Kontakt

EU-US Privacy Shield unwirksam – Was nun?

Horst Wenning

Veröffentlicht am 22.07.2020 von Horst Wenning

Mit einer Klage gegen Facebook kippt das EU-US Privacy Shield

Eine Einschätzung von Horst Wenning

Am 16.07.2020 hat der EuGH den EU-US Privacy Shield für unwirksam erklärt – unverzüglich. Diese informelle Absprache zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) stellte die Grundlage für Datentransfers zwischen der EU und den USA für personenbezogene Daten dar. Auf der einen Seite bestand die Absprache in verschiedenen Zusicherungen der US-Administration und auf der anderen Seite einem Angemessenheitsbeschluss der EU-Kommission. Die Kommission hatte am 12.07.2016 beschlossen, dass die Vorgaben des US-Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen, seitdem ist das Übereinkommen angewendet worden.

Mit dem Urteil des EuGH vom 16.07.2020  (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung) wurde die Absprache für unwirksam erklärt. Mit diesem Urteil hat der Datenschutzaktivist Max Schrems in seinem Verfahren gegen Facebook einen außerordentlichen Sieg errungen.

In Folge des Urteils dürften damit die meisten US-Dienstleister nicht mehr eingesetzt werden. Auch Internetriesen wie Google, Facebook oder Amazon stehen nun vor dem Problem, dass Sie keine Daten von EU-Bürger in den USA verarbeiten dürfen.

Was bedeutet das nun konkret?

Verbot der Datenverarbeitung außerhalb der EU?

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in dem “Drittland” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehört auch die USA.

Dass ein angemessenes Datenschutzniveau in einem Drittland vorliegt, konnte bisher vor allem in den folgenden Fällen angenommen und geprüft werden:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt  – derartige Angemessenheitsbeschlüsse existieren beispielsweise für die folgenden Drittländer Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel jedoch nicht für die USA.
  • Privacy Shield-Zertifikat – Für die USA hat EU-Kommission bisher ein angemessenes Datenschutzniveau festgestellt. Die Voraussetzung hierfür war, dass US-Unternehmen sich bisher verpflichtet haben, auf Grundlage des so genannten EU-US Privacy Shield-Abkommens das EU-Recht beachten. Dieses Abkommen hat der EuGH nun am 16.07.2020 ab sofort für unwirksam erklärt.
  • Binding Corporate Rules – Unternehmen können sich selbst verbindliche Datenschutzregeln geben. Diese Regeln werden dann üblicherweise durch eine externe Zertifizierung bestätigt, um auf deren Grundlage Daten in ein Drittland zu transferieren.
Horst Wenning, Datenschutzexperte bei DATATREE
  • Erforderliche Datentransfers – wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen. Dies trifft zum Beispiel zu, wenn eine Reise in den USA gebucht oder eine E-Mail in die USA versendet wird.
  • Einwilligungen – eine weitere Alternative stellt eine Einwilligung der betroffenen Personen in den Datentransfer dar. Diese scheitern jedoch schnell an der Handhabung/ Umsetzung, an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit wie z. B. bei Arbeitnehmern, Art. 26 DSGVO eines internationalen Unternehmens oder fehlender Einwilligungsfähigkeit durch das Alter der Betroffenen.
  • Weitere Ausnahmen – weitere Ausnahmen ergeben sich möglicherweise aus den Beschreibungen im Art. 49 DSGVO, die aber nur unter strengen Voraussetzungen in Frage kommen könnten.

Für unsere Kunden ist häufig die Verarbeitung von Daten in den USA relevant. Ob die Verarbeitung durch Facebook, Microsoft, Google oder Facebook erfolgt – die Zulässigkeit der Verarbeitung von Daten in den USA, hängt vor allem vom Privacy Shield und Standarddatenschutzklauseln ab. Weitere Erlaubnisgrundlagen spielen eine untergeordnete Rolle.

Die aktuelle Entscheidung des EuGHs führt jedoch dazu, dass diese beiden Rechtsgrundlagen weggefallen sind bzw. nur ein kleiner Handlungsspielraum bleibt.

Kein ausreichender Datenschutz für EU-Bürger in den USA

US-Behörden stehen Prüfrechte zu, ohne dass EU-Bürger dagegen Einspruch erheben können. In dem nun entschiedenen Verfahren berief sich Schrems unter anderem auf Section 702 des Foreign Intelligence Surveillance Acts (FISA 702), der Datenzugriffe bei elektronischen Kommunikationsdiensten von Nicht-US-Bürgern auch ohne einen richterlichen Beschluss erlaubt. Den ausgeforschten Bürgern steht darüber hinaus kein Rechtsschutz zu.

Daher liegen nun nach Ansicht des EuGHs die Voraussetzungen des Privacy Shields nicht mehr vor. Vielmehr verstößt die EU-Kommission gegen den Kern der Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf, wenn sie trotz FISA 702 und weiterer Zugriffsrechte der US-Behörden Datentransfers in die USA zulässt.

