Datenübermittlung in die USA nach dem Wegfall des Privacy Shields
Von Dipl.-Wirt.-Ing. Oliver Baldner, Paderborn | Viktor Pidde, LL.B., PaderbornLetztlich kam das Urteil nicht ganz überraschend, da es mit dem Safe Harbor-Abkommen bereits zuvor eine ähnliche Regelung gab, dem der EuGH ebenfalls eine Absage erteilt hatte (siehe Grafik).
Wie funktionierte die Datenübermittlung in die USA nach dem Privacy Shield?
Gemäß Art. 45 DSGVO kann die Europäische Kommission mit einem Angemessenheitsbeschluss feststellen, dass das Datenschutzniveau in einem Drittland europäischen Datenschutzstandards entspricht. Damit dürfen Daten in weitestgehend identischer Weise übermittelt werden wie innerhalb von EU/EWR. Einen solchen Beschluss gibt es z. B. für die Schweiz, die Färöer-Inseln oder Neuseeland. Ein Angemessenheitsbeschluss kann auch bestimmte Einschränkungen beinhalten. So sah das Privacy Shield (als ein solcher Beschluss) vor, dass Übermittlungen personenbezogener Daten in die USA nur zulässig waren, wenn ein US-Unternehmen danach jeweils zertifiziert war. Im Rahmen dieser Zertifizierung mussten sich die US-Unternehmen bestimmten Datenschutzstandards unterwerfen und damit datenschutzrechtliche Pflichten erfüllen, wozu sie nach den US-Gesetzen nicht verpflichtet gewesen wären. Beispiele sind die typischen Betroffenenrechte wie das Recht auf Auskunft, auf Berichtigung unrichtiger Daten oder auch auf Löschung. Vor allem große US-amerikanische Unternehmen wurden nach dem Privacy Shield zertifiziert.
Gibt es Alternativen zum Privacy Shield?
Die Art. 46 – 49 DSGVO enthalten Regelungen, unter denen ein Transfer von personenbezogenen Daten in Drittländer zulässig ist. Nicht jede dieser Möglichkeiten kommt für eine Datenverarbeitung durch US-Unternehmen in Frage, weil diese beispielsweise nur auf Behörden oder nur auf Datenübermittlungen innerhalb von Unternehmensgruppen anwendbar sind. Eine interessante Möglichkeit des Datentransfers in Drittländer, für die kein Angemessenheitsbeschluss vorliegt, ist die Verwendung von sogenannten Standarddatenschutzklauseln, die durch die EU-Kommission als Vertragsmuster genehmigt werden. Darin werden, ähnlich wie beim Privacy Shield, bestimmte Grundsätze des europäischen Datenschutzrechts festgelegt (vgl. Art. 46 Abs. 2 lit. c ggf. i.V.m. Art. 46 Abs. 5 DSGVO für noch weitergeltende bisher genehmigte Klauseln). Durch Vereinbarung dieser vertraglichen Regelungen verpflichtet sich ein Unternehmen im Drittland, an welches Daten aus der EU/dem EWR übermittelt werden, zur Einhaltung der wesentlichen Datenschutzstandards der DSGVO. Da das Privacy Shield umstritten war, sind große US-Anbieter bislang sogar „zweigleisig gefahren“ und haben die Verarbeitung der personenbezogenen Daten sowohl auf die Anwendung des Privacy Shields als auch auf die Verwendung der Standarddatenschutzklauseln gestützt.
Was hat der EuGH entschieden?
Der EuGH hat zwei weitreichende Aussagen getroffen. Zunächst hat er die Anwendung des Privacy Shields für ungültig erklärt.
Hauptgrund für diese Entscheidung waren die umfangreichen Zugriffsbefugnisse durch die US-Geheimdienste und -Behörden auf die personenbezogenen Daten. Der EuGH hält diese Eingriffsrechte für derart weitgehend, dass das US-Recht im Ergebnis kein der EU im Wesentlichen gleichwertiges Schutzniveau bietet. Der EuGH hat keine Übergangsfristen eingeräumt. Datenübermittlungen auf Basis des Privacy Shields sind damit rechtswidrig.
