Der EuGH hat ab sofort die Datenübermittlung aus der EU in die USA für datenschutzwidrig erklärt, wenn diese auf das vom EuGH am 16.7.2020 für ungültig EU-US-Privacy-Shield genannte Datenschutzabkommen gestützt wurde. Außerdem hat der EuGH die Datenschutzaufsichtsbehörden aufgefordert, Datenübermittlungen auf der Grundlage von EU-Standardvertragsklauseln zu verbieten, wenn im Zielland diese Klauseln aufgrund der dortigen Gesetze nicht eingehalten werden können. Das ist nach den Argumenten des EuGH in den USA der Fall. Die Auswirkungen des Urteils sind immens, da es einerseits sehr viele Bereiche der Datenverarbeitung betrifft - vom Betriebssystem über Office-Software und Videokonferenzlösungen, Cloud-Speicherdiensten bis hin zu Social-Media- und Online-Marketingaktivitäten. Andererseits sind die rechtskonformen Lösungen schwer zu finden bei gleichzeitig erheblichen Bußgelddrohungen. Hintergründe und Details erfahren Sie im nachfolgenden Beitrag.
Die Entscheidung des Europäischen Gerichtshofs (EuGH) zu zentralen Fragen der internationalen Datenverarbeitung vom 16.07.2020 zum Aktenzeichen C-311/18 hat für großes Aufsehen gesorgt, da es die Grundfesten der aktuellen Praxis erschüttert. Dabei war das jetzige Urteil, mit dem das EU-US-Privacy-Shield für ungültig erklärt worden ist, nach dem Urteil des EuGH von 2015 zur Ungültigkeit des Safe Harbor Beschlusses („Schrems I“) zu erwarten.
Doch worum geht es und was sind die praktischen Konsequenzen:
Die Verarbeitung von Informationen über lebende Menschen (= personenbezogene Daten) ist durch das Datenschutzgrundrecht der EU-Grundrechtscharta geschützt und in der EU-Datenschutzgrundverordnung (DSGVO) konkret geregelt. Dabei wird davon ausgegangen, dass die Verarbeitung von Daten in der EU mit einem angemessenen Datenschutzniveau erfolgt. Dazu gehört insb., dass Daten nur mit einer Rechtsgrundlage verarbeitet werden und sich betroffene Personen notfalls vor Gericht gegen unrechtmäßige Verarbeitung ihrer Daten wehren können.
Bei Ländern außerhalb der EU – sog. Drittstaaten bzw. Drittländer - besteht die Grundannahme, dass die Grundrechte der betroffenen Personen gefährdet werden, wenn deren Daten dort verarbeitet werden.
Datenverarbeitung ist dabei als Oberbegriff für den gesamten Lebenszyklus der Daten von deren Erfassung bis zu deren Löschung zu verstehen. Daher ist auch das bloße Speichern von Daten in einer Cloud, aber auch das Übermitteln in Form der Einsichtgewährung im Rahmen von Fernwartungszugriffen als Datenverarbeitung von der DSGVO erfasst.
Um nun doch Daten in einem Drittland verarbeiten zu dürfen, muss dort ein angemessenes Datenschutzniveau bestehen. Jemand (ein Unternehmen), der für die Verarbeitung von Daten verantwortlich ist (= Verantwortlicher), muss also in zwei Schritten prüfen, ob er
a) überhaupt die Daten verarbeiten darf und
b) ob er diese in einem Drittstaat verarbeiten (lassen) darf.
Zu den Kriterien für ein angemessenes Datenschutzniveau zählen:
- Gibt es eine unabhängige Datenschutzaufsichtsbehörde?
- Gibt es auch für betroffene EU-Bürger ein wirksames und durchsetzbares Recht sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe, um ihre Datenschutzrechte wahrnehmen zu können?
Um diese Prüfung nicht jedem Verantwortlichen zuzumuten hat die EU-Kommission für einige Ländern durch Beschluss das angemessene Datenschutzniveau festgestellt. Zu diesen sicheren Drittstaaten gehören: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan und die USA (wenn der Empfänger dem EU-US-Privacy Shield angehört).
Daneben hat die EU-Kommission Musterverträge für andere Staaten bereitgestellt, um auf vertraglichem Wege ausreichende Garantien für ein angemessenes Datenschutzniveau für Verarbeiter im jeweiligen Drittland sicherzustellen. Diese Musterverträge werden Standardvertragsklauseln (SCC) oder auch EU-Model-Clauses genannt.
Der EuGH hat nun entschieden, dass der Beschluss der EU-Kommission zum EU-US-Privacy-Shield ungültig ist. Damit sind alle (nur) darauf gestützten Datenübermittlungen in die USA ab sofort – ohne Übergangsfrist - rechtswidrig.
