Datenübermittlung in die USA: Nach dem Urteil des EuGH „Schrems II“ (Update – 14. Oktober 2020)
Update (14. Oktober 2020)
Mitarbeit: Ricardo Moschetta
Drei Monate sind seit der Veröffentlichung des „Schrems II“ Urteils vergangen und ein Großteil der deutschen Datenschutzbehörden reagierten mit Positionierungen oder ergriffen Maßnahmen, die im folgenden Update aufgeführt werden.
Positionierungen und Reaktionen
Die Datenschutzbehörden sowie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (sog. Datenschutzkonferenz – DSK) teilten in einer Pressemitteilung mit dass, alle Drittlandtransfers, die ausschließlich auf dem „EU-US-Privacy Shield“ basieren, zu untersagen sind. Mit dieser sofortigen Unterlassung wurde eine Schonfrist ausgeschlossen, was ein direktes Handeln durch die betroffenen Unternehmen verlangt. Jedoch stellt die DSK in derselben Pressemitteilung ebenso fest, dass zukünftig eine (Weiter-)Nutzung der EU-Standardvertragsklauseln (oder auch Standard Contractual Clauses (SCC) zulässig ist. Sie dürften somit die primäre, vertragliche Grundlage für Datentransfers in Drittländer darstellen
Der Europäische Datenschutzausschuss (EDSA) ergänzte zudem in einem veröffentlichten FAQ, dass eine Nutzung von Binding Corporate Rules (BCR) ebenso legitim ist. Mittels der Etablierung von BCR können Unternehmen die Einhaltung vorher festgelegter Schutzmaßnahmen sicherstellen. Eine vom EDSA zusätzlich gegründete Task-Force, welche in Zukunft Handlungsempfehlungen auf Folge des Urteils konzipieren wird, dient dabei im Einklang zum erstellten Katalog als Handlungsrichtlinie und Überprüfungsmöglichkeit. Beschwerden einhergehend zum Urteil des EuGH, werden ebenfalls von dieser Task-Force angenommen.
All diese Maßnahmen der Datenschutzbehörden auf nationaler und internationaler Ebene sind ein erster, guter Schritt in Richtung Rechtssicherheit. Insgesamt wird jedoch von keiner grundlegenden Lösung zu sprechen sein. Es ist eher auf eine politische Lösung zwischen der EU und den USA zu warten und auch zu pochen; ein Stück Rechtsunsicherheit wird es im Rahmen der jetzigen Konstellation immer geben.
Interessant ist auch die Reaktion einiger größerer US-Unternehmen auf das Urteil. Max Schrems, der mit seinem Unternehmen (der NGO „noyb“) betroffene Unternehmen anfragte, berichtet davon in einer Pressemitteilung. Laut Schrems reichten die Antworten von „detaillierten Erklärungen, über Eingeständnisse, dass die Unternehmen keine Ahnung von der Situation haben, bis hin zu schockierend aggressiver Leugnung des Rechts.“ Den betroffenen Unternehmen muss hierbei aber sicherlich genauso eine Verarbeitungszeit der Folgen aus dem Urteil zugesprochen werden, wie es auch europäischen Unternehmen gestattet sein muss, dieses Urteil für sich einzuwerten.
Bedeutung für die Praxis
Die nun auch von den Datenschutzbehörden in den Vordergrund gestellten SCC sollten jedoch nicht ungeprüft verwendet werden. Die Datenschutzbehörden betonen nochmals, dass es einer höheren Sensibilität für die Verantwortlichen und ihre Dienstleister bedarf. Dies ergibt sich auch aus der ständigen Frage, ob das allgemeine Datenschutzniveau in den USA ein nach europäischen Maßstäben angemessenes darstellt. Gesetze, wie der bereits vielzitierte „Patriot-Act“ und den damit verbundenen Möglichkeiten der Datenüberwachung, sowie theoretisch mögliche Zugriffe auf Daten seitens US-Ermittlungsbehörden, bieten Konfliktpotenziale beim Abgleich der jeweiligen Datenschutzniveaus. Hier bleibt jedoch festzuhalten, dass dieser „Konflikt“ nur schwerlich rechtlich zu lösen ist. Gesetzgebungen wie der Patriot Act oder auch der CLOUD-Act sind hier als politische Instrumente zu betrachten.
