EuGH urteilt zum Privacy Shield
Schrems II / Privacy Shield: Datenübermittlungen in die USA gestrichen?

Schrems II / Privacy Shield: Datenübermittlungen in die USA gestrichen?

Der Europäische Gerichtshof (EuGH) hat das EU-U.S. Privacy Shield Abkommen am 16. Juli 2020 für ungültig erklärt. Durch das Urteil zum Privacy Shield stehen Unternehmen vor einer neuen Herausforderung, dass die Übermittlung von personenbezogenen Daten an US-Unternehmen den Anforderungen der EU-Datenschutz-Grundverordnung (kurz: DSGVO) gerecht wird.

 

Privacy Shield: Wie dürfen europäische Unternehmen personenbezogene Daten noch in die USA übertragen?

Um es vorweg zu nehmen: Viele Verträge mit US-amerikanischen Dienstleistern sind gar nicht vom Wegfall des EU-U.S. Privacy Shield betroffen, da diese Unternehmen sich zwar gemäß der Kriterien der US-Handelsbehörde zertifiziert haben, ihre Datenverarbeitungen mit europäischen Unternehmen jedoch zusätzlich auf Standardvertragsklauseln (Standard Contractual Clauses, SCC) gestützt haben. Die Maßnahmen des Privacy Shield sollen die Sicherheit der Verarbeitung personenbezogener Daten europäischer Kunden garantieren.

In den folgenden Fällen dürfen nach jetziger Rechtslage personenbezogene Daten in die Vereinigten Statten übermittelt werden:

  • Erforderliche Datenübertragungen, die zur Erfüllung eines Vertrages erforderlich sind, dürfen stattfinden. Dies sind z.B. Reisebuchungen in die USA oder der Versand von Facebook-Nachrichten an US-amerikanische Teilnehmer.
  • Einwilligungen ermöglichen den Transfer von personenbezogenen Daten in die USA, wenn die betroffenen Personen klar informiert wurden und die Einwilligungen freiwillig und widerrufbar abgegeben werden können. Hier ist schon die klare, transparente Information der Personen schwierig, da man auch auf die Eingriffsmöglichkeiten der US-amerikanischen Behörden sowie auf fehlende Rechtsbehelfe hinweisen müsste. EU-Bürgern stehen weniger Datenschutzrechte als US-Bürgen zur Verfügung.
  • Standardvertragsklauseln „Standard Contractual Clauses (SCC)“ können nach jetzigem Stand für die Datenübertragungen in die USA verwendet werden. Die von der EU-Kommission erstellten SCC können hier abgerufen werden. Die SCC sind in vielen Sprach erhältlich. Wenn man sie einsetzt, dürfen die Klauseln nicht verändert werden. Jedoch müssen zusätzlich weitere Garantien für eine sichere Datenverarbeitung ergänzt werden. Dazu können Sie die von Max Schrems veröffentlichten Checklisten an Ihre US-Dienstleister zur Beantwortung senden. Siehe unten im Fazit dieses Blogartikels.
  • „Binding Corporate Rules“: Aufwändiges Verfahren, in dem sich i.d.R. Großunternehmen ihre Datenübertragungen von Aufsichtsbehörden genehmigen lassen. Eine Übersicht teilnehmender Unternehmen findet man bei der EU-Kommission.
  • Der Artikel 49 DSGVO liefert weitere Ausnahmen, die jedoch nur unter strengen Voraussetzungen in Frage kommen.

Für andere sog. Drittländer gelten Angemessenheitsbeschlüsse der EU-Kommission. Darunter gehören z.B. Länder wie Israel, Japan und Kanada. Jedoch nicht die USA – daher gab es das EU-U.S.-Privacy-Shield-Abkommen.

 

Privacy Shield – Was ist das?

Das Privacy Shield wird von der US-Handelsbehörde betrieben, bei dem sich US-Unternehmen zertifizieren können und Garantien dafür geben, den Datenschutzanforderungen der EU und der Schweiz nachzukommen. Es gibt das EU-U.S. Privacy Shield und das Swiss-U.S. Privacy Shield. Da die EU die Vereinigten Staaten nicht als Land mit einem angemessenen Datenschutzniveau einstuft, hat sie jedoch einen Angemessenheitsbeschluss für das Privacy Shield erlassen.

 

Warum hat der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield Abkommen gekippt?

Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems ist einigen Lesern sicher dafür bekannt, gerne juristisch gegen Facebook vorzugehen. Auf seine Initiative hin wurde bereits der Vorgänger vom Privacy Shield, das sog. „Safe Harbor“-Abkommen, ebenfalls vom EuGH 2015 gekippt. Daher wird dieses neue Urteil auch „Schrems II“ genannt.

