Datenübermittlung in die USA: Nach dem Urteil des EuGH „Schrems II“ (Update – 14. Oktober 2020)

Datenübermittlung in die USA: Nach dem Urteil des EuGH „Schrems II“ (Update – 14. Oktober 2020)

von | Okt 14, 2020 | Datenschutz

Update (14. Oktober 2020)

Mitarbeit: Ricardo Moschetta

Drei Monate sind seit der Veröffentlichung des „Schrems II“ Urteils vergangen und ein Großteil der deutschen Datenschutzbehörden reagierten mit Positionierungen oder ergriffen Maßnahmen, die im folgenden Update aufgeführt werden.

Positionierungen und Reaktionen

Die Datenschutzbehörden sowie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (sog. Datenschutzkonferenz – DSK) teilten in einer Pressemitteilung mit dass, alle Drittlandtransfers, die ausschließlich auf dem „EU-US-Privacy Shield“ basieren, zu untersagen sind. Mit dieser sofortigen Unterlassung wurde eine Schonfrist ausgeschlossen, was ein direktes Handeln durch die betroffenen Unternehmen verlangt. Jedoch stellt die DSK in derselben Pressemitteilung ebenso fest, dass zukünftig eine (Weiter-)Nutzung der EU-Standardvertragsklauseln (oder auch Standard Contractual Clauses (SCC) zulässig ist. Sie dürften somit die primäre, vertragliche Grundlage für Datentransfers in Drittländer darstellen

Der Europäische Datenschutzausschuss (EDSA) ergänzte zudem in einem veröffentlichten FAQ, dass eine Nutzung von Binding Corporate Rules (BCR) ebenso legitim ist. Mittels der Etablierung von BCR können Unternehmen die Einhaltung vorher festgelegter Schutzmaßnahmen sicherstellen. Eine vom EDSA zusätzlich gegründete Task-Force, welche in Zukunft Handlungsempfehlungen auf Folge des Urteils konzipieren wird, dient dabei im Einklang zum erstellten Katalog als Handlungsrichtlinie und Überprüfungsmöglichkeit. Beschwerden einhergehend zum Urteil des EuGH, werden ebenfalls von dieser Task-Force angenommen.

All diese Maßnahmen der Datenschutzbehörden auf nationaler und internationaler Ebene sind ein erster, guter Schritt in Richtung Rechtssicherheit. Insgesamt wird jedoch von keiner grundlegenden Lösung zu sprechen sein. Es ist eher auf eine politische Lösung zwischen der EU und den USA zu warten und auch zu pochen; ein Stück Rechtsunsicherheit wird es im Rahmen der jetzigen Konstellation immer geben.

Interessant ist auch die Reaktion einiger größerer US-Unternehmen auf das Urteil. Max Schrems, der mit seinem Unternehmen (der NGO „noyb“) betroffene Unternehmen anfragte, berichtet davon in einer Pressemitteilung. Laut Schrems reichten die Antworten von „detaillierten Erklärungen, über Eingeständnisse, dass die Unternehmen keine Ahnung von der Situation haben, bis hin zu schockierend aggressiver Leugnung des Rechts.“ Den betroffenen Unternehmen muss hierbei aber sicherlich genauso eine Verarbeitungszeit der Folgen aus dem Urteil zugesprochen werden, wie es auch europäischen Unternehmen gestattet sein muss, dieses Urteil für sich einzuwerten.

Bedeutung für die Praxis

Die nun auch von den Datenschutzbehörden in den Vordergrund gestellten SCC sollten jedoch nicht ungeprüft verwendet werden. Die Datenschutzbehörden betonen nochmals, dass es einer höheren Sensibilität für die Verantwortlichen und ihre Dienstleister bedarf. Dies ergibt sich auch aus der ständigen Frage, ob das allgemeine Datenschutzniveau in den USA ein nach europäischen Maßstäben angemessenes darstellt. Gesetze, wie der bereits vielzitierte „Patriot-Act“ und den damit verbundenen Möglichkeiten der Datenüberwachung, sowie theoretisch mögliche Zugriffe auf Daten seitens US-Ermittlungsbehörden, bieten Konfliktpotenziale beim Abgleich der jeweiligen Datenschutzniveaus. Hier bleibt jedoch festzuhalten, dass dieser „Konflikt“ nur schwerlich rechtlich zu lösen ist. Gesetzgebungen wie der Patriot Act oder auch der CLOUD-Act sind hier als politische Instrumente zu betrachten.

