Der europäische Gerichtshof hat am 16. Juli 2020 entschieden, dass Privacy Shield als Garantie für Datenübertragungen in die USA von nun an unwirksam ist. Die Auswirkungen für Unternehmen in Europa sind weitreichend und können gravierende Konsequenzen haben. Nun gibt es außerdem eine vom Europäischen Datenschutzausschuss EDSA. Wir werfen einen Blick auf dieses wichtige Urteil.
ACHTUNG: Dieser Beitrag beschreibt unsere Meinung zu diesem Thema. Er ersetzt keine Rechtsberatung im Einzelfall. Wenn Ihr Unternehmen personenbezogene Daten in die USA überträgt, stimmen Sie sich bitte dringend mit Ihrem Datenschutzbeauftragten ab oder nehmen Sie unsere Angebote zur Beratung im Datenschutz in Anspruch.
Kurzfassung: Datenübertragungen in die USA auf Basis von Privacy Shield sind nicht mehr zulässig und stellen einen Verstoß gem. Art. 83. Abs. 5 lit. c DSGVO mit Bußgeldern bis 20 Mio. Euro oder 4% des Konzernumsatzes dar. Aktuell könnten z.B. Standarddatenschutzklauseln als Ersatz eingesetzt werden, diese Garantie könnte sich aber auch schnell als zahnloser Tiger erweisen, wenn das europäische Unternehmen nicht vernünftig kontrollieren kann, ob das Datenschutzniveau in den USA tatsächlich gewahrt werden kann. Und daran gibt es erhebliche Zweifel.
In der letzten Zeit häufen sich bereits Urteile und Stellungnahmen zu datenschutzrelevanten Themen – zuletzt vom BGH in Sachen Cookies und Einwilligungen.
Was jetzt aber entschieden wurde, ist weitaus bedeutender und hat massive Auswirkungen auf die meisten Unternehmen in Europa – auch wenn sie auf den ersten Blick mit den USA gar nichts zu tun haben.
Worum es geht: Das Privacy Shield
Generell verbietet die DSGVO Datenübertragungen in Länder außerhalb Europas (sog. „Drittländer“), es sei denn, die Länder garantieren durch Ihre rechtstaatlichen Strukturen ein angemessenes Datenschutzniveau oder der Verantwortliche für die Übertragung sorgt für geeignete Garantien. Geeignete Garantien sind im Kapitel 5 der DSGVO beschrieben.
Eine mögliche Garantie ist z.B. die drittstaatliche Anerkennung des europäischen Datenschutzniveaus und die Schaffung von Möglichkeit für Betroffene, seine diesbezüglichen Rechte im Empfängerland durchsetzen zu können. Wenn die EU-Kommission dieses Niveau als gegeben anerkennt, erlässt sie einen Angemessenheitsbeschluss, das Land gilt dann als „sicher“ und Datenübertragungen dürfen ohne weitere Garantien dorthin übermittelt werden.
Die USA gehören nicht zu den „sicheren Drittländern“ mit Angemessenheitsbeschluss. Daher ist eine Datenübertragung in die USA aus Europa immer mit weiteren Garantien abzusichern. Die Prüfung, ob geeignete Garantien vorliegen, obliegt dem Verantwortlichen für die Datenverarbeitung – in der Regel also dem europäischen Unternehmen, dass die Daten in die USA weitergeben will. Eine von vielen Möglichkeiten ist die Prüfung, ob sich das empfangende Unternehmen in den USA für Privacy Shield zertifiziert hat.
Das Privacy Shield ist eine informelle Absprache zwischen den USA und der EU aus dem Jahre 2016, die vor allem aus Zusicherungen der US-Regierung zum Datenschutz und einem Angemessenheitsbeschluss der EU besteht. Amerikanische Unternehmen müssen sich selbst zertifizieren, werden dann in die Privacy Shield Liste eingetragen und verpflichten sich zur Einhaltung der Datenschutzbestimmungen.
