EU US Privacy Shield - Was nun

Die Meldung schlug letzten Donnerstag, den 16. Juli 2020 wie eine Bombe ein: Der Europäische Gerichtshof erklärt den Privacy Shield und damit den weit überwiegenden Datenverkehr zwischen amerikanischen und europäischen Unternehmen für illegal. Erst auf den zweiten Blick wird klar, dass dieses Urteil nicht nur transatlantische Konzerne betrifft, sondern auch für nahezu jeden Selbständigen, Freiberufler und Gewerbetreibenden gravierende Folgen hat.

Im folgenden Beitrag beleuchten wir den Hintergrund der Entscheidung und deren rechtliche Einordnung, zeigen die Bedeutung für Gewerbe, Unternehmen und Organisationen jeder Größe und geben Ratschläge, wie jetzt zu verfahren ist.

Hintergrund: Schrems gegen Facebook

Um zu verstehen, woher die heutige Lage stammt, muss man etwas in die jüngere Vergangenheit zurückkehren. Seit 2011 befindet sich Max Schrems, ein österreichischer Anwalt, im Rechtsstreit mit Facebook. Anlass des Konflikts ist, dass Herr Schrems bemängelt, wie Facebook, dessen Nutzer er war, seine personenbezogenen Daten verarbeitet. Insbesondere ging es ihm darum, dass Facebook ohne gültige rechtliche Grundlage Daten in die Vereinigten Staaten übertrage. Facebook hingegen war der Ansicht, das damals bestehende Safe-Harbor-Abkommen, ein Vertrag zwischen den USA und der EU, würde genau diese rechtliche Grundlage bieten. 2015 gab der Europäische Gerichtshof Herrn Schrems vollumfänglich recht und kippte Safe Harbor – nicht nur für Facebook, sondern für alle amerikanischen IT-Unternehmen, die Daten von Menschen in der EU verarbeiten.

In Folge des Urteils verhandelte die Europäische Kommission mit der amerikanischen Regierung und erfand 2016 ein neues Programm: den Privacy Shield. Mit nur wenigen Unterschieden zu Safe Harbor sollte es damit wieder eine neue rechtliche Grundlage dafür geben, dass Unternehmen in den USA und in der EU zusammenarbeiten. Bereits damals warnten Datenschützer, dass die fundamentalen Probleme, die das Gericht bereits mit Safe Harbor identifiziert hatte, weiterhin ungelöst bleiben, also auch mit einer Aufhebung des Privacy Shield gerechnet werden müsse. Wie wir heute wissen, sollten sie recht behalten. Warum eigentlich?

Datenübertragungen ins Ausland: EU und Drittländer

Die Datenschutzgrundverordnung (DSGVO) erlaubt grundsätzlich den unbeschränkten Datenverkehr zwischen allen Ländern, in denen sie selbst direkt gilt. Dazu gehören die 27 Mitgliedsstaaten der EU sowie Island, Liechtenstein und Norwegen als Mitglieder des Europäischen Wirtschaftsraums (EWR). Das ist der Grund, warum sich Unternehmen in Deutschland meist keine großen Gedanken machen müssen, wo die Server der Dienstleister, die sie beauftragen. überhaupt stehen – solange alles innerhalb dieser Region bleibt.

Für die sogenannten Drittländer gilt jedoch, dass Daten dorthin im Wesentlichen nur in einem der folgenden drei Fällen übertragen werden dürfen:

  1. Die Europäische Kommission stuft das jeweilige Land in einem langwierigen Verfahren und nach Anpassung der nationalen Rechtslage an das europäische Datenschutzniveau als „angemessen“ ein.
  2. Die an der Datenübertragung beteiligten Parteien ergreifen besondere Sicherheitsmaßnahmen, die zu einem mit der EU vergleichbaren Schutzniveau führen.
  3. Eine besondere Ausnahme kann genutzt werden, z.B. dass die betroffenen Personen explizit in die Übertragung einwilligen, nachdem sie über das Risiko aufgeklärt wurden, oder dass die Übertragung notwendig ist, um einen Vertrag zu erfüllen.

Der erste Fall ist bereits mehrfach eingetreten, so zum Beispiel für die Schweiz, Kanada oder Japan. Für diese und einige wenige weitere Länder gibt es Angemessenheitsbeschlüsse der Europäischen Kommission. Europäische Unternehmen können mit dortigen Unternehmen ohne weitere Vorkehrungen Daten austauschen und dortige Dienstleister beauftragen. Angemessenheitsbeschlüsse sind der Weg, den die DSGVO explizit und bevorzugt vorsieht, um das Datenschutzniveau, das innerhalb der Europäischen Union gilt, auch dann durchzusetzen, wenn Daten die EU verlassen.