Datenübermittlungen in die USA sind weiterhin Bestandteil unseres Alltags und nicht mehr aus der Praxis wegzudenken. Diese aufzugeben ist entsprechend kein (in nächster Zeit) realisierbarer Schritt. Da die SCC in ihrer Zulässigkeit bestätigt wurden, entsteht durch das „Schrems II“ Urteil keinerlei Rechtsvakuum. Datentransfers in die USA sind somit also weiterhin möglich. Sie erfordern jedoch eine Revision der bestehenden Verträge (siehe hierzu auch „Unsere Empfehlungen“ weiter unten im ursprünglichen Beitrag).

Ursprünglicher Beitrag

Einleitung

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in seinem Urteil (Rechtssache C-311/18; Data Protection Commissioner / Maximillian Schrems und Facebook Ireland, „Schrems II“) den Beschluss der EU-Kommission zum so genannten „EU-US Privacy Shield“ Abkommen für ungültig erklärt.

Das Privacy Shield Abkommen entstand, nach dem das vorherige „Safe Harbour Abkommen“ im Oktober 2015 für ungültig erklärt wurde. Damit eine Datenverarbeitung für bisher unter Safe Harbor zertifizierte Unternehmen auch weiterhin möglich ist, wurde Privacy Shield als politische Zwischenlösung geschaffen um für bisher unter dem Privacy Shield zertifizierte US-Unternehmen unter neuem Deckmantel als angemessen zu beurteilen und so die Datenübermittlung in die USA weiterhin zu erleichtern. Nun stellt sich die Frage, ob und wie eine Datenübermittlung in die USA weiterhin möglich sein wird. Der folgende Beitrag klärt in dieser Frage auf.

Das Urteil des EuGH

Der EuGH hatte in der Rechtssache zwischen Maximilian Schrems und Facebook Irland zu entscheiden, nachdem der irische High Court in einem Vorabentscheidungsersuchen den EuGH angerufen hatte. Im Wesentlichen waren die Fragen zu klären, ob die Übermittlung der Daten von Herrn Schrems durch Facebook Irland in die USA (an die Facebook Inc.) auf Basis des Privacy Shields sowie der vereinbarten EU-Standardvertragsklauseln zulässig ist. Damit einhergehend stand auch die Frage im Raum, ob das Datenschutzniveau der USA, mit dem der EU gleichwertig ist.

Der EuGH urteilte nun, dass die bestehenden Gegebenheiten in den USA, insbesondere der mögliche Zugriff auf die Daten durch staatliche (Ermittlungs-)Behörden nicht mit den sich aus der DSGVO und den Grundrechtswerten ergebenden Anforderungen der EU vereinbar sind. Insbesondere wird die fehlende Möglichkeit von Rechtsbehelfen gegen den behördlichen Zugriff auf die Daten bemängelt.

Die Nutzung der EU-Standardvertragsklauseln hingegen sieht der EuGH weiterhin als zulässig an. Außerdem nimmt der EuGH in seinem Urteil die Datenschutzaufsichtsbehörden in die Pflicht. Es läge in ihrer Zuständigkeit zu prüfen, ob die vereinbarten Klauseln zwischen den Unternehmen aus der EU und den USA ein angemessenes Datenschutzniveau erreichen.

Datenübermittlung in die USA in der Zukunft

Eine Datenübermittlung in die USA findet mittlerweile ununterbrochen statt. Ob bei Nutzung von Office-Produkten, Social Media oder verschiedenen Cloud-Lösungen wie Confluence von Atlassian: In all diesen Einsatzgebieten der täglichen Praxis erfolgt meist eine (vom Anwender oft unbemerkte) Datenübermittlung in die USA. Entsprechend bedeutsam ist der Datentransfer zwischen der EU und den USA für den privaten aber auch für den wirtschaftlichen Bereich. Kaum ein Unternehmen kommt ohne Datenübermittlung in die USA aus, ob bewusst oder unbewusst.