Kritisiert wurde von Anfang an, dass die zugesicherten Rechte für Europäer nicht wirklich durchsetzbar sind und dass durch die US-Gesetzgebung immer Vorrang habe – und dass weitreichende Überwachungsrechte der US-Geheimdienste den Zugriff auf die Daten ermöglichen, ohne dass der Betroffene davon erfahre. Letztlich ist Privacy Shield eben kein Vertrag, sondern nur eine Vereinbarung – die auch seitens der USA jederzeit gekippt hätte werden können.
Was ist jetzt passiert?
Der europäische Gerichtshof (EuGH) hat geprüft, ob ein ehemaliger Beschluss der EU-Kommission bzgl. Privacy Shield von 2016 überhaupt gültig sei. In seinem Urteil stellt der EuGH nun fest, dass das Privacy Shield massive Mängel hinsichtlich des Schutzes der Daten von Europäern hat. Es wird kritisiert, dass „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden.“ Vor allem Geheimdienste können auf Daten zugreifen, ohne die Betroffenen zu informieren. Auch wenn diese Zugriffsrechte theoretisch mit Schranken versehen sind, ist es einem Europäer effektiv nicht möglich, seine diesbezüglichen Rechte vor einem US-Gericht wirksam einzuklagen.
Hier das Urteil zum Nachlesen – EuGH, Vorabentscheidungsersuchen in der Rechtssache C‑311/18
Somit sind ab sofort alle Datenübertragungen in die USA, die auf dieser (nun ehemaligen) Rechtsgrundlage basieren, nicht mehr erlaubt und müssen entweder eingestellt werden oder mit anderen Garantien abgesichert werden.
Welche andere Garantie kann man nun verwenden?
Die DSGVO sieht neben den bereits genannten Garantien noch weitere Möglichkeiten zur Absicherung der Datenübertragung in Drittländer vor. Abgesehen von den „erforderlichen Datentransfers“ und den „Binding corporate Rules“ bieten sich vor allem die Standarddatenschutzklauseln an – besser unter dem Namen „Standard Contractual Clauses“ oder „SCC“ bekannt.
Die SCC sind vorgefertigte und weitestgehend unveränderbare Vertragsvorlagen, die es in verschiedenen Varianten für sogenannte „Controller-zu-Controller“ oder „Controller-zu-Processor“ Übertragungen gibt. Die Vertragspartner verpflichten sich darin zur Einhaltung des europäischen Datenschutzniveaus. SCC werden oft in Auftragsverarbeitungsverhältnissen genutzt, müssen aber konkret zwischen den Parteien vereinbart werden und bieten naturgemäß nur wenig Spielraum in der Vertragsgestaltung. (Die SCC waren auch genau deshalb Thema in der letzten Mitteilung der Berliner Aufsichtsbehörden zur Nutzung von Videokonferenztools).
Was sagt der EuGH zu den Standarddatenschutzklauseln?
Auch die Anwendbarkeit von Standarddatenschutzklauseln (SCC) im Allgemeinen stand auf dem Prüfstand des EuGH. Prinzipiell dürfen die SCC weiterhin verwendet werden, nur muss sichergestellt werden, dass die Voraussetzungen auch eingehalten werden können.
Die Nutzung von SCC beinhaltet, dass beide Seiten den Datenschutz auf europäischem Niveau umsetzen. Der Datenexporteur, also das europäische Unternehmen, ist dafür verantwortlich, dass der Importeur den Datenschutz gewährleistet, er muss außerdem sicherstellen, dass er diese Umsetzung kontrollieren kann.
Was sagt der Europäische Datenschutzausschuss EDSA dazu?
