Der Europäische Gerichtshof hat das Datenschutzabkommen zwischen der EU und den USA, den so genannten Privacy Shield, für ungültig erklärt. Damit fehlt für das Übermitteln von personenbezogenen Daten an die USA (und auch andere Drittländer) die Rechtsgrundlage. Die Datenübertragung ist in vielen Fällen schlichtweg illegal. Aber: wer kann auf die Dienste von US-amerikanischen Anbietern wie Microsoft, Google oder Amazon verzichten?
Max Schrems, bekannter Datenschutzaktivist und Jurist, hat über seinen Verein NOYB – Europäisches Zentrum für digitale Rechte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Daraufhin wendete sich ein irisches Gericht an den Europäischen Gerichtshof, der entscheiden sollte, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind.
EuGH erklärt Privacy Shield für ungültig
Die Luxemburger Richter erklärten das EU-US-Privacy Shield-Abkommen am 16. Juli 2020 für ungültig. Mit Blick auf die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Nicht-US-Bürgern bzw. EU-Bürgern seien die Anforderungen an den europäischen Datenschutz-Standard nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
In vielen Fällen fehlt daher jetzt für das Übertragen personenbezogener Daten an die USA (aber grundsätzlich auch an andere Drittländer) die Rechtsgrundlage. Die Datenübertragung ist schlichtweg unzulässig. Das stellt auch der Europäische Datenschutzausschuss auf seiner Internetseite klar. Datenschutzexperten, darunter auch Max Schrems auf seiner Internetseite (www.noyb.eu), haben für das Dilemma auch keine praktikable Lösung parat. Der Karren steckt im sprichwörtlichen Dreck.
Was können Verantwortliche jetzt tun?
- Identifizieren Sie alle Ihre Datenübermittlungen in die USA und Drittländer (auch an Empfänger in der EU, die möglicherweise ihrerseits Daten an ein Nicht-EU-Unternehmen übermitteln)
- Prüfen Sie, welche Datenkategorien Sie an diese Empfänger zu welchem Zweck übermitteln?
- Max Schrems rät insbesondere dazu, auf „Electronic Communication Service Provider“ in den USA zu achten, die die empfangenen Daten nicht gegen das Abhören durch die NSA schützen (was wohl leichter gesagt als getan ist).
- Bestimmen Sie die relevante Rechtsgrundlage (z.B. Angemessenheit, Artikel 49 DSGVO, Privacy Shield, SCCs usw.)
- Überlegen Sie sich, ob es zu den von Ihnen genutzten Diensten US-amerikanischer Anbieter europäische Alternativen gibt (z.B. Cloud-Speicherdienste, Newsletter-Tools)!
Eine konsequente Lösung wäre, jede Datenübermittlung an die USA sofort zu stoppen. Das Problem dabei ist, dass darunter in vielen Fällen auch der Geschäftsbetrieb massiv leiden würde. Denn unter anderem ist von den US-Unternehmen Amazon, Apple, Dropbox, Facebook, Google und Microsoft bekannt, dass diese bereits Datenzugriffe durch US-Behörden zugelassen haben. Aber welcher Unternehmer kann gänzlich auf die Dienste dieser zum Teil weltweiten Monopolisten verzichten? Gleichwertige europäische Alternativen gibt es oft nicht.
Ratsam ist, auf nicht unbedingt notwendige Datenübertragungen in die USA, wie zum Beispiel eine gewerblich genutzte Fanseite auf Facebook, Einbettung von Social Media Plugins, Newsletter-Tools von US-amerikanischen Anbietern oder Auswertungen mittels Google Analytics, zu verzichten. Cloud-Speicherdienste wie Dropbox sollten durch europäische Alternativen ersetzt werden.
Stellt Artikel 49 DSGVO eine Lösung dar?
Artikel 49 der Datenschutz-Grundverordnung trägt die Überschrift „Ausnahmen für bestimmte Fälle“. Fraglich ist, ob dieser Artikel beziehungsweise die darin genannten Ausnahmen als Rechtsgrundlage für Datenübertragungen an die USA dienen können. Der Europäische Datenschutzausschuss vertritt beispielsweise die Meinung, dass der Begriff „Ausnahme“ restriktiv angewendet werden muss und nur für nicht dauerhafte, gelegentliche Übermittlungen als Rechtsgrundlage herangezogen werden kann.
Grundsätzlich eröffnet Artikel 49 Absatz 1 Ziffer a) die Möglichkeit, die Datenübertragung auf Basis einer ausdrücklichen Einwilligung durchzuführen. Betroffene Personen müssen vor dem Übertragen ihrer Daten über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen informiert werden. Ein entsprechender Risikohinweis ist also Pflicht. Das Problem dabei ist, dass Einwilligungen naturgemäß auch gar nicht erteilt werden oder jederzeit widerrufen werden können.
Was passiert, wenn ich nichts mache?
Der EuGH hat hervorgehoben, dass die Datenschutzbehörden die Pflicht haben, einzugreifen, um Datenübermittlungen auszusetzen oder zu verbieten. Das bedeutet, dass es keine „Schonfrist“ gibt. Max Schrems äußert auf seiner Internetseite die Vermutung, dass eine Datenschutzbehörde keine Geldbuße gegen einen Verantwortlichen verhängen wird, sofern dieser nachweisen kann, dass sämtliche Maßnahmen zur Umsetzung des EuGH-Urteils so schnell wie möglich ergriffen wurden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hält in diesem Zusammenhang fest: „Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt.“ Leider gibt es diese alternativen Angebote vielfach nicht, oder kennen Sie eine europäische Alternative zu Google Analytics?
Auf der Internetseite der österreichischen Datenschutzbehörde findet das EuGH Urteil (noch) keine Erwähnung. Die Wirtschaftskammer Österreich bietet auf ihrer Internetseite einige Informationen an, darunter auch eine Checkliste für den Datenverkehr zwischen der EU und den USA.
Kurz gesagt gibt es für das „Dilemma“, dass der EuGH mit seinem Urteil ausgelöst hat, derzeit keine wirklich praktikable Lösung. Eine (hoffentlich für Unternehmer praktikable) Lösung muss von den europäischen Institutionen erst geschaffen werden. Und das wird wohl einige Zeit dauern. Trotzdem sollten Verantwortliche die Thematik ernst nehmen. Denn Max Schrems hat bei Datenschutzbehörden bereits Beschwerden gegen 101 Unternehmen (u.a. geizhals.at, oe24.at, sky.de, chefkoch.de, lieferando.de) eingereicht.
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.
Weitere interessante Beiträge: