem Dokument „Häufig gestellte Fragen“, das wir kurz nach dem Urteil herausgegeben haben, werden wir Empfehlungen ausarbeiten, um die Verantwortlichen und die Auftragsverarbeiter hinsichtlich ihrer Pflicht zu unterstützen, geeignete ergänzende Maßnahmen rechtlicher, fachlicher und organisatorischer Art zu ermitteln und umzusetzen, um den der Sache nach gleichwertigen Standard bei der Übermittlung personenbezogener Daten in Drittländer zu erfüllen. Die Auswirkungen des Urteils sind jedoch weitreichend, und die Kontexte der Datenübermittlung an Drittländer sind sehr unterschiedlich. Deshalb kann es keine Pauschallösung geben, die allen gerecht wird. Jede Organisation wird ihre eigenen Datenverarbeitungsvorgänge und -übertragungen bewerten und geeignete Maßnahmen ergreifen müssen“.

Risiko für die betroffenen Personen bewerten

Ein wichtiger Aspekt darf nicht aus den Augen verloren werden: Der EuGH hat eine pauschale Aussage zu den Standardvertragsklauseln getroffen, die in dieser Pauschalität nicht auf jede Datenverarbeitungen übertragen werden kann. Maßgeblich ist stets das individuelle Risiko einer Datenverarbeitung und dieses Risiko ist abhängig von den konkreten Daten und von den konkreten Betroffenenkategorien. Nicht jede Datenübermittlung in die USA führt zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen. So macht es einen Unterschied, ob beispielsweise Personalakten oder Gesundheitsdaten an einen US-Cloud-Speicher übertragen werden oder nur die IP-Adresse einer Firma, die einen US-Dienst aufruf. Es braucht daher eine gründliche Risikobewertung. Lesenswert ist dazu ein Beitrag des Kollegen Dr. Thomas Schwenke.

 

Dokumentation der Maßnahmen und Abwägungen

Verantwortliche sind gut beraten, wenn sie ihre Bemühungen dokumentieren können (Stichwort „Rechenschaftspflicht“). Nur so können Sie gegenüber einer Aufsichtsbehörde nachweisen, dass Sie sich mit der Transfer-Problematik auseinandergesetzt haben.

Datenschutzhinweise anpassen

Alle Datenschutzhinweise auf Websites, für Beschäftigte etc. müssen überarbeitet werden, sofern sich darin Referenzen auf das Privacy Shield-Abkommen befinden.

Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er berät Unternehmen bei der Umsetzung der DSGVO sowie zu Rechtsfragen im Online-Marketing.

Wie hat Ihnen dieser Beitrag gefallen?
(Bewertungen: 15, Ø: 4.9 von 5)