EU-US Privacy Shield - Alles was Sie zum Schrems 2 Urteil wissen müssen - Urteil - DSGVO - DSGVO-Verstoß - Datenschutz - DSGVO-konform - Daten - Personenbezogene Daten - Recht

Datentransfer in die USA: eine endlose Geschichte mit viel Risiko – aktuell! Das US-EU Privacy Shield

Es hat sich lange angebahnt, aber nun kam es tatsächlich dazu, dass der österreichische Jurist Max Schrems wieder den Datentransfer nach USA vor den EuGH brachte. Er bekam erneut Recht. Das sog. „Schrems2“-Urteil des EuGH, mit dem das US-EU Privacy Shield gekippt wurde, mischt gerade Datenschutzbeauftragte und Unternehmen auf. In unserem Blogartikel und Video erfahren Sie alles, was Sie aktuell zum EU-US Privacy wissen müssen. Außerdem verraten wir Ihnen, worauf Sie im Unternehmen achten müssen!

Die offizielle Stellungnahme in einer Pressemitteilung der DSK (Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) vom 28.07.2020 lautet dazu:

„Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.“

Safe-Harbor Abkommen: der Vorgänger des US-EU Privacy Shield

An dieser Stelle lohnt sich ein kurzer Rückblick: Lange vor diesem Urteil, ja sogar lange vor Einführung der DSGVO, genauer gesagt seit dem Jahr 2000, galt das sog. „Safe Harbor“ Abkommen, welches den Datenaustausch zwischen der EU und den USA legitimieren sollte. Die Bezeichnung Abkommen rührt daher, dass dies zwischen der EU und den USA so abgesprochen war. Im Kern bedeutete dieses Abkommen, dass beim Austausch personenbezogener Daten zwischen der EU und den USA, den EU-Bürgern die gleichen, oder sagen wir mal, ähnliche Rechte im Umgang mit den in den USA gespeicherten und verarbeiteten Daten zusprach, wie es die EU-Gesetzgebung vorsah. Ein Schelm wer damals schon Böses dabei dachte, denn die damalige Gesetzgebung in USA sicherte der US-Regierung schon zu dieser Zeit hinreichende Zugriffsrechte auf Daten, die in den USA lagen, zu.

Die USA kennen dazu keine umfassenden gesetzlichen Regelungen, die den Standards der EU insoweit entsprechen würden. Verschlimmert wurde dies dann durch die Anschläge des 11. September und die daraufhin gesetzlich massiv ausgebauten Zugriffsrechte der US-Regierung durch den sog. „Patriot-Act“.

Wer seine personenbezogen Daten, auf welchem Weg auch immer, in die USA brachte, musste damit leben, dass die US Regierung, unter bestimmten Bedingungen, aber mit allen möglichen Folgen für die einzelnen natürlichen Personen, darauf vollumfänglich zugreifen kann, Daten, Fotos, Chatprotokolle, IP-Adressen, ganz egal.

Ablehnung auch durch den Düsseldorfer Kreis

Schon damals galt unter Datenschützern die Meinung, dass das „Safe-Harbor“ Abkommen eigentlich eine Farce sei. Auch der sogenannte Düsseldorfer Kreis, also der Zusammenschluss der Datenschutzaufsichtsbehörden, hatte im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürften und forderte konkrete Mindeststandards, die gewährleistet und auf Nachfrage der Aufsichtsbehörden auch nachgewiesen werden müssen.

Selbst nachdem Edward Snowden 2013 detailliert beschrieben hatte, dass US-Geheimdienste wie NSA und andere Behörden völlig ungeniert auf Server von US-Konzernen wie Facebook und Google zugreifen können, wurde von Seiten der Politik und Wirtschaft an Safe Harbor festgehalten.

Ein Abkommen also, das nur als politischer Deckmantel für ein eigentlich ungeheuerliches Vorgehen der US-Regierung stand. Dies störte dann auch einen damals 28-jährigen österreichischen Juristen Namens Max Schrems. Dieser klagte 2015 erfolgreich vor dem EuGH. Das Safe-Harbor Abkommen wurde durch das „Schrems1“ Urteil zu diesem Zeitpunkt für ungültig erklärt.

