Der Europäische Gerichtshof EuGH hat am 16. Juli 2020 das Datenschutzabkommen zwischen der Europäischen Union und den USA mit sofortiger Wirkung für ungültig erklärt (Urteil C-311/18, kurz Schrems II). Aus Sicht des EuGHs genießen personenbezogene Daten von EU-Bürgern in den USA kein Datenschutzniveau, das dem europäischen – Stichwort DSGVO – gleichgesetzt werden kann. Unter anderen deshalb, weil US-Behörden über weitreichende Zugriffsrechte auf diese Daten verfügen.
In Artikel 44 hält die Datenschutz-Grundverordnun fest, dass eine Übermittlung personenbezogener Daten an ein Drittland (Nicht-EU-Mitgliedstaat) nur dann zulässig ist, wenn der Verantwortliche oder der Auftragsverarbeiter sämtliche Bestimmungen der DSGVO einhalten. Im betreffenden Drittland muss also ein der DSGVO vergleichbares Datenschutzniveau gewährleistet sein.
Mit dem EU-US-Privacy Shield-Abkommen hat die EU-Kommission dieses der DSGVO gleichgestellte Schutzniveau für die USA festgestellt. US-Unternehmen konnten sich im Rahmen einer Art Selbstzertifizierung dem Abkommen unterwerfen. Für den Datentransfer an die USA bzw. US-amerikanische Unternehmen gab es damit eine Rechtsgrundlage und europäische Unternehmen konnten auf Basis dieses Abkommens personenbezogene Daten übermitteln.
Doch kein DSGVO-konformes Schutzniveau in den USA
US-Behörden verfügen über umfangreiche sicherheitsbehördliche und geheimdienstliche Befugnisse, die unter anderem auch nicht (wie in der DSGVO gefordert) auf das zwingend erforderliche Maß beschränkt sind. Gemäß den FISA Amendment Acts von 2008 ist es der US-Regierung erlaubt, gezielte Überwachung von Ausländern, die sich außerhalb der USA befinden, mithilfe von Anbietern elektronischer Kommunikationsdienste (also z.B. Facebook, Google und Microsoft) durchzuführen. Darüber hinaus haben betroffene Personen keine vor Gericht durchsetzbaren Rechte.
Veröffentliche Transparenzberichte von elektronischen Kommunikationsdiensten wie zum Beispiel Apple, Facebook, Google und Dropbox bestätigen, dass US-Behörden von ihren Zugriffsrechten auch tausendfach Gebrauch machen.
Max Schrems legt Beschwerde ein
Max Schrems, bekannter Datenschutzaktivist und Jurist, hat über seinen Verein NOYB – Europäisches Zentrum für digitale Rechte bei der irischen Datenschutzbehörde (Irland ist der EU-Sitz von Facebook) beanstandet, dass Facebook Irland seine personenbezogenen Daten an den Mutterkonzern in den USA überträgt. Dort haben US-Behörden weitreichenden Zugriff darauf, womit kein europäisches Datenschutzniveau gewährleistet ist.
Seine diesbezügliche Beschwerde leitete die irische Datenschutzbehörde (Irland ist der Europa-Sitz von Facebook) an den Europäischen Gerichtshof weiter, der entscheiden sollte, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind.
Die Luxemburger Richter schlossen sich der Meinung von Max Schrems an und erklärten das EU-US-Privacy Shield-Abkommen am 16. Juli 2020 für ungültig. Mit Blick auf die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Nicht-US-Bürgern bzw. EU-Bürgern seien die Anforderungen an den europäischen Datenschutz-Standard nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend. Für das Übermitteln von personenbezogenen Daten an die USA bzw. US-amerikanische Unternehmen fehlt daher die gültige Rechtsgrundlage und der Datentransfer ist grundsätzlich nicht mehr erlaubt.
Welche „Lösungen“ bietet die EU?
Auch Standardvertragsklauseln, kurz SCC (Standard Contractual Clauses), können eine gültige Rechtsgrundlage für den Datentransfer an Drittländer darstellen. Deren Gültigkeit hat der EuGH im Zuge des Schrems II-Urteils grundsätzlich bestätigt. Wirklich rechtssicher sind Sie als Verantwortlicher oder Auftragsverarbeiter mit solchen Vereinbarungen jedoch nur dann, wenn Sie das Einhalten des europäischen Datenschutzniveaus gewährleisten.