Eine rechtswidrige Datenübermittlung ist angesichts der Sanktionsdrohungen der DSGVO – Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresgesamtumsatzes, aber auch Abmahnungen von Mitbewerbern und Verbänden oder Schadensersatzforderungen von Betroffenen - ein erhebliches unternehmerisches Risiko, um das sich die Unternehmensführung dringend umgehend kümmern sollte: eine Bestandsaufnahme ist durchzuführen und Handlungsoptionen sind zu prüfen (s.u.).
Weiter hat der EuGH zwar entschieden, dass die Standardvertragsklauseln nicht per se ungültig sind, aber dass die Datenschutzaufsichtsbehörden das Recht, und spätestens wenn eine Beschwerde vorliegt auch die Pflicht haben, zu prüfen, ob der Vertragspartner im Drittland sich aufgrund der nationalen Gesetze, denen er in seinem Sitzland unterliegt, sich überhaupt an die Standardvertragsklauseln halten kann. Wenn das nicht der Fall ist, muss die Datenschutzaufsicht die Datenübermittlung in das Drittland untersagen.
Für die USA hat der EuGH festgestellt, dass die US-Geheimdienste umfangreiche Überwachungsprogramme wie PRISM (Überwachung des Datenverkehrs bei TK- und Internetprovidern) oder UPSTREAM (Anzapfen des Datenverkehrs von Unterseekabeln) betreiben, bei denen ohne einen konkreten Anlass oder Verdacht gegen einzelne Personen anlasslos und massenhaft auch Daten von EU-Bürgern überwacht werden, ohne dass diese hiergegen (effektive) Rechtsansprüche oder effektive Klagemöglichkeiten hätten. Dies verstößt gegen Datenschutzgrundrechte der EU-Bürger. Mit dieser Begründung wurde das EU-US-Privacy-Shield für unwirksam erklärt.
Überträgt man diese Begründung auf die Standardvertragsklauseln, die ja nur zwischen den Vertragsparteien wirken und nicht nationale Sicherheitsgesetze und Geheimdienstmaßnahmen aushebeln können, kommt man zwangsläufig zum Schluss, dass man auch mit den Standardvertragsklauseln mit US-Unternehmen kein angemessenes Datenschutzniveau wird sicherstellen können. Dies gilt auch dann, wenn man versucht zusätzliche Vertragsklauseln zu vereinbaren. Zum gleichen Ergebnis kann man auch bei anderen Ländern kommen. Der EuGH konnte das jedoch nicht generell für alle Staaten prüfen und hatte dazu auch keinen Anlass.
Die Datenschutzaufsicht Berlin schreibt in einer Pressemeldung zum EuGH-Urteil:
„Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Die anderen Aufsichtsbehörden halten sich noch etwas zurück und warten die Abstimmung der Datenschutzaufsichtsbehörden auf europäischer Ebene durch den Europäischen Datenschutzausschuss ab.
Was ist nun zu tun?
Bestandsaufnahme
Zunächst ist es wichtig zu verstehen, dass die IT-Industrie US-dominiert ist und mehr noch als beim ersten EuGH-Urteil zur Drittstaatendatenübermittlung (Stichwort Safe Habor – „Schrems I“) immer mehr Datenverarbeitung in „der Cloud“ stattfindet. Auch deutsche und europäische Anbieter greifen für ihre Services vielfach auf US-Unternehmen als Subunternehmer zurück, z.B. auf Amazon Web Services (AWS). Daher sollte man eine komplette Aufnahme aller IT-Dienstleister, mit denen man zusammenarbeitet, machen, einschließlich deren Subunternehmen.
Oft dürften Unternehmen sich nicht darüber im Klaren sein, von wem und wo überhaupt die Leistung, die sie aus dem Netz beziehen, letztendlich bereitgestellt wird, obwohl man datenschutzrechtlich in der Pflicht ist, diese Prozesse zu durchdringen, da man für die Verarbeitung der Daten verantwortlich ist.
Der eine Weg sich Klarheit zu verschaffen ist in den Verträgen nachzulesen. Oft finden sich die erforderlichen Angaben in Pflegeverträgen, in Verträgen zur Auftragsverarbeitung oder deren Anlagen, z.B. der Anlage Subunternehmer.
Wenn sich daraus nichts ergibt, sollte man unter Verweis auf das EuGH-Urteil die Unternehmen bzw. Dienstleister anschreiben und direkt nach Datenübermittlung in die USA – auch durch etwaige Subunternehmer – fragen. Betroffen sein kann alles: angefangen vom Betriebssystem über Standard-Office-Produkte wie Office 365, Videokonferenzsysteme, Webtracking und Cookies, Social-Media-Auftritte, Webseiten, Newsletter-Provider, File-Transfer-Dienstleister etc.
Die Bestandsaufnahme sollte eine Liste ergeben mit den Vertragspartnern, deren Produkt, Gegenstand des Produktes, Grundlage der Drittstaatenübermittlung (EU-US-Privacy-Shield und/oder Standardvertragsklauseln) inkl. etwaige Subunternehmer.