Diese Datenübermittlung ist aufgrund der US-spezifischen Gesetzgebung immer mit dem Risiko verbunden, dass US-Behörden auf die Daten zugreifen können. Einige US-Unternehmen wehren sich dagegen und versuchen, die Datenherausgabe zu verhindern. Ultimativ ist dies jedoch ein Risiko, das Unternehmen in Kauf nehmen müssen und das nur schwerlich heilbar ist. Adäquate Lösungen auf dem deutschen oder europäischen Markt sind nicht in Sicht oder – wenn überhaupt – lediglich Nischenprodukte.

Entsprechend stellt sich die Frage, wie nun die Datenübermittlung vor dem Hinblick des Urteils des EuGH datenschutzkonform ausgestaltet sein kann.

Das Urteil des EuGH ist hierin als umsichtig zu betrachten. Die Zertifizierungen unter dem Privacy Shield waren von vorneherein als „Notlösung“ nach dem Kippen des Safe Harbour Abkommens gedacht. Eine langfristige Lösung sollte der Privacy Shield nie sein. Das Urteil ist daher nicht allzu überraschend. Insbesondere die nicht vorhandenen Prüfmöglichkeiten der Zertifizierungsinhalte durch europäische Behörden hat den Privacy Shield von Beginn an als Papiertiger entlarvt.

Anders verhält es sich mit den EU-Standardvertragsklauseln. Die Standardvertragsklauseln basieren auf einem Beschluss der EU-Kommission und sind für die Datenübermittlung in Drittländer gedacht, für die es keinen Angemessenheitsbeschluss gibt, deren Datenschutzniveau also nicht für sich genommen schon als ausreichend für eine Übermittlung angesehen wird. Für die USA gibt es zwar einen solchen Beschluss, allerdings nur für die Unternehmen, die unter dem Privacy Shield zertifiziert sind. Diese sind jedoch nach dem Urteil des EuGH als wertlos anzusehen.

Eine Datenübermittlung in die USA ist somit nur noch mit einer Vereinbarung nach den Standardvertragsklauseln möglich. Dies ist insofern eine gute Nachricht, als dass viele Anbieter (z.B. Atlassian für die Nutzung von Confluence, Trello oder JIRA) bereits mit entsprechenden Vereinbarungen arbeiten. Auch Microsoft baut die Übermittlung von Daten im B2B-Bereich auf die Anforderungen aus den Standardvertragsklauseln auf.

Künftig kann erwartet werden, dass die Datenübermittlung in die USA noch verstärkter vertraglich auf den EU-Standardvertragsklauseln basieren wird. Die betroffenen US-Unternehmen werden nun prüfen müssen, ob sie ihre Prozesse und Datenverarbeitungen bereits entsprechend eingestellt haben. Die gute Nachricht ist allerdings: Ein Ende der Datenübermittlung in die USA ist zu keinem Zeitpunkt zu erwarten.

Unsere Empfehlungen

Nach dem Urteil des EuGH können Sie mit hoher Wahrscheinlichkeit ihren betrieblichen Alltag ohne Einschränkung fortführen.

Ein solches Urteil ist jedoch auch immer gleichzeitig Gelegenheit für eine kleine Inventur. Versuchen Sie, sich und Ihre Mitarbeiter/innen dafür zu sensibilisieren, bei der Implementierung neuer und der Revision bestehender Anwendungen in Ihrem Unternehmen auf die vertraglichen Grundlagen der Datenübermittlung zu achten. Bemerken Sie Anbieter, die auch künftig die Datenübermittlung ausschließlich darauf beruhen, unter dem Privacy Shield zertifiziert zu sein ohne weitere vertragliche Grundlage, sollten Sie diese Anbieter meiden. Binden Sie Ihren Datenschutzbeauftragten und IT-Sicherheitsbeauftragen in diese Prüfung oder Entscheidungen frühzeitig mit ein. So vermeiden Sie unnötige Risiken und können sich weiterhin auf Ihr Kerngeschäft fokussieren!

Datenschutz in Schulen: Ein Überblick

Datenschutz in Schulen: Ein Überblick

von | Jun 16, 2020 | Datenschutz

Einleitung

Viele Schulen, insbesondere die dort beschäftigten Lehrer/innen, beschäftigen sich in der derzeitigen Situation rund um die Corona-Krise (COVID-19) mit Fragen des digitalen Schulbetriebes. Trotz erster Schulöffnungen läuft ein wesentlicher Teil des Unterrichts noch immer im Rahmen des sog. „Home-Schoolings“ ab. In diesem Zusammenhang stellen sich Fragen des Datenschutzes, auch in den Medien werden diese Fragen aufgeworfen. Der folgende Beitrag soll einen Überblick über die für den Datenschutz im Schulbetrieb relevanten Fragen.