Privacy Shield – Unwirksamer Schutz mit Ansage

Als Folge war mit der Wirksamkeit dieses Urteils jeglicher Datentransfer aus der EU in die USA, der sich auf das Safe-Harbor Abkommen stütze (und das waren die meisten) unzulässig. Für die Unternehmen schon damals, noch vor den drakonischen Bußgeldern der DSGVO, ein echtes wirtschaftliches Risiko. Denn man konnte sich mit dem Datenexport in die USA, ohne ausreichende Rechtsgrundlage, als Unternehmer ein Bußgeld einhandeln, was auch vereinzelt geschah. Nur wenige Unternehmen hatten zu diesem Zeitpunkt andere wirksame Rechtsinstrumente, wie die „Binding Corporate Rules“ (BCR) oder die EU-Standardvertragsklauseln im Einsatz.

Die Politik reagierte prompt und strickte offensichtlich mit sehr heißer Nadel etwas Neues. Die Idee des „EU-US Privacy Shields“ war geboren. Man brauchte schließlich schnell einen Nachfolger für das nun unselige Safe-Harbor Abkommen.

Der Privacy Shield ist wohlgemerkt kein Vertrag!

Es ist schlichtweg wieder „nur“ eine Absprache zwischen der EU und den USA, die – soweit war das klar, ebenso wie das alte Abkommen, die Rechte der EU-Bürger beim Datentransfer in die USA schützen sollte. Den personenbezogenen Daten sollten wenigstens ähnliche Rechte zukommen, die in der EU gelten, wenn sie via Social Networks, Cloud-Speicher, Medizinische Geräte oder auf welchen Weg auch immer in die USA gelangen. Die US-Regierung sollte also die Finger von diesen Daten lassen. Auch hier gilt wieder: Ein Schelm, wer Böses dabei denkt, denn wer glaubte ernsthaft, dass die US-Behörden ihre sich politisch mühsam erkämpften, vollumfänglichen Zugriffsrechte, auf Daten von EU-Bürgern mal eben vergessen. Das Problem geht schon bei der Differenzierung der Daten los.

Wie sollen denn bitte US-Behörden bei Zugriffen auf Datenbanken von Facebook & Co. nach Daten von US- und EU-Bürgern unterscheiden…?

Selbstzertifizierung in der Kritik

Auch das nun flugs geschaffene neue Zertifizierungsverfahren für US-Unternehmen, die sich dem EU-US Privacy Shield „unterwerfen“ war schon im Ansatz mehr als zweifelhaft. Es war nämlich nur eine Selbstzertifizierung! D.h. das Ausfüllen und Absenden eines Fragebogens an das US-Handelsministerium reichte locker mal aus, um diese Zertifizierung zu erlangen. Wohl gemerkt „garantierte“ dann das jeweilige US-Unternehmen, sich an EU-Standards in der Datenverarbeitung zu halten. – Das Unternehmen, immer noch nicht die US-Regierung! Wie bitte soll denn ein Unternehmen dies zusichern, wenn darüber hinausgehende bestehende Gesetze der US-Regierung dieser Zugriffsrechte zusichern, was die EU in ihren Gesetzen eigentlich verbietet?

Unterm Strich lässt sich zum Privacy Shield sagen, es war „Alter Wein in neuen Schläuchen“. Die Politik hatte hier versagt und sich einen Bärendienst erwiesen. Inhaltlich war der Privacy Shield nicht mehr wert als das längst ungültig gewordene Safe Harbor Abkommen. Wieder eine Farce!

Es war also absehbar, dass auch dieses Konstrukt nicht lange Bestand hat. Max Schrems klagte 2020 erneut vor dem EuGH und bemängelte genau dies. Wieder mit Erfolg. Im sog. „Schrems2“ Urteil (Urt. v. 16.07.2020, Az. C-311/18) erklärten die Luxemburger EuGH Richter auch den Privacy Shield für ungültig.

Ein kurzer Blick in die Details des Urteils

Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht wollte vom EuGH wissen, ob die sogenannten EU-Standardvertragsklauseln und das EU-US-Datenschutzabkommen „Privacy Shield“ dem europäischen Datenschutzniveau gerecht würden.

Die Richter befanden, dass der Privacy Shield kein angemessenes Datenschutzniveau gewährleiste. Mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden seien die europäischen Anforderungen an den Datenschutz für in die USA übertragene Nutzerdaten nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend, wenn Betroffene in Übersee rechtlich gegen das Auslesen oder die Verwendung ihrer Daten vorgehen wollten.