Datenübermittlungen in die USA sind weiterhin Bestandteil unseres Alltags und nicht mehr aus der Praxis wegzudenken. Diese aufzugeben ist entsprechend kein (in nächster Zeit) realisierbarer Schritt. Da die SCC in ihrer Zulässigkeit bestätigt wurden, entsteht durch das „Schrems II“ Urteil keinerlei Rechtsvakuum. Datentransfers in die USA sind somit also weiterhin möglich. Sie erfordern jedoch eine Revision der bestehenden Verträge (siehe hierzu auch „Unsere Empfehlungen“ weiter unten im ursprünglichen Beitrag).
Ursprünglicher Beitrag
Einleitung
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in seinem Urteil (Rechtssache C-311/18; Data Protection Commissioner / Maximillian Schrems und Facebook Ireland, „Schrems II“) den Beschluss der EU-Kommission zum so genannten „EU-US Privacy Shield“ Abkommen für ungültig erklärt.
Das Privacy Shield Abkommen entstand, nach dem das vorherige „Safe Harbour Abkommen“ im Oktober 2015 für ungültig erklärt wurde. Damit eine Datenverarbeitung für bisher unter Safe Harbor zertifizierte Unternehmen auch weiterhin möglich ist, wurde Privacy Shield als politische Zwischenlösung geschaffen um für bisher unter dem Privacy Shield zertifizierte US-Unternehmen unter neuem Deckmantel als angemessen zu beurteilen und so die Datenübermittlung in die USA weiterhin zu erleichtern. Nun stellt sich die Frage, ob und wie eine Datenübermittlung in die USA weiterhin möglich sein wird. Der folgende Beitrag klärt in dieser Frage auf.
Das Urteil des EuGH
Der EuGH hatte in der Rechtssache zwischen Maximilian Schrems und Facebook Irland zu entscheiden, nachdem der irische High Court in einem Vorabentscheidungsersuchen den EuGH angerufen hatte. Im Wesentlichen waren die Fragen zu klären, ob die Übermittlung der Daten von Herrn Schrems durch Facebook Irland in die USA (an die Facebook Inc.) auf Basis des Privacy Shields sowie der vereinbarten EU-Standardvertragsklauseln zulässig ist. Damit einhergehend stand auch die Frage im Raum, ob das Datenschutzniveau der USA, mit dem der EU gleichwertig ist.
Der EuGH urteilte nun, dass die bestehenden Gegebenheiten in den USA, insbesondere der mögliche Zugriff auf die Daten durch staatliche (Ermittlungs-)Behörden nicht mit den sich aus der DSGVO und den Grundrechtswerten ergebenden Anforderungen der EU vereinbar sind. Insbesondere wird die fehlende Möglichkeit von Rechtsbehelfen gegen den behördlichen Zugriff auf die Daten bemängelt.
Die Nutzung der EU-Standardvertragsklauseln hingegen sieht der EuGH weiterhin als zulässig an. Außerdem nimmt der EuGH in seinem Urteil die Datenschutzaufsichtsbehörden in die Pflicht. Es läge in ihrer Zuständigkeit zu prüfen, ob die vereinbarten Klauseln zwischen den Unternehmen aus der EU und den USA ein angemessenes Datenschutzniveau erreichen.
Datenübermittlung in die USA in der Zukunft
Eine Datenübermittlung in die USA findet mittlerweile ununterbrochen statt. Ob bei Nutzung von Office-Produkten, Social Media oder verschiedenen Cloud-Lösungen wie Confluence von Atlassian: In all diesen Einsatzgebieten der täglichen Praxis erfolgt meist eine (vom Anwender oft unbemerkte) Datenübermittlung in die USA. Entsprechend bedeutsam ist der Datentransfer zwischen der EU und den USA für den privaten aber auch für den wirtschaftlichen Bereich. Kaum ein Unternehmen kommt ohne Datenübermittlung in die USA aus, ob bewusst oder unbewusst.