Das Privacy Shield ist mit den Datenschutzgrundsätzen der EU nicht vereinbar, weil

  1. die Zugriffsmöglichkeiten der US-Sicherheitsbehörden den Anforderungen an den europäischen Datenschutz widersprechen und
  2. die Betroffenenrechte der EU-Bürger nicht in den USA ausreichend durchgesetzt werden können.

Das Urteil ist beim EuGH in Kurzform abrufbar. Interessierte finden die Urteilsbegründung hier.

 

Wie haben europäische Datenschutz-Aufsichtsbehörden auf das „Schrems II“-Urteil reagiert?

Eine Übersicht über die jüngsten Reaktionen ist bei datenrecht.ch zu finden.

Ein drastisches Verbot beim Einsatz von US-amerikanischen Dienstleistern (Auftragsverarbeitern) fordert die Berliner Beauftragte für Datenschutz und Informationsfreiheit in Ihrer Stellungnahme. Verantwortliche (Unternehmen, Organisationen), die unter der Aufsicht der Berliner Behörde stehen, sollen – insbesondere bei der Nutzung von Cloud-Diensten – umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln.

Der Europäische Datenschutzausschuss (EDSA) hat eine FAQ-Liste zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems-II-Urteil des EuGH zum Datentransfer in Länder außerhalb der EU geeinigt.

Neben dem EU-U.S. Privacy Shield gibt es noch die Schweizer Variante Swiss-U.S. Privacy Shield. Der Schweizer Datenschutzbeauftragte (EDÖB) hat das Urteil so kommentiert: „Der EDÖB hat das EuGH-Urteil zur Kenntnis genommen. Dieses Urteil ist für die Schweiz nicht direkt anwendbar. Der EDÖB wird das Urteil im Detail prüfen und sich zu gegebener Zeit äußern.“ – Hier geht die Datenschutzwelt davon aus, dass die Eidgenossen der EU folgen und das Abkommen ebenfalls für nichtig erklären werden.

Großbritannien, dass bereits aus der EU ausgetreten ist, lässt durch ihre Datenschutzbehörde ICO (Information Commissioner’s Office) verlautbaren, dass sie das EuGH-Urteil berücksichtigen und britische Unternehmen bei Datentransfers in die Staaten beraten werden.

 

Und welche Auswirkungen hat dies auf Websitebetreiber?

Unternehmen setzen US-amerikanische Drittanbieter-Tools – wie Google Analytics, Google Maps, YouTube-Videos und viele weitere Plugins ein. Da hier personenbezogene Daten fließen, um überhaupt die Dienste erbringen zu können (z.B. IP-Adresse für den Verbindungsaufbau), ist eine transparente Information der Nutzer und eine informierte und freiwillige Einwilligung erforderlich.

Rechtsanwalt Dr. Thomas Schwenke hat dafür ein Cookie-Banner/Consent-Banner „aufgemotzt“. Ob eine transparente Information der Nutzer im Zusammenhang mit Sicherheitsbehörden der USA und eingeschränkten Betroffenenrechten europäischer Bürger überhaupt möglich ist, werden die Empfehlungen der europäischen Datenschutz-Aufsichtsbehörde (European Data Protection Board, EDPB), der deutschen Datenschutzkonferenz und der deutschen Datenschutz-Aufsichtsbehörden zeigen.

 

Fazit – Abwarten und Tee trinken?

Unternehmen sollten das Urteil auf jeden Fall berücksichtigen und sich aktiv mit der Thematik auseinandersetzen. Die Verträge mit US-amerikanischen Dienstleistern müssen geprüft werden. Hilfestellung dabei bieten Checklisten von Max Schrems, die bei der Datenschutzorganisation noyb.eu abrufbar sind.

Auftragsverarbeitungsverträge die als „Datenschutz“-Garantien das EU-U.S. Privacy Shield genannt hatten, müssen dahingehnd geprüft werden, ob als Garantien ebenfalls Standardvertragsklauseln (SCC) erwähnt werden. Sollten auch keines SCC enthalten sein, ist es erforderlich als Vertragswerk die EU-Standardvertragsklauseln zu verwenden. Kontaktieren Sie hierzu Ihren US-amerikanischen Auftragsverarbeiter.

Da die Standardvertragsklauseln (SCC) bzw. Standarddatenschutzklauseln zuletzt im Jahr 2010 angepasst wurden, besteht hier auch Handlungsbedarf durch eine Überarbeitung der Klauseln durch die EU-Kommission. Außerdem ist dies nun eine politische Aufgabe der USA und EU.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*