Genau das werden Sie aber auch auf Basis von Standardvertragsklauseln de facto nicht können, denn dazu müssten entweder Sie als Datenexporteur oder das US-Unternehmen als Datenimporteur den Zugriff durch US-Behörden unterbinden. Wie wollen Sie das sicherstellen? Sie müssten dazu ja in gültiges US-Recht eingreifen. Auch der Datenimporteur wird das nicht können, denn er unterliegt diesen gültigen US-Gesetzen und muss sie befolgen.
Die EU-Kommission hat mittlerweile einen Entwurf für neue Standardvertragsklauseln vorgelegt und der Europäische Datenschutzausschuss EDPB hat ebenfalls einen Entwurf für Empfehlungen herausgegeben, um das Einhalten des europäischen Datenschutzniveaus sicherzustellen. Beiden Dokumenten mangelt es aber an praktikablen Lösungsansätzen, insbesondere für EPUs, kleine sowie mittelgroße Unternehmen. Beide Entwürfe erwecken den Eindruck nach dem Motto „more of the same“. Echte Lösungen sind darin – wenn in die finalen Versionen nicht noch Änderungen Einzug halten – nicht zu finden.
Löst Artikel 49 DSGVO das Dilemma?
Vielleicht steckt die Lösung ja direkt in der DSGVO. Denn Artikel 49 der DSGVO behandelt unter der Überschrift Ausnahmen für bestimmte Fälle alternative Rechtsgrundlagen für den Datentransfer an Drittländer, zum Beispiel die ausdrücklich Einwilliung betroffener Personen (nach vorheriger Aufklärung über die mit dem Datentransfer an Drittländer verbundenen Risiken) oder die erforderliche Übermittlung zum Erfüllen eines Vertrages auf Antrag der betroffenen Person.
Juristen sind sich nicht wirklich einig darüber, wie restriktiv der Begriff „Ausnahmen“ ausgelegt werden muss, es sich also tatsächlich um eine Ausnahme vom regelmäßigen Datentransfer handeln muss, oder auch der übliche geschäftliche Datentransfer an Drittländer auf Basis von Artikel 49 erfolgen darf. Eher tendieren Datenschutz-Experten und Juristen zur Ansicht, dass Artikel 49 für den regelmäßigen Datentransfer an Drittländer KEINEN Lösungsansatz darstellt.
By the way … Ende Januar 2021 hat Max Schrems Beschwerde gegen das Europäische Parlament eingebracht – wegen Datenübermittlung an die USA und unzureichende Cookie-Informationen. Augenscheintlich tun sich auch EU-Institutionen mit dem eigenen Regelwerk schwer.
Was können Unternehmen derzeit tun?
Beim Nutzen von Diensten und Anwendungen von US-Anbietern (ebenso wie Anbietern aus anderen Drittländern) ist grundsätzlich davon auszugehen, dass personenbezogene Daten von diesen Anbietern verarbeitet (gespeichert) werden. Dabei spielt es keine Rolle, ob die Daten tatsächlich an die USA übermittelt, oder auf Servern in der EU gespeichert werden. US-Behörden haben in beiden Fällen Zugriffsrechte auf die Datenvon Nicht-US-Bürgern = EU-Bürgern.
Entfernen Sie Verweise auf das EU-US-Privacy Shield-Abkommen aus Ihren Datenschutzinformationen bzw. Datenschutzerklärungen. Dieses Abkommen ist definitiv ungültig, daher kann es keine Rechtsgrundlage für den Datentransfer mehr darstellen. Alternativ? Artikel 49 bietet sich nur in echten Ausnahmenfällen an. Noch eher wäre der Verweis auf die Standardvertragsklauseln denkbar, die der EuGH ja grundsätzlichfür weiterhin gültig erklärt hat. Nur werden Sie auf Basis der SCC das geforderte Datenschutzniveau wahrscheinlich auch nicht gewährleisten können (selbst wenn Ihnen namhafte US-Dienstleister diese als Rechtsgrundlage anbieten).
Betroffene Unternehmen – und das sind in der Praxis wohl fast alle – sollten (in dokumentierter Form) erheben, welche Dienste von US-Anbietern sie aktuell nutzen. Denn unter anderem bei …
- Office-Lösungen wie Microsoft Office 365,
- Cloud-Speicherdienste wie Dropbox oder Amazon (AWS),
- Applikationen von Apple & Google,
- sozialen Medien (Plugins!) wie Facebook & Co.,
- Analyse-Tools wie Google Analytics oder
- Newsletter-Tools wie MailChimp
- Video-Plattformen wie YouTube, Vimeo
… liegt die Vermutung nahe, dass eine Datenübertragung an die USA stattfindet. Genau genommen sollten Sie erheben, welche Dienste und Anwendungen von Anbietern in jeglichem Drittland Sie nutzen. Beachten Sie auch Datenübermittlungen an Unternehmen in der EU, die ihrerseits Daten an ein Nicht-EU-Unternehmen als Sub-Dienstleister (Auftragsverarbeiter) übermitteln könnten.