Die zweite Aussage betrifft die Anwendung der Standarddatenschutzklauseln. Diesen hat der EuGH keine generelle Absage erteilt und festgestellt, dass diese grundsätzlich dafür geeignet sein können, ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten im Drittland herzustellen. Dabei müsse jedoch (ergänzend) für jedes einzelne Drittland geprüft werden, ob die sonstigen rechtlichen Rahmenbedingungen kompatibel mit den europäischen Datenschutzgrundsätzen sind.
Die Anwendung der Standarddatenschutzklauseln für Datentransfers in die USA müsste nach dieser Prüfung aufgrund fehlender Kompatibilität der rechtlichen Rahmenbedingungen (insb. wegen der Zugriffsmöglichkeiten durch die US-Behörden) ausscheiden.
Allerdings verwirft der EuGH die Anwendung der Standarddatenschutzklauseln in Fällen, in denen die sonstigen Rechtsrahmenbedingungen inkompatibel sind, nicht ganz, denn das Schutzniveau kann durch das Ergreifen zusätzlicher Maßnahmen erhöht werden.
Wie sollten die Unternehmen nun reagieren?
Zunächst sollten alle Verarbeitungen daraufhin überprüft werden, ob personenbezogene Daten in die USA übermittelt werden. Hierbei sollten auch gegebenenfalls vom Auftragnehmer beauftragte Unterauftragnehmer mit Sitz in den USA nicht vergessen werden. Es ist daher zu empfehlen, alle Dienstleister hinsichtlich einer Übermittlung der Daten in die USA zu befragen. Bei geeigneten Alternativen in der EU oder in sicheren Drittländern sollte ein Wechsel in Erwägung gezogen werden. Ist dies nicht möglich, dann gilt es, die verbleibenden Risiken möglichst zu minimieren, wobei es u. E. zumindest mittelfristig keine gänzlich risikofreie Lösung geben wird.
In einigen Fällen könnte es möglich sein, die Übermittlung auf eine Einwilligung zu stützen. Dies wäre insbesondere für solche Verarbeitungen ein möglicher Weg, bei denen ohnehin bereits eine Einwilligung eingeholt wird, denn Art. 49 Abs. 1 lit. a DSGVO definiert die ausdrückliche Einwilligung explizit als mögliche Ausnahme für die Übermittlung in Drittländer. Typische Beispiele wären hier der Versand von Newslettern oder auch das Tracking der Besucher einer Webseite. Im Rahmen der Einwilligung wäre wegen ihrer Ausdrücklichkeit eine ergänzende Information notwendig, mit der auf die bestehenden Risiken der Datenübermittlung in die USA deutlich hingewiesen wird.
Problematisch ist hier, dass die Einwilligung freiwillig erteilt werden muss und der Verantwortliche sich nie sicher sein kann, dass diese auch erteilt wird. Für alle Verarbeitungen, bei denen das Unternehmen eine Verarbeitung verbindlich für alle Beschäftigten einführen möchte, zum Beispiel beim Betrieb eines CRM-Systems oder einer Office-Anwendung (z. B. E-Mail), scheidet diese Variante mangels Freiwilligkeit also aus. Zudem kann eine Einwilligung auch jederzeit widerrufen werden.
Was sagen die Aufsichtsbehörden?
In einer Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020 interpretiert man die Aussagen des EuGH erwartungsgemäß streng. Hier heißt es: „Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standarddatenschutzklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.“ Aber was sind solche zusätzlichen Maßnahmen? Egal, was man mit dem Anbieter in den USA vereinbart – die US-Behörden werden weiterhin Zugriff auf die Daten verlangen und diesen wohl auch erhalten.