In seiner Stellungnahme vom 24.7.2020 nimmt der EDSA zum EuH-Urteil Stellung:
Vor allem zur Nutzung der SCC bei der Datenübermittlung in die USA äußert sich der EDSA sehr klar: Faktisch ist eine Übertragung in die USA nicht mehr möglich, da das geltende US-Recht nicht durch eine vertragliche Regelung außer Kraft gesetzt werden kann. Hier blickt man vor allem auf die Executive Order (EO) 12333 und den Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA). Beide US-Rechtsgrundlagen schaffen weitreichende Befugnisse für die US-Geheimdienste zur Überwachung von Kommunikation und Datenspeicherung. Vor allem durch die Nutzung der Programme PRISM und UPSTREAM, kann eine umfassende und anlasslose staatliche Überwachung stattfinden und Geheimdienste vor allem auf den Internetbasierten Datenverkehr selektiv zugreifen.
Der EuGH und auch der EDSA sehen vor allem dadurch die Datenübertragung in die USA kritisch und bezweifeln, dass alle Anforderungen an ein angemessenes Datenschutzniveau erfüllt werden können. Vor allem mit Blick auf Art. 47 der Europäischen Grundrechtscharta GRCh wird gesagt, dass die gerichtliche Durchsetzbarkeit der Überprüfung der Datenverarbeitung in den USA für einen europäischen Betroffenen faktisch nicht möglich sei. Auch die existierende Einrichtung des Ombudsmannes soll daran nichts ändern können, da nicht davon ausgegangen wird, dass er für Geheimdienste bindende Entscheidungen treffen kann oder darf.
Was kann man als Unternehmen tun, wenn man Daten in die USA übermittelt?
Viele Unternehmen stehen jetzt vor echten Herausforderungen: Privacy Shield ist nicht mehr als Datenschutzgarantie zugelassen, Standarddatenschutzklauseln in der Regel nicht einsetzbar. Was gibt es denn nun noch?
Ein Unternehmen sollte als erstes prüfen, ob und in welchem Verarbeitungsvorgang Daten in die USA exportiert werden. Dabei sollten auch Auftragsverarbeiter und ggfs. Unterverarbeiter in die Prüfung einbezogen werden.
Wenn eine Übertragung stattfindet, muss festgestellt werden, auf welcher Grundlage das angemessene Datenschutzniveau gewährleistet wird:
- Sofern der Importeur ein Privacy Shield gelistetes US-Unternehmen ist und die Datenschutzgarantien darauf beruhen, muss dringend die Übertragung auf eine neue Garantie gestützt odereingestellt werden.
- Wenn die Übertragung auf SCC beruht, muss geprüft werden, ob eine wirksame Kontrolle möglich ist und keine nationalen Gesetze die Datenschutzmaßnahmen einschränken können. Für die USA wird das regelmäßig der Fall sein. Hier ist eine neue Garantie zu beschaffen oder die Übertragung einzustellen.
Artikel 49 DSGVO bietet verschiedene Ausnahmen an:
- Vor allem die explizite Einwilligung des Betroffenen ist hier wichtig, sie darf aber erst erfolgen, „nachdem der Betroffene über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.
- Auch die Übermittlung zum Abschluss eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von sog. vorvertraglichen Maßnahmen auf Antrag der betroffenen Person ist eine einschlägige Ausnahme. Dies gilt übrigens genauso, wenn der Vertrag nicht mit der betroffenen Person sondern in ihrem Interesse mit einer anderen natürlichen oder juristischen Person geschlossen werden soll.
Welche Maßnahme die Richtige ist, kann nur im Einzelfall entschieden werden. Unternehmen sollten sich an Ihre Datenschutzbeauftragten wenden. In jedem Fall muss klar sein, dass die Übertragung von Daten in die USA sofort eingestellt werden muss, sollte es keine geeignete Garantie für das Datenschutzniveau geben oder eine der genannten (oder weiteren) Ausnahmen greifen.
Denken Sie auch an die Aktualisierung Ihrer Datenschutzdokumentation und ggfs. ein Update Ihrer öffentlichen Informationen zum Datenschutz auf Ihrer Website oder im Kommunikationsprozess.
Gerne beraten und unterstützen wir Sie bei der Umsetzung oder Anpassung Ihrer Datenschutzmaßnahmen.