Flagge der USA und Videokamera

„EU-US Privacy Shield“ – EuGH kippt Datendeal

Der EuGH hat das sogenannte „Privacy Shield“, für ungültig erklärt. In seinem Urteil stellt der EuGH fest, dass die Zugriffsmöglichkeiten der US-Behörden und insbesondere das Fehlen geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe den Anforderungen an den Datenschutz der EU widersprechen. Eine weitere Möglichkeit den Transfer von personenbezogenen Daten in die USA zu rechtfertigen, die sog. Standardvertragsklauseln, hat das Gericht jedoch grundsätzlich bestätigt. Im Ergebnis helfen die Standardvertragsklauseln den Unternehmen jedoch in den meisten Fällen nicht weiter, denn der EuGH hat Einschränkungen formuliert. Es ist laut EuGH zu prüfen, ob im Zielland ein Schutzniveau gewährleistet ist, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht. Dies hat der EuGH mit dem Privacy Shield“ Urteil für die USA als problematisch bewertet. Über die Frage, wie dieses Problem zu lösen ist, ist eine Debatte entbrannt.

Am 16.07.2020 hat der EuGH die Vereinbarung zwischen der EU und den USA über den Transfer personenbezogener Daten, das sogenannte „Privacy Shield“, für ungültig erklärt. Grund: Die Zugriffsmöglichkeiten der US-Behörden widersprechen den Anforderungen an den Datenschutz der EU, insbesondere fehlen geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe. Mit der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten grundsätzlich nur dann in ein Drittland (Nicht-EU-Staat) übermittelt werden, wenn dieses dafür ein „angemessenes Schutzniveau“ gewährleistet. Die Kommission ist befugt, für einzelne Staaten das Datenschutzniveau mit einem Beschluss als vergleichbar und damit angemessen, festzustellen. Diese Feststellung der Kommission nennt man Angemessenheitsbeschluss. Im Fall der USA gibt es keinen solchen Angemessenheitsbeschluss. Jedoch wurde mit dem „Privacy Shield“ ein eigenes Regularium geschaffen, das ausschließlich für den Datentransfer in die USA zur Verfügung steht. Diese Vereinbarung wurde vom EuGH nun für nichtig erklärt und fällt damit als Rechtsgrundlage für Datentransfers in die USA weg. Die Folgen werden von den Experten diskutiert. Klar ist, für Unternehmen besteht Handlungsbedarf.

Standardvertragsklauseln grundsätzlich bestätigt, aber für den Transfer in die USA problematisch

Liegt kein Angemessenheitsbeschluss für ein Nicht-EU-Land vor, so muss das Unternehmen, das Daten an ein Land außerhalb der EU übermittelt, geeignete Garantien zur Einhaltung des Datenschutzniveaus vorsehen. In der Regel wird das Schutzniveau durch die Vereinbarung von sog. Standardvertragsklauseln (= durch die EU-Kommission vorformulierter Vertrag) sichergestellt. Diese sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Die Wirksamkeit dieser Standardvertragsklauseln hat der EuGH in seinem Urteil grundsätzlich bestätigt. Allerdings – und das ist neu – sind laut EuGH sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen. Bestehen solche Zugriffsrechte und fehlen geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe, können auch die Standardvertragsklauseln den Datenexport nicht ohne weiteres rechtfertigen. Gerade dies, also ein nicht ausreichendes Schutzniveau, hat der EuGH mit seinen Ausführungen zum „Privacy Shield“ aber für die USA festgestellt. Damit ist die Verwendung von Standardvertragsklauseln für Datentransfers in die USA problematisch.

Welche Reaktionen zum „Privacy Shield“-Urteil des EugH gibt es?

European Data Protection Board hat sich zu Fragen rund um das „Privacy Shield“-Urteil des EuGH geäußert und eine Q&A veröffentlicht. Danach hänge die Frage, ob ein Unternehmen personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln könne, vom Ergebnis einer vom Unternehmen vorgenommenen Risikobewertung ab. Bei dieser Bewertung seien die Umstände der Übermittlung und zusätzliche Maßnahmen, die ergriffen werden können zu berücksichtigen. Wenn man zum Schluss komme, dass unter Berücksichtigung der Umstände der Übermittlung und möglicher ergänzender Maßnahmen keine angemessenen Schutzmaßnahmen gewährleistet seien, müsse man die Übermittlung personenbezogener Daten aussetzen oder beenden. Beabsichtige das Unternehmen, trotz dieser Schlussfolgerung weiterhin Daten zu übermitteln, müsse es die zuständige Behörde benachrichtigen.