Hierzu macht die baden-württembergische Aufsichtsbehörde (LfDI BW) in einer Orientierungshilfe konkrete Vorschläge zum möglichen Vorgehen und gibt konkrete Handlungsempfehlungen, wie solche zusätzlichen Garantien gerade im Hinblick auf die oben genannten und dem LfDI BW bekannten Risiken aussehen könnten (vgl. die Orientierungshilfe vom 07.09.2020 zur internationalen Datenübermittlung).
Ergänzung der Standarddatenschutzklauseln um erweiterte Garantien
Im Wesentlichen geht es in den Empfehlungen des LfDI BW darum, die Standarddatenschutzklauseln um Regelungen zu ergänzen, die mehr Transparenz für die betroffenen Personen schaffen und den staatlichen Zugriff in den USA zumindest so weit wie möglich einschränken.
Die wesentlichen Ergänzungsvereinbarungen sind:
- Information der betroffenen Personen bei jeglicher Datenübermittlung in das jeweilige Drittland.
- Pflicht des Datenimporteurs (also des US-Anbieters), den Auftraggeber über jede durch Behörden angeordnete Übermittlung zu informieren.
- Ist diese Informationserteilung dem Datenimporteur gesetzlich untersagt, so ist zumindest in allgemeiner Form zu Datenübermittlungen an die US-Behörden zu informieren (insb. Anzahl der Anträge, Art der angefragten Daten, ersuchende Stelle).
- Informationen nur nach Ausschöpfung aller möglichen Rechtsmittel zu erteilen.
- Verpflichtung des Datenimporteurs zum Schadensersatz gegenüber der betroffenen Person für Schäden, die durch den Zugriff von staatlichen Stellen des Drittlandes entstanden sind.
Mögliche Risiken
Interessant sind auch weitere Aussagen der Aufsichtsbehörde. Einerseits wird zwar angekündigt, die Umsetzung einer datenschutzkonformen Übermittlung personenbezogener Daten in Drittländer zu untersagen. Eine solche Untersagung soll aber nur dann stattfinden, wenn es nicht gelingt, die Aufsichtsbehörde davon zu überzeugen, dass der jeweilige Dienstleister kurz- und mittelfristig nicht ersetzbar ist. Die Aufsichtsbehörde stellt hier also durchaus eine pragmatische Vorgehensweise in Aussicht, die die Problematik berücksichtigt, dass es zu bestimmten Dienstleistungen schlicht keine brauchbaren Alternativen gibt. Ebenso interessant ist die Aussage, dass gegebenenfalls Untersagungen der Fortführung der Datenübermittlung in Betracht gezogen werden. Es wird hier ausdrücklich nicht die Ahndung mit Bußgeldern angedroht, was dafür spricht, dass die Behörde ein Vorgehen mit Augenmaß plant.
Fazit
Das EuGH-Urteil zum Privacy Shield hat in vielen Unternehmen für eine enorme Unsicherheit gesorgt. Klar ist: Ganz ohne Risiko wird die Übermittlung personenbezogener Daten in die USA künftig nur in wenigen Fällen möglich sein. Das Risiko würde bestehen, solange ein Nachfolgeabkommen nicht vereinbart wurde, auf welches die Datenübermittlung gestützt werden könnte. Unternehmen sollten sich daher der Problematik stellen und versuchen, bestmöglich auf die Herausforderungen zu reagieren, um für die betroffenen Personen zusätzliche Garantien zu erlangen. In diesem Fall können sie auf eine pragmatische und dem Grundsatz der Verhältnismäßigkeit folgende Prüfpraxis der Aufsichtsbehörden hoffen.
Bild:Adobestock/hkama
- Schlagwörter
- Datenschutz|
- Privacy shield|
- DSGVO|
- Gemeinschaftsrecht|
- Mindmap
- Finanzen Steuern Recht
- Ostwestfalen/Lippe 2020