Geltung für andere Drittländer: Das Urteil des EuGHs hat keine Auswirkung auf Datentransfers in andere Länder außerhalb der EU, die sich auf Standardvertragsklauseln stützen wie, z. B. Indien, Vietnam, Russland oder China. Außer das Datenschutzniveau ist auch dort nicht gleichwertig, was sich bei manchen der genannten Länder nahezu aufdrängt. Die Folge wäre, dass die Erlaubnis für Datentransfers in solche Länder potenziell unwirksam wäre, dies aber gerichtlich noch nicht festgestellt wurde.

Was bedeutet die Entscheidung für die Praxis?

Für die Praxis bedeutet die Entscheidung erneut ein Rechtsvakuum, in dem Unternehmen politisch allein gelassen sind. Welche Maßnahmen können Sie treffen:

  • Bei US-Anbietern nach Standorten zur Datenverarbeitung in der EU fragen – Einige US‑Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass sie die Daten auf EU-Servern verarbeiten. Aber auch hier bestehen noch Rechtsunsicherheiten. Angesichts der Lage ist diese Lösung eine hinreichend sichere Option.
  • Keinerlei Dienstleister einsetzen, die Daten in den USA verarbeiten. Mindestens sind Evaluationsprozesse von alternativen Dienstleistern in der EU anzustoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich bemüht haben, Alternativen zu finden. Manche Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield EU-Standarddatenschutzklauseln an.
  • Keine Dienstleister mit US-Subunternehmern einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
  • Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy Shield entfernen.
  • Alternative: Sie können, wenn auch mit einem gewissen Risiko, erst einmal abwarten, wie die EU-Kommission und die Datenschutzbehörden reagieren werden.

Betroffene Dienstleister: Die Regeln für die Verarbeitung in Drittländern sind zunächst anwendbar, wenn Sie für die Verarbeitung (mit)verantwortlich sind oder Dienstleister als Auftragsverarbeiter einsetzen. Allerdings auch, wenn Sie nicht direkt für die Verarbeitung der personenbezogenen Daten verantwortlich sind, so muss das Datenschutzniveau gegebenenfalls im Rahmen ihres Sicherheitskonzepts (technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO oder Datenschutz durch Technikgestaltung gem. Art. 25 DSGVO), zu berücksichtigen sein. Eine pauschale Aussage ist nicht möglich, im Zweifel muss man davon ausgehen, dass die Voraussetzungen der DSGVO für Datentransfers zu erfüllen sind.

Sind Standardvertragsklauseln eine Lösung?

Als eine Möglichkeit der Risikominderung bietet sich der Abschluss von Standardvertragsklauseln an.

  • Standardvertragsklauseln: Falls Sie nicht alle Dienstleister sofort auswechseln können oder abwarten möchten, dann sollten Sie US-Dienstleister und Dienstleister mit US-Subunternehmern nach dem Abschluss von Standardvertragsklauseln fragen.
  • Formelle Geltung der Standardvertragsklauseln: Bei US-Unternehmen die Standardvertragsklauseln anbieten, können Sie sich darauf berufen, dass die konkret vereinbarten Standardvertragsklauseln solange in Kraft sind, bis ein Gericht sie für unwirksam erklärt. Jedoch erklärte der EuGH in seiner aktuellen Entscheidung, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Jedoch hat der EuGH das Datenschutzniveau in den USA unter Berücksichtigung des Privacy Shields für unzureichend erklärt und erteilte dem Datentransfer auf Grundlage der Standardvertragsklauseln mittelbar ebenfalls eine Absage. Denn egal ob Privacy Shield oder Vertragsklauseln, das Datenschutzniveau ist im Zweifel dasselbe.
  • Schlechte Aussichten vor Gericht: Sollte also eine Aufsichtsbehörde gegen Ihre Datentransfers in die USA vorgehen oder Sie zu deren Beendigung auffordern, werden die Chancen vor Gericht sich zu verteidigen, zumindest ausgehend von dem EuGH-Urteil, trotz Standardvertragsklauseln eher gering sein. Dies gilt, so lang die USA EU-Bürgern weiterhin ein hohes Datenschutzlevel versagen.

Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher. Dennoch ist es sicherer, wenn die Standardvertragsklauseln abgeschlossen wurden und aufgehoben werden können, als wenn gar keine Standardvertragsklauseln vorliegen – frei nach dem Motto, “Wer schreibt der bleibt”.

Erstmal abwarten?

Bereits 2015 wurde dem Safe-Harbor-Abkommen, dem Vorgänger des Privacy Shields, die Basis entzogen – EuGH, 06.10.2015 – C-362/14 “Schrems I”. Schon damals gab es eine sechsmonatige “Hängephase”, bis die EU-Kommission mit dem “Privacy Shield” eine Lösung präsentierte – also alles in allem keine bequeme aber auch keine neue Situation.