Privacy Shield war der Versuch der Europäischen Kommission, einen beschränkten Angemessenheitsbeschluss für die USA zu erlassen: anwendbar für alle amerikanischen Unternehmen, die am Programm teilnehmen wollen und sich entsprechend zertifizieren. Statt also die ganzen USA auf ein europäisches Datenschutzniveau zu heben, sollte das zumindest für den kleinen Teil der Unternehmen möglich sein, die regelmäßig mit Daten aus der EU zu tun hatten: IT-Dienstleister wie Google, Microsoft, Dropbox, Trello, Slack, Facebook, etc. Im Privacy Shield sind Stand heute über 5.000 US-Unternehmen zertifiziert, mit einem enorm breiten Spektrum an angebotenen elektronischen Dienstleistungen und Produkten.

Ja, aber Moment mal, denken Sie vielleicht. Eine Frage drängt sich auf: Warum können die USA nicht einfach ihr Datenschutzgesetz so anpassen, dass es mit den europäischen Regeln kompatibel wird? Warum diese Umweg über eine nur teilweise Angemessenheit. Dazu muss ich kurz ausholen.

Die USA und Datenschutz: eine komplizierte Geschichte

Das amerikanische Rechtssystem kennt aus seiner Tradition heraus nur wenige Einschränkungen für behördliches Eindringen in die Privatsphäre der Bürger. Es gibt zwar schon seit 1791 verfassungsrechtliche Regelungen zum Schutz vor Durchsuchungen ohne Gerichtsbeschluss oder zum Recht auf faire Verfahren. Aber diese Regelungen reichen bei weitem nicht an die Vorgaben heran, die sich heute aus der Europäischen Menschenrechtskonvention (Artikel 8) oder der EU-Grundrechtecharta (Artikel 7 und 8) ergeben. Es gibt in den USA kein allgemeines Datenschutzgesetz und auch keine vergleichbaren allgemeinen Regelungen für Unternehmen oder für Behörden. Es gibt zwar immer wieder ein paar Initiativen zur Schaffung solcher Regelungen, aber selbst diese gehen nie so weit, wie es DSGVO und Europäischer Gerichtshof verlangen.

Hinzu kommt, dass die amerikanische Rechtsprechung im Regelfall Ausländern, die sich nicht in den USA aufhalten, wenige bis keine Rechte einräumt. Davon müsste für einen Angemessenheitsbeschluss mindestens zugunsten von Personen in der EU abgewichen werden, damit sie sich wirksam gegen amerikanische Unternehmen und Behörden wehren können, die ihre Datenschutzrechte verletzen. Angesichts der heutigen geopolitischen Lage, der anstehenden Präsidentschaftswahl in den USA, der übergroßen Bedeutung der Themen nationale Sicherheit und Terrorismusbekämpfung in der amerikanischen Politik und der dort völlig eskalierenden Corona-Pandemie ist damit jedoch bestenfalls langfristig zu rechnen.

Dass es heute jedenfalls keine adäquaten Rechtsbehelfe gibt, war Hauptursache dafür, dass der Europäische Gerichtshof jetzt so geurteilt hat, wie er es tat: EU-Bürger und -Bewohner können sich weder in den USA noch in der EU wirksam gegen Datenzugriffe amerikanischer Behörden wehren. Damit bieten die USA kein angemessenes Schutzniveau und damit dürfen personenbezogene Daten nicht in die USA übertragen werden.

Was das Urteil für europäische Unternehmen bedeutet

Die Folgen der Entscheidung wären nicht so gravierend, wenn die USA nicht der größte Exporteur elektronischer Dienstleistungen wären. Rechnet man China raus, werden die zehn meistgenutzten Websites weltweit von amerikanischen Unternehmen betrieben. Erst auf dem 20. Platz findet sich ein europäischer Betreiber. Der Cloud-Bereich wird von Amazon, Microsoft und Google dominiert, der Bereich Produktivitäts-Tools von Microsoft, Google, Adobe, Slack, Dropbox und Trello -– allesamt amerikanische Unternehmen. Egal wie man es bewertet, aber an amerikanischen Tech-Produkten und -Dienstleistungen führt bisher kaum ein Weg vorbei. Ein Weg, den der Europäische Gerichtshof vorerst versperrt hat.

Dabei sind drei Punkte des Urteils für europäische Unternehmen entscheidend:

  1. Die USA bieten selbst kein angemessenes Datenschutzniveau, weder mit noch ohne Privacy Shield.
  2. Alternative Sicherheitsmaßnahmen zur Sicherstellung des Datenschutzniveaus können nur dann angewandt werden, wenn damit tatsächlich ein ähnlicher Schutz gegeben ist, wie bei einem Angemessenheitsbeschluss – auch und gerade in Hinsicht auf den Zugriff durch amerikanische Behörden.
  3. Unternehmen, die Daten in die USA exportieren, tragen allein die volle Verantwortung dafür, sicherzustellen, dass der vorherige Punkt erfüllt ist.