Datenverarbeitung im Schulbetrieb

Während des Schulbetriebes werden verschiedene, personenbezogene Daten verarbeitet. Darunter fallen z.B. die Schulakten, die die Schulen führen müssen, aber auch klassenbezogene Telefonlisten. Dabei werden häufig nicht nur die Daten der Schüler/innen, sondern auch die Daten ihrer Eltern verarbeitet.

Im Zeitalter des Home-Schoolings und des „digitalen Lernens“ kommen noch weitere Daten zusätzlich hinzu. Je nach genutztem Medium ist das die E-Mail-Adresse, aber auch (bei Nutzung von Tools für Videokonferenzen) technische Daten wie die IP-Adresse oder der von den Schüler/innen angegebene Nutzername.

Ebenfalls werden Daten auf schuleigenen Plattformen, wie moodle, verarbeitet.

All diese Daten führen zu einer Verantwortlichkeit im Sinne des Datenschutzrechts für die Schulen, sodass sich auch im Schulbetrieb datenschutzrechtliche Anforderungen ergeben, die erfüllt werden müssen.

Zulässigkeit der Datenverarbeitung: Wann ist eine Einwilligung notwendig?

Schulen als öffentliche Stellen im Sinne des Datenschutzes haben – neben der Einwilligung – eine mögliche Rechtsgrundlage für die Datenverarbeitung.

So dürfen Daten durch Schulen verarbeitet werden, wenn die Verarbeitung „zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist“ (§ 3 BDSG).

Diese sehr weite und auch schwammige Regelung besagt zunächst einmal nichts anderes, als dass jede Datenverarbeitung, die im konkreten Aufgabenbereich der Schule liegt, zulässig ist. Das betrifft z.B. das Führen der Schülerakten. Diese sind (oft in den Landesschulgesetzen) verpflichtend geregelt, sodass eine Schule nicht um die Datenverarbeitung herumkommt.

Aber auch Datenverarbeitungen, die für die Aufrechterhaltung des Schulbetriebes, insbesondere den Unterricht betreffend durchgeführt werden, sind zulässig. Darunter fällt auch das  zur Dokumentation genutzte Klassenbuch. Auch die klassische Telefonliste ist ohne Einwilligung zulässig, da im Zweifel Notfallkontakte benötigt werden.

Im Ergebnis lässt sich also festhalten, dass vieles, was im alltäglichen Schulbetrieb an Daten verarbeitet wird, auch in zulässiger Weise geschieht. Anders wäre es auch nicht praktikabel. Müsste eine Schule zunächst die (wirksame) Einwilligung für die Schüler/innen und auch für ihre Eltern besorgen, wäre der Schulbetrieb lahmgelegt.

Home-Schooling & Co.: Datenschutz und Digitalisierung der Schulen

Doch wie verhält es sich mit digitalen Lehrformen, insbesondere in Zeiten, in denen der normale Schulbetrieb nicht stattfinden kann?

Zunächst einmal gelten auch hier die gleichen Grundsätze: Eine Datenverarbeitung ist dann zulässig, wenn sie in den konkreten Aufgabenbereich einer Schule fällt. Das gilt auch für die digitale Welt. Das bedeutet, dass der Unterricht (wenn auch in eingeschränkten Form) weitergehen muss. Unkritisch ist die Verarbeitung von E-Mail-Adressen, um z.B. Aufgabenblätter zu versenden. Spannend wird es beim Einsatz von Tools für das Abhalten digitaler Schulstunden, da hier noch weitere (Meta-)Daten verarbeitet werden.

Viele Lehrkräfte stellen sich nun die Frage, ob sie diese Tools nutzen dürfen. Auch hier gibt es unterscheidungswürdige Kategorien.

Alle von der Schule selbst angebotenen und betriebenen Anwendungen dürfen von Lehrkräften auch ohne Einwilligung genutzt werden. Darunter fallen Lernplattformen wie moodle. Hat eine Schule auch Tools für Videokonferenzen im eigenen Betrieb implementiert, ist auch diese Nutzung (auch mit privaten Endgeräten) wohl zulässig und bedarf keiner Einwilligung.