Was bleibt? – Rechtliche Grundlagen

Die Richter des EuGHs erkannten jedoch in ihrem Urteil, die sog. EU-Standardvertragsklauseln weiter als akzeptable, gültige Rechtsgrundlage an. Wenn dieser Vertrag (nein, kein Abkommen, keine Absprache, hier handelt es sich wirklich um einen VERTRAG!) zwischen dem datenexportierenden Unternehmen der EU und dem Daten importierenden Unternehmen in den USA geschlossen wird, dann ist das auch weiterhin aus deren Sicht ok. Die EU-Standardvertragsklauseln sind eine von der EU längst geschaffene Vertragsvorlage, die man für den Datenaustausch verwenden kann. Genauso wie die sog. Binding Corporate Rules (BCR). Diese werden i.d.R. zwischen großen Konzernen aus dem EU-Raum mit Niederlassungen oder Werken in den USA geschlossen. Sie sind bereits seit vielen Jahren üblich, aber leider auch eher die Seltenheit darstellen.

Sowohl die EU-Standardvertragsklauseln also auch die BCRs gelten also weiter als valide Rechtsgrundlage für den Datenaustausch nach USA. Als positives Beispiel ging hier übrigens schon immer Microsoft voran. Deren Dienste, wie Office 365, basieren schon seit langem auf den Standardvertragsklauseln und nicht auf einer EU-US Privacy Shield Zertifizierung.

Wenn man sich nun danach richtet, müsste man also doch einfach seine bisherigen Abläufe, Prozesse, Softwareprodukte, Apps usw. nur dahingehend überprüfen, welche Unternehmen hinter diesen Anwendungen sich bisher auf die EU-US Privacy Shield Zertifizierung verlassen haben und in der öffentlich zugänglichen Liste unter https://www.privacyshield.gov/list eingetragen sind. Diese Firmen müssten umschwenken auf die EU-Standardvertragsklauseln.

Genau das passiert aktuell auch! Unternehmen wie Google schicken seit 04.08.2020 Emails an Kunden mit folgendem Wortlaut:

„Dear Partner,
As a result of the recent Court of Justice of the European Union ruling on data transfers, invalidating the Privacy Shield, Google will be moving to Standard Contractual Clauses (SCCs) for transfers…“

Alternativ bliebe im Datenschutz natürlich noch das Instrument der freiwilligen Einwilligung, was allerdings in der Praxis oft schwierig umzusetzen ist.

Ist es wirklich so einfach?

Wohl kaum, denn die EU-Standardvertragsklauseln stehen eben auch auf der Kippe. Am Ende des Tages bleiben die umfangreichen Zugriffsrechte der US-Behörden wahrscheinlich bestehen. Es bleibt offen, ob nicht sogar noch ein „Schrems3“ Urteil folgt. Dies stellten die Richter des EuGH auch klar. Die Standardvertragsklauseln können nur als ausreichende Rechtsgrundlage herangezogen werden, wenn sie einen hinreichenden Schutz bieten. Hier hat sich bereits eine deutsche Datenschutzaufsichtsbehörde dazu geäußert: „In dem Fall aber, dass US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.“

 

Und eine dann noch verbleibende wirksame (!) Einwilligung von jeder einzelnen natürlichen Person einzuholen ist in der Praxis oft gar nicht machbar. Selbst wenn mangelt es bei genauer Betrachtung aber an der Freiwilligkeit oder Widerrufbarkeit und die ganze Einwilligung ist somit unwirksam.

Hier wäre es nun an der Zeit, dass sich die EU und die US-Regierung einmal mehr an den Verhandlungstisch setzen. Ziel muss es sein, eine echte und vor allem langfristige, tragfähige Lösung zu schaffen, die das Vertrauen in US-Dienste wieder stärkt. Dass dies aktuell unter der Trump Regierung geschieht, ist jedoch mehr als fraglich. Trotzdem, die Hoffnung stirbt bekanntlich zuletzt.