Der letzte Punkt versetzt gerade kleinere Unternehmen in eine unmögliche Lage:

  • sie sollen im Einzelfall für jeden amerikanischen Dienstleister und jede Datenübertragung überprüfen, ob das amerikanische Rechtssystem Behörden einen unkontrollierten Zugriff auf diese Daten ermöglicht
  • sie sollen die amerikanische Rechtsprechung und Gesetzgebung bezüglich Änderungen beobachten, die zu einer Verschlechterung des tatsächlichen Schutzniveaus führen
  • sie dürfen sich bei ihren Prüfungen nicht auf die Aussagen der Dienstleister verlassen, weil sie immer selbst dem ruinösen Bußgeldrahmen der DSGVO ausgesetzt sind
  • sie müssen alternative Dienstleister aus Ländern finden, in denen die DSGVO direkt gilt (also EU/EWR) oder es einen Angemessenheitsbeschluss gibt

Solange es der Europäischen Kommission nicht gelingt, gemeinsam mit den Vereinigten Staaten zu einer tragfähigen Lösung zu kommen, die den Bedenken des Europäischen Gerichtshofs Rechnung trägt, kann man Unternehmen in Europa nur dazu raten, von amerikanischen Dienstleistern Abstand zu nehmen. Das gilt zumindest solange, wie diese Unternehmen kein Angebot vorweisen können, das komplett innerhalb von Ländern betrieben wird, in denen die DSGVO gilt oder es ein angemessenes Datenschutzniveau gibt. Die Datenschutzbehörden, die autonom und weisungsunabhängig agieren, haben in ihren ersten Stellungnahmen (Rheinland-Pfalz, Hamburg, Bund) bereits erklärt, dass sie das Urteil vollumfänglich umsetzen werden. Die Berliner Datenschutzbeauftragte fordert sogar wortwörtlich, dass Unternehmen „umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“, und kündigt an, ihre Pflicht unzulässige Datenübertragungen zu untersagen ernst zu nehmen.

Was Unternehmen jeder Größe jetzt tun sollten

Wir empfehlen, dass jedes Unternehmen egal welcher Größe die folgenden Schritte durchläuft, um sich der neuen Lage zu stellen:

  1. Führen Sie eine Inventur aller genutzten Dienstleister durch und ermitteln sie, welche davon ihren Sitz in den USA haben bzw. welche Daten in den USA verarbeiten.
  2. Prüfen Sie in den jeweiligen Datenschutzbestimmungen bzw. in den geschlossenen Vereinbarungen dieser Dienstleister, ob er sich auf den Privacy Shield stützt, um Datenübertragungen in die USA rechtlich abzusichern.
  3. Überlegen Sie, ob Sie auf diesen Dienstleister verzichten können oder problemlos auf eine Alternative wechseln können. Das Urteil bietet hier gegebenenfalls auch die Möglichkeit einer fristlosen Kündigung.
  4. Kontaktieren Sie Dienstleister, auf die Sie nicht verzichten können, und fragen mit Verweis auf das Urteil und die Unwirksamkeit des Privacy Shield nach alternativen Sicherheitsmaßnahmen, beispielsweise der Verwendung der Standardvertragsklauseln, die kurzfristig umgesetzt werden können.
  5. Ist der Dienstleister nicht bereit oder nicht in der Lage, alternative Sicherheitsmaßnahmen umzusetzen, raten wir dringend, die Geschäftsbeziehung zu beenden und nach alternativen Dienstleistern mit Sitz in der EU oder einem Land mit Angemessenheitsbeschluss zu suchen. Das gilt erst recht für Plugins und Tools, die auf der eigenen Website für jedermann ersichtlich eingesetzt werden.
  6. In wenigen Fällen ist es möglich, auf die Sonderregelungen aus Art. 49 DSGVO zurückzugreifen. Zum Beispiel können Datenübertragungen in die USA auch dadurch legalisiert werden, dass die betroffenen Personen explizit zustimmen, nachdem sie umfassend über das damit verbundene Risiko aufgeklärt werden. Oder ein bestehender Vertrag mit den betroffenen Personen macht die Übertragung unabdingbar. In den meisten Fällen werden diese Sonderregelungen aus wirtschaftlichen Gründen nicht geeignet sein. Auf keinen Fall ist es zulässig, die regelmäßige Nutzung amerikanischer Dienstleister auf diese Sonderregelungen zu stützen.

Es ist bedauerlich, dass der Gerichtshof keinerlei Übergangsfristen festgelegt hat, das Urteil also sofort wirksam ist. Um so wichtiger ist es, zügig darauf zu reagieren, um Abmahnungen und weitere Verfahren von Datenschutzbehörden, Wettbewerber oder betroffene Personen erfolgreich abwehren zu können. Im BlueDatex-Team gibt es langjährige Erfahrung mit dem Datenaustausch zwischen Europa und den USA. Lassen Sie sich von uns beraten!

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.