Auch Max Schrems, der die Klage ins Rollen gebracht hatte, hat sich auf seiner Webseite geäußert und eine Handlungsanweisung für Unternehmen veröffentlicht. Seine Empfehlung besteht im Kern darin keine Daten mehr in den USA zu verarbeiten. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert ebenfalls sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln (Pressemitteilung der Berliner Beauftragte für Datenschutz und Informationsfreiheit vom 17.07.2020). Es ist davon auszugehen, dass auch die Aufsichtsbehörden der anderen Bundesländer entsprechend verfahren werden.

Handlungsbedarf in den Unternehmen, erste Beschwerden bei Aufsichtsbehörden

Wichtig zu wissen ist, dass sich der Streit um personenbezogene Daten dreht. Hier sorgt das Ende des „Privacy Shield“ und die zusätzlichen Anforderungen für den Einsatz von Standardvertragsklauseln für Handlungsbedarf bei betroffenen Unternehmen. Dies gilt umso mehr, nachdem Max Schrems nunmehr bereits 101 Beschwerden bei Aufsichtsbehörden gegen Unternehmen eingelegt hat, die auf ihren Webseiten weiter Google Analytics einsetzen.

In Bezug auf Google Analytics könnte ggf. der Transfer von Nutzerdaten noch über Art. 49 DSGVO über das Einholen einer Einwilligung im Cookie-Banner mit Hinweis auf die rechtlichen Risiken gerechtfertigt werden. Dabei festigt sich die Ansicht, dass alle Maßnahmen in Art. 49 DSGVO, also auch die Einwilligung, nur für Ausnahmen eingesetzt werden. Das wäre aber das Einrichten einer Einwilligung im Cookie-Banner eher nicht. Guter Rat ist weiterhin gefragt. In jedem Fall sollten die Stellungnahmen der Aufsichtsbehörden verfolgt werden.

Praxishinweis:

  1. Sie sollten prüfen, ob Ihr Unternehmen personenbezogene Daten in die USA oder einen anderen Drittstaat übermittelt (Hosting etc.). Ob Daten in einen Drittstaat übermittelt werden, sollte im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
  2. Ist das der Fall sollten Sie prüfen, ob dieser Dienstleister alternativ seine Leistungen auch in einem EU-Land anbietet. Vielfach kann man als Kunde hier die Auswahl des Serverstandorts etc. treffen. Ist die Dienstleistung auch in der EU möglich, sollten Sie die bestehenden Verträge mit dem Dienstleister zügig umstellen.
  3. Bietet der Dienstleister seine Leistung ausschließlich in den USA an, dann kann versucht werden, den Dienstleister zu motivieren, seine Leistung zukünftig in der EU zu erbringen. Nach dem Urteil des EuGH wird es sicher einen Trend in diese Richtung geben. Ungeklärt ist aber weiter, wie es sich auswirkt, dass amerikanische Unternehmen und ihre Tochterunternehmen weiter den amerikanischen Überwachungsregelungen unterliegen, selbst wenn die Server in der EU betrieben werden.
  4. Der EuGH führt in seinem Urteil (Rn. 132 ff.) aus, dass der Datenexporteur und -importeur die Bestimmungen der Standardvertragsklauseln um zusätzliche Garantien oder Maßnahmen ergänzen sollten, um einen angemessenen Schutz der Daten und Rechte der betroffenen Person im Drittland zu gewährleisten. Unternehmen sollten zumindest als Übergangslösung in Betracht ziehen, den Standardvertragsklauseln zusätzliche Regelungen, insbesondere zum Umgang mit Anfragen von US-Sicherheitsbehörden bzw. zum Schutz gegen Massenüberwachung, hinzuzufügen, um die Bedenken hinsichtlich der Angemessenheit des Datenschutzniveaus im Empfängerland zu reduzieren. Solche Maßnahmen können auch technischer Natur sein, wie etwa die Pseudonymisierung oder die Verschlüsselung von Daten.
  5. Ist all dies nicht möglich, müsste der Dienstleister tatsächlich gewechselt werden. Es wäre ein Dienstleister auszuwählen, der in der EU  oder der in einem Land, für das es einen Angemessenheitsbeschluss gibt, die Daten verarbeitet und nicht amerikanischen Überwachungsregelungen unterliegt, also kein Tochterunternehmen eines US-amerikanischen Unternehmens ist.
    In der Praxis wird sich diese juristische Herangehensweise nicht so einfach, insbesondere nicht ohne wirtschaftliche Belastungen, realisieren lassen. Sollte sich ein Unternehmen also vorerst im Rahmen einer Risikoabwägung gegen einen sofortigen Wechsel entscheiden, sollte das perspektivische Wechselszenario dokumentiert werden.
  6. Vorsorglich sollten Sie diese Prüfung ebenfalls für alle weiteren Nicht-EU-Länder (mit Ausnahme von Ländern mit Angemessenheitsbeschluss) durchführen.

Hinweise zur Rechtsprechung zu Anforderungen an den rechtkonformen Einsatz von Cookies finden Sie in unserem Blog.