Ausgehend davon gilt es etwaige Handlungsoptionen zu sondieren.
Handlungsoptionen
Von einer Handlungsoption ist jedenfalls abzuraten: Abwarten. Nach dem „Schrems I“-Urteil hatten die Aufsichtsbehörden zwar zum Handeln aufgefordert und in einzelnen Fällen auch fünfstellige Bußgelder nach altem Recht verhängt, aber doch mehrheitlich 3-6 Monate nichts proaktiv unternommen. Parallel wurde dann das Nachfolgeabkommen zu Safe Harbor verhandelt und raus kam das jetzt aufgehobene EU-US-Privacy-Shield.
Da Hintergrund der US-Überwachungsprogramme das hohe Sicherheitsbedürfnis der USA nach den Anschlägen vom 11 September auf das World Trade Center mit den aus Hamburg kommenden Piloten ist, wäre es m.E. naiv anzunehmen, dass gerade unter der Trump-Regierung sich die USA darauf einlassen, ein den EU-Datenschutzgrundrechten entsprechendes Datenschutzniveau mit Klagebefugnissen für EU-Bürger und einer unabhängigen Datenschutzaufsicht einzuführen. Auch wenn die betroffenen US-IT-Unternehmen Lobbyarbeit betreiben, zeigt doch die Erfahrung mit dem Cloud-Act, mit dem sich die US-Sicherheitsdienste auch Zugriff auf Daten, die US-Unternehmen im Ausland speichern, sichert, dass die Sicherheitsinteressen sogar über den wirtschaftlichen Interessen stehen.
Also gilt es rechtliche oder technische Alternativen zu prüfen.
Dass sich m.E. das Problem nicht auf vertragliche Weise lösen lässt, hatte ich bereits ausgeführt. Es gibt in der DSGVO aber auch noch andere Regelungen, auf die sich einen Drittstaatenübermittlung stützen lässt. Jedoch sind das eher Ausnahmen wie die Rechtsdurchsetzung oder Verteidigung, die Erfüllung von Verträgen mit US-Bezug (z.B. Hotel-Buchung in New York) oder die eher unpraktikable Einholung von Einwilligungen von allen Betroffenen.
Der EuGH stellt dann in Randnummer 140 fest, dass der Verantwortliche zu einer Aussetzung der Datenübermittlung oder zum Rücktritt vom Vertrag verpflichtet ist, wenn der Empfänger der Daten, also der Vertragspartner in den USA, nicht oder nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten. Entsprechendes gilt natürlich auch, wenn die Übermittlung nur auf das ungültige EU-US-Privacy-Shild gestützt wurde.
Realistischer erscheint mir, dass sich die US-IT-Industrie bewegt, so wie Microsoft es zum Teil schon bei der Auseinandersetzung mit der Regierung um Herausgabe von E-Mails aus einem Rechenzentrum von Microsoft in Irland vorgemacht hat. Man gründet Tochtergesellschaften in der EU oder verlagert die Datenverarbeitung auf IT-Dienstleister in der EU (z.B. T-Systems als Datentreuhänder).
Aufsichtsbehörden schlagen m.E ebenfalls naiv vor, zu europäischen Anbietern zu wechseln. Zum einen gibt es nicht für jedes IT-Dienstleistungsangebot eine gleichwertige europäische Alternative. Zum anderen ist es zeitaufwändig ein IT-System durch ein anderes abzulösen. Migrationsprozesse lassen sich nicht auf Knopfdruck von einem auf den anderen Tag umsetzen.
Das bedeutet nicht, dass man sich nicht sowohl seitens der europäischen IT-Dienstleister als auch seitens der europäischen Kunden auf den Weg machen sollte. Ich hatte aber bereits nach dem ersten Urteil vor fünf Jahren geschrieben, dass es ein Weckruf an die hiesige IT-Industrie ist, und wer stattdessen auf Standardvertragsklauseln setzt, auf juristischem Treibsand baut. Der (Leidens-)Druck war damals aber wohl noch nicht groß genug oder die Möglichkeiten haben gefehlt.
Eine Alternative bleibt noch: Die Daten mit sicheren Tools gut zu verschlüsseln. Dann aber bitte nicht mit US-Tools, denn diese haben mit hoher Wahrscheinlichkeit einen Nachschlüssel für US-Geheimdienste.
Über den Autor
David Seiler (DS law) ist seit über 20 Jahren als Rechtsanwalt tätig und berät insbesondere Unternehmen aus dem Finanzsektor und der Content-Branche sowie Verbände und Datenschutzbeauftragte. Er berät schwerpunktmäßig zu Fragen des Fotorechts, Datenschutzrechts, IT- und Internetrecht sowie Zahlungsverkehrsrecht. Er ist als Autor und Lehrbeauftragter tätig, hält Vorträge und unterstützt den BVPA in rechtspolitischen Fragen in seinen Schwerpunktthemen.