Achten Sie bei dieser Prüfung auf den Umfang der Daten, die Sie übermitteln. Es dürfen nur jene Daten übermittelt werden, die angemessen und relevant sind sowie im Hinblick auf die Verarbeitungszwecke, für die sie an das Drittland übermittelt und dort verarbeitet werden, notwendig sind.
Überlegen Sie sich, zu welchen Diensten von US-Anbietern es europäische Alternativen gibt! Sie werden leider feststellen, dass es technisch gleichwertige und vom (zeitlichen sowie finanziellen) Aufwand her angemessene Alternativen oft nicht gibt. Zu Cloud-Speicherdiensten, Webanalyse- oder Newsletter-Tools gibt es hingegen europäische, wenn nicht sogar österreichische Alternativen. Wechseln Sie zu diesen Anbietern, wenn es Ihnen nur irgendwie möglich ist. Sie reduzieren damit das datenschutzrechtliche Risiko.
Wenn Sie unsicher sind oder es keine europäische Alternativen gibt, können Sie mittels Nachfrage erheben, ob personenbezogene Daten außerhalb der EU verarbeitet werden, oder verlangen, dass personenbezogene Daten nicht mehr an die USA übermittelt werden. Als letzten Schritt können Sie eine Beschwerde bei der Datenschutzbehörde einreichen, die dann ggf. eine Einzelfallprüfung durchführt und den Datentransfer an die USA untersagt. Dokumentieren Sie diese Schritte, um bei eventueller Nachfrage durch die Datenschutzbehörde nachweisen zu können, dass Sie Ihr Möglichstes getan haben. (Quelle dieser Schritte sowie frei nutzbare Textbausteine: NOYB, Nächste Schritte für Nutzer & FAQs)
Datentransfer in letzter Konsequenz einstellen
Können Sie auch durch zusätzliche Maßnahmen (z.B. Verschlüsselung, Pseudonymisierung) den gleichwertigen Schutz der an das Drittland übertragenen Daten nicht gewährleisten, müssen Sie den Datentransfer strenggenommen vermeiden bzw. einstellen. Das ist aus aktueller Sicht die einzige wirklich rechtskonforme Lösung – auch wenn das den gänzlichen Verzicht auf Software und Dienstleistungen von US-amerikanischen Anbietern wie Microsoft, Google & Co. bedeuten würde.
Wann ist mit einer echten Lösung zu rechnen?
Wie Medien berichten, wollen die EU und die USA intensiver an einem neuen Datenschutzabkommen arbeiten. Dabei stellt sich in Kenntnis der Fakten die Frage, wer von beiden für ein neues Datenschutzabkommen seine Grundsätze bzw. Rechte aufgeben wird. Wird die EU auf die Grundsätze der DSGVO verzichten? Wohl kaum. Werden die USA die Zugriffsrechte ihrer US-Behörden einschränken? Sicher nicht. Daher liegt die Befürchtung nahe, dass sich die EU und die USA maximal auf ein neues „Feigenblatt“ einigen werden können – und das EuGH-Urteil „Schrems III“ schon abzusehen ist.
Rechtshinweise/Disclaimer: Die vorstehenden Inhalte stellen einen verkürzten und unverbindlichen Überblick hinsichtlich des vom EuGH für ungültig erklärten EU-US-Privacy Shield Abkommens dar. Es handelt sich um KEINE VOLLSTÄNDIGE UND ABSCHLIESSENDE INFORMATION sowie um KEINE RECHTSBERATUNG! Eine individuelle Betrachtung sowie ggf. die Inanspruchnahme von spezialisierten (Rechts-)Beratern kann durch die Inhalte nicht ersetzt werden. Die Inhalte beruhen auf zuverlässigen Quellen und geben den Wissens- und Erfahrungsstand des Verfassers Andreas Dolezal im Mai 2021 wieder. Der Autor und Betreiber dieser Internetseite schließt jede Haftung für Handlungen, die auf diesen Inhalten beruhen, ausdrücklich aus.
Dokumente zum Thema (PDFs zum Download):
- EuGH Pressemitteilung 91_20
- EU-Kommission: standard contractual clauses for the transfer of personal data to third countries
- EU-Kommission: standard contractual clauses for the transfer of personal data to third countries_ANNEX
- EDPB: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
- WKO Checkliste Privacy-Shield