Abwarten nicht ohne Risiko

Die aktuelle politische Lage spricht gegen eine schnelle Lösung: Heute ist die politische Lage eine andere als 2015. Von der derzeitigen US-Regierung ist nicht zu erwarten, dass sie sich kooperativ zeigt und EU-Bürgern einen höheren Rechtsschutz zugesteht.

Das Risiko beim Abwarten besteht zudem darin, dass Sie von Aufsichtsbehörden oder Kunden, Nutzern oder anderen Betroffenen zur Einstellung von Datentransfers in die USA aufgefordert werden können.

Drohen Rechtsfolgen?

Die aktuelle Lage birgt das Risiko von direkten Rechtsfolgen:

  • Datenschutzaufsichtsbehörden:

Da die Übermittlung in die USA unzulässig ist, werden Aufsichtsbehörden die Unterlassung des Datentransfers und des Einsatzes von Diensten und Dienstleistern verlangen oder Bußgelder von bis 4% des Umsatzes des Unternehmens verhängen. Allerdings ist zu vermuten, dass die Aufsichten aufgrund der derzeitigen „offenen“ Lage zunächst zurückhaltend reagieren werden.

  • Abmahnungen von Verbraucherschutzorganisationen und Wettbewerbern:

Zu der Frage, ob sich für die Abmahnung durch Wettbewerber bei Datenschutzverstößen eine ausreichende Rechtsgrundlage im Wettbewerbsrecht zu finden ist, ist vom EuGH noch keine Entscheidung ergangen. Daher war das zu erwartende Risiko von dieser Seite bisher eher gering eingeschätzt, ist aber nicht völlig auszuschließen.

  • Abmahnungen von Betroffenen:

Betroffene könnten Sie abmahnen und Schadensersatz verlangen, auch wenn die Gerichte beim Schadensersatz sehr zurückhaltend sind. Die Kosten einer Abmahnung liegen erfahrungsgemäß bei ca. 500 – 1.500 Euro und bei erneutem Verstoß und Anerkenntnis der Unterlassung und einem erneutem unerlaubten Datentransfer von ca. 2.500 – 5.000 Euro.

Um die Folgen in einem angemessenen Risikobereich zu behalten, sind also Maßnahmen notwendig.

Fazit und Praxishinweise:

In der Gesamtschau ist das Urteil des EuGH wie folgt zu bewerten: Das Urteil führt zu großer Unsicherheit. Der Gesetzgeber ist nun gefordert, neue verbindliche Regelungen zu schaffen, die allen dienen. Die aktuelle Lage nutzt niemanden – außer der Abmahnindustrie.

Es ist nun abzuwarten, ob ein erneutes Abkommen abgeschlossen wird und welche Handlungsoptionen sich auf dieser Grundlage ergeben werden. Wenn beide Seiten die Lage mit „to big to fail“ bewerten, wird trotz der aktuellen Situation zügig eine neue Regelung gefunden.

Bis dahin stehen für Maßnahmen die folgenden Optionen zur Verfügung:

  • Bei US-Anbietern auf Server in der EU ausweichen – sofern vom Dienstleister angeboten, wählen Sie Versionen auf EU-Servern (z. B. AWS, Microsoft).
  • Keine US-Dienstleister einsetzen – falls der Dienstleister keine Verarbeitung auf EU-Servern anbietet, ist die sicherste Variante keine US-Dienstleister einzusetzen die selbst oder über deren Sub-Verarbeiter personenbezogene Daten in die USA übermitteln. Zumindest sollten Sie in diese Richtung mit einem Auswahlprozess beginnen und nachweisliche Alternativen in Betracht ziehen und deren Einsatzmöglichkeiten prüfen.
  • Abwarten und nach Standardvertragsklauseln fragen und ein gewisses Risiko tragen, die Entwicklung abwarten und den Dienstleister auf Standardvertragsklauseln für US-Datentransfers setzen, auch wenn die Wirksamkeit der Klauseln eher zweifelhaft ist, ist diese Maßnahme mindestens als risikomindernd zu bewerten.
  • Wenn möglich Einwilligungen der Nutzer einholen – und die Nutzer transparent auf den Einsatz von US-Dienstleistern und die damit verbundenen Risiken hinweisen. Eine Einwilligung in den Cookie-Hinweisen ist eher als kritisch zu bewerten.

Anpassung von AV-Verträgen und Datenschutzerklärungen

Entfernen Sie alle Hinweise auf das EU-US Privacy Shield-Abkommens in (Muster)-Verträgen, Formularen und Datenschutzhinweisen! Das gilt auch die Hinweise auf Ihren Webseiten.

Darüber hinaus gilt, dass wir bereits 2015 eine vergleichbare Lage ohne Schaden überstanden haben. Der Druck auf die Politik eine neue, wirksame Vereinbarung abzuschließen ist sehr hoch, der wirtschaftliche Schaden wäre sonst auf beiden Seiten des Atlantiks unübersehbar.

Noch Fragen zur Auswahl der richtigen Maßnahmen oder deren Umsetzung?

Bitte einfach per Mail an horst.wenning@datatree.ag