Ach ja, wie haben eigentlich die Amerikaner auf das Urteil reagiert? Die sagen vereinfacht: „Wir bedauern zwar das Urteil, wir erklären euch gerne nochmal wie die US-Gesetze funktionieren, aber eigentlich interessiert es uns nicht und wir machen weiter wie bisher.“ Nachzulesen hier:

https://lu.usembassy.gov/u-s-secretary-of-commerce-wilbur-ross-statement-on-schrems-ii-ruling-and-the-importance-of-eu-u-s-data-flows/

 

Was kann man nun als Unternehmen trotzdem tun, um auf Nummer Sicher zu gehen?

Zuerst einmal: Es gibt hier keine wirkliche Sicherheit. Dies zeigen die o.g. Ausführungen. Man kann sich der datenschutzrechtlichen Sicherheit derzeit also nur annähern.

  1. Verarbeitungstätigkeiten

    Man muss alle Verarbeitungstätigkeiten in seinem Unternehmen prüfen, ob diese auf Basis des EU-US Privacy Shields, als bisherige Rechtsgrundlage, stattfinden. Dies betrifft alle Prozesse, Software, Apps etc. welche personenbezogenen Daten verarbeiten. Diese sind ja (hoffentlich) bereits nach DSGVO Art. 30 (1) dokumentiert und somit einfach zu identifizieren.

  2. Rechtliche Grundlagen prüfen bzw. schaffen

    Man muss dort dann tatsächlich auf die EU-Standardvertragsklauseln ausweichen, wo dies möglich ist. Dort wo US-Unternehmen diese von sich aus anbieten wie z.B. Microsoft oder Google, ist das gut. Hier gilt es die Rechtsgrundlage in den Datenschutzdokumenten (Verarbeitungstätigkeiten) zu ändern. Dort wo US-Unternehmen dies nicht anbieten, schreiben Sie diese aktiv an und fordern diese ein!
    Achtung! Unbedingt prüfen, ob die EU-Standardvertragsklauseln überhaupt als gültige Rechtsgrundlage herangezogen werden können. Ob dies der Fall ist, lässt sich sehr gut anhand einer FAQ-Liste, die die Datenschutzaufsichtsbehörde Rheinland-Pfalz kürzlich veröffentlichte herausfinden, hier der Link: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

  3. Subunternehmer prüfen

    In vielen Fällen arbeiten deutsche Unternehmen im Datenaustausch mit vermeintlich deutschen Unternehmen zusammen, dies geschieht im Rahmen der sog. Auftragsverarbeitung. Diese Auftragsverarbeiter nutzen jedoch oft Subunternehmer wie Rechenzentrumsbetreiber oder Cloud-Speicher mit Sitz in den USA. Diese Datenweitergabe findet ebenfalls wiederum auf Basis des früheren Privacy Shield statt. Man muss also auch die Auftragsverarbeiter und vor allen Dingen der Subunternehmer prüfen! Auftragsverarbeiter sind übrigens nach DSGVO verpflichtet, deren Subunternehmer offenzulegen. Dies findet sich meistens als Liste im Vertragsanhang. Somit müssten auch Subunternehmer die EU Standardvertragsklauseln anbieten.

  4. Konsequenzen ziehen

    Die Datenverarbeitung mit den betroffenen Verarbeitern schlimmstenfalls einstellen und tatsächlich auf europäische Anbieter wechseln. Dies sollte natürlich die letzte Option sein, ist aber unter der aktuellen Rechtsprechung oft die einzige Möglichkeit, um als Unternehmen dem Bußgeldrisiko auszukommen.

  5. Augen auf bei der Partnerwahl!

    In Zukunft verstärkt bei der Auswahl der externen Dienstleister einfach verstärkt darauf achten, dass sich die Dienstleister oder deren Subunternehmer, die Daten verarbeiten eben nicht in den USA befinden, sondern in der EU oder in anderen sicheren Drittstaaten.

 

Auch jetzt datenschutzkonform zu reagieren stellt die meisten Unternehmen vor große Herausforderungen. Wir unterstützen Sie gerne dabei, indem wir beispielsweise Ihre Verarbeitungstätigkeiten prüfen. Kontaktieren Sie uns einfach.

Unser Video zum EU US Privacy Shield und weiteren Spannenden Themen aus Datenschutz und IT-Sicherheit finden Sie übrigens auf unserem YouTube Channel.  

 

 

 

 

This post is also available in: Englisch