Schwieriger wird es, wenn die Schule keinerlei solcher Anwendungen nutzt und den Lehrkräften zur Verfügung stellt. Einige der Lehrkräfte nutzen dann private Accounts. Das ist vor dem Hinblick des Lehrauftrages sicherlich nicht falsch, birgt jedoch auch Risiken aus Sicht des Datenschutzes. Das hat nichts mit einer anderen Datenverarbeitung zu tun (Zoom verarbeitet dieselben Daten, unabhängig davon, wer den Account betreibt), sondern eher mit der Kontrolle durch den Verantwortlichen. Wenn die Schule als Verantwortliche für die Datenverarbeitung einsteht, muss sie auch Kontrolle darüber haben, in welcher Art und Weise Daten verarbeitet werden. Nutzt nun eine Lehrkraft ausschließlich Tools mittels privater Accounts, kann die Schule ihre Aufgabe als Verantwortliche nicht mehr konform ausüben.

Der Lehrkraft bleibt dann nichts anderes übrig, als sich eine wirksame Einwilligung für die Verwendung dieser Tools einzuholen. Eine Zulässigkeit über den Aufgabenbereich der Schule wird sich ansonsten kaum konstruieren lassen.

Außerdem muss, je nach verwendetem Tool, eine Risikoabwägung durchgeführt werden (eine sog. „Datenschutzfolgeabschätzung“). Nutzt die Schule oder eine Lehrkraft ein Tool, dessen Datensicherheit nicht hoch ist, besteht für die Schüler/innen ein erhebliches Risiko, weshalb die (vorherige) Risikoabwägung unumgänglich ist.

Digitale Schule: Unsere Empfehlungen

Die aufgeworfenen Fragen und Punkte muss eine Schule nicht alleine lösen. Hier hilft der von der Schule verpflichtend zu bestellende Datenschutzbeauftragte weiter. Er steht beratend zur Seite und konzipiert Lösungen für den analogen und digitalen Schulbetrieb. Um die (datenschutzrechtlich) sensiblen Fragen rund um das Home-Schooling zu klären, empfehlen wir Ihnen – neben der Benennung eines qualifizierten Datenschutzbeauftragten – folgende Punkte:

  • Nutzen Sie – sofern vorhanden – die in der Schule bereits verwendeten, digitalen Möglichkeiten. Wenn Ihre Schule also bereits ein Tool für Videokonferenzen nutzt, nutzen auch Sie dieses.
  • Sofern kein Angebot in der Schule vorhanden ist: Sprechen Sie Ihr Vorhaben, ein Tool verwenden zu wollen, vorher ab. Idealerweise nutzen auch weitere Kolleg/innen dasselbe Tool. Die Schule kann Ihnen dann auch schriftlich die Nutzung eines bestimmten Tools bestätigen. So kann die Schule der Aufgabe als Verantwortliche für die Datenverarbeitung nachkommen.
  • Wenn keiner der beiden Punkte realisierbar ist: Verzichten Sie nicht zwingend auf digitale Lehrformen. Achten Sie auf die Datensicherheit der verwendeten Tools (wohin werden Daten übermittelt; erfolgt eine Verschlüsselung; ist das eigene Endgerät auf dem neusten Software-Stand etc.) und holen Sie sich die Einwilligung der Datenverarbeitung vorher ab. Bei minderjährigen Schüler/innen müssen Sie hierfür auch die Eltern ins Boot holen.

Unser Fazit lautet demnach: Die Datenverarbeitung an Schulen ist in den meisten Fällen gesetzlich abgesichert und ohne Einwilligung zulässig. Auch neue, digitale Lehrformate können datenschutzkonform durchgeführt werden, wenn ein paar wichtige Punkte beachtet werden, insbesondere die Gewährleistung der Datensicherheit der verwendeten Anwendungen. Mit Unterstützung der Schule (und idealerweise auch des jeweiligen Bundeslandes, wobei das eher politische Fragen aufwirft) können digitale Lehrformate eingeführt und auch nach Überstehen der jetzigen Ausnahmesituation fortgeführt werden. Den Schüler/innen ist damit sicherlich geholfen.