Diese Datenübermittlung ist aufgrund der US-spezifischen Gesetzgebung immer mit dem Risiko verbunden, dass US-Behörden auf die Daten zugreifen können. Einige US-Unternehmen wehren sich dagegen und versuchen, die Datenherausgabe zu verhindern. Ultimativ ist dies jedoch ein Risiko, das Unternehmen in Kauf nehmen müssen und das nur schwerlich heilbar ist. Adäquate Lösungen auf dem deutschen oder europäischen Markt sind nicht in Sicht oder – wenn überhaupt – lediglich Nischenprodukte.
Entsprechend stellt sich die Frage, wie nun die Datenübermittlung vor dem Hinblick des Urteils des EuGH datenschutzkonform ausgestaltet sein kann.
Das Urteil des EuGH ist hierin als umsichtig zu betrachten. Die Zertifizierungen unter dem Privacy Shield waren von vorneherein als „Notlösung“ nach dem Kippen des Safe Harbour Abkommens gedacht. Eine langfristige Lösung sollte der Privacy Shield nie sein. Das Urteil ist daher nicht allzu überraschend. Insbesondere die nicht vorhandenen Prüfmöglichkeiten der Zertifizierungsinhalte durch europäische Behörden hat den Privacy Shield von Beginn an als Papiertiger entlarvt.
Anders verhält es sich mit den EU-Standardvertragsklauseln. Die Standardvertragsklauseln basieren auf einem Beschluss der EU-Kommission und sind für die Datenübermittlung in Drittländer gedacht, für die es keinen Angemessenheitsbeschluss gibt, deren Datenschutzniveau also nicht für sich genommen schon als ausreichend für eine Übermittlung angesehen wird. Für die USA gibt es zwar einen solchen Beschluss, allerdings nur für die Unternehmen, die unter dem Privacy Shield zertifiziert sind. Diese sind jedoch nach dem Urteil des EuGH als wertlos anzusehen.
Eine Datenübermittlung in die USA ist somit nur noch mit einer Vereinbarung nach den Standardvertragsklauseln möglich. Dies ist insofern eine gute Nachricht, als dass viele Anbieter (z.B. Atlassian für die Nutzung von Confluence, Trello oder JIRA) bereits mit entsprechenden Vereinbarungen arbeiten. Auch Microsoft baut die Übermittlung von Daten im B2B-Bereich auf die Anforderungen aus den Standardvertragsklauseln auf.
Künftig kann erwartet werden, dass die Datenübermittlung in die USA noch verstärkter vertraglich auf den EU-Standardvertragsklauseln basieren wird. Die betroffenen US-Unternehmen werden nun prüfen müssen, ob sie ihre Prozesse und Datenverarbeitungen bereits entsprechend eingestellt haben. Die gute Nachricht ist allerdings: Ein Ende der Datenübermittlung in die USA ist zu keinem Zeitpunkt zu erwarten.
Unsere Empfehlungen
Nach dem Urteil des EuGH können Sie mit hoher Wahrscheinlichkeit ihren betrieblichen Alltag ohne Einschränkung fortführen.
Ein solches Urteil ist jedoch auch immer gleichzeitig Gelegenheit für eine kleine Inventur. Versuchen Sie, sich und Ihre Mitarbeiter/innen dafür zu sensibilisieren, bei der Implementierung neuer und der Revision bestehender Anwendungen in Ihrem Unternehmen auf die vertraglichen Grundlagen der Datenübermittlung zu achten. Bemerken Sie Anbieter, die auch künftig die Datenübermittlung ausschließlich darauf beruhen, unter dem Privacy Shield zertifiziert zu sein ohne weitere vertragliche Grundlage, sollten Sie diese Anbieter meiden. Binden Sie Ihren Datenschutzbeauftragten und IT-Sicherheitsbeauftragen in diese Prüfung oder Entscheidungen frühzeitig mit ein. So vermeiden Sie unnötige Risiken und können sich weiterhin auf Ihr Kerngeschäft fokussieren!
