Mitarbeit: Ricardo Moschetta und Marina Steenbergen.
Fast ein Jahr ist vergangen, seit das EU-US Privacy Shield durch das Schrems-II-Urteil vom EuGH gekippt worden ist. Seitdem mussten sowohl Unternehmen als auch die EU nach Lösungen suchen, um Datenübermittlungen in die USA weiterhin so datenschutzkonform wie möglich zu gestalten, unter anderem mit den sogenannten EU-Standardvertragsklauseln. Im folgenden Beitrag zeigen wir die aktuellen Entwicklungen rund um den Privacy Shield auf.
Neue Standardvertragsklauseln
Neue Standardvertragsklauseln wurden nun Anfang Juni 2021 von der EU-Kommission veröffentlicht und müssen bis zum Ende der Schonfrist, dem 22.12.2022, von den Unternehmen für Datentransfers in die USA genutzt werden.
Dazu setzt die EU auf einen modularen Aufbau, wonach unterschiedliche Anforderungen je nach Beziehungsart der Übermittler gelten:
- Verantwortliche an Verantwortliche (controller to controller)
- Verantwortliche an Auftragsverarbeiter (controller to processor)
- Auftragsverarbeiter an Auftragsverarbeiter (processor to processor)
- Auftragsverarbeiter and Verantwortliche (processor to controller)
Zudem wurden Anforderungen, die sich aus dem Schrems-II Urteil ergeben, mit neuen Klauseln verbindlich gemacht. Dabei bildet der Schwerpunkt die Zusicherung der Datenexporteure, sich über die Maßnahmen der Importeure vor der Übermittlung zu informieren, sodass unter anderem festgestellt werden muss, welche Auswirkungen die Rechtsvorschriften und Gepflogenheiten des Drittlands auf die Übertragung haben, bzw. ob diese gegen die vorbehaltlichen Garantien nach Art. 46 DSGVO sprechen. [1]
Andernfalls müssten, so laut der Datenschutzkonferenz (DSK), weitere technische Maßnahmen ergriffen werden, welche jedoch innerhalb der neuen Klauseln nicht weiter ausgeführt werden. [2]
Zusammengefasst lassen die neuen Standardvertragsklauseln jedoch viele Fragen noch unbeantwortet.
Kommt nun das Privacy-Shield 2.0?
Viele Stimmen fordern daher ein neues Privacy-Shield, um den Datenaustausch in die USA rechtssicher zu ermöglichen. Und dies könnte möglicherweise bald zur Realität werden:
Nachdem die Kommission bereits einen Angemessenheitsbeschluss für den Datenaustausch in die UK getroffen hat,[3] wurde nun auf Seiten der USA durch Christoper Hoff versichert, dass sich die Verhandlungen zu einem neuen Privacy Shield nicht erst am Anfang befinden würden, sondern man aktiv nach einer Lösung suche. [4]
Ebenfalls positiv hat sich nun auch der Europäische Kommissar für Justiz und Rechtsstaatlichkeit, Herr Didier Reynders, zur Entwicklung eines Privacy-Shields 2.0 geäußert, mit der Aussicht, es könne bereits zum Ende dieses Jahrs noch eine Einigung geben.[5] Hoffnung versprachen sich manche auch vom diesjährigen G7-Gipfel in Cornwall. Der veröffentlichen Agenda nach scheint das Thema Datenschutz aber, wohl auch Covid-19 bedingt, wenig bis gar nicht thematisiert worden zu sein. [6]
In Hinblick auf die Gesamtentwicklung bleibt ein Privacy-Shield 2.0 zumindest mittelfristig dennoch wahrscheinlich.
Update (Oktober 2020)
Positionierungen und Reaktionen
Die Datenschutzbehörden sowie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (sog. Datenschutzkonferenz – DSK) teilten in einer Pressemitteilung mit dass, alle Drittlandtransfers, die ausschließlich auf dem „EU-US-Privacy Shield“ basieren, zu untersagen sind. Mit dieser sofortigen Unterlassung wurde eine Schonfrist ausgeschlossen, was ein direktes Handeln durch die betroffenen Unternehmen verlangt. Jedoch stellt die DSK in derselben Pressemitteilung ebenso fest, dass zukünftig eine (Weiter-)Nutzung der EU-Standardvertragsklauseln (oder auch Standard Contractual Clauses (SCC) zulässig ist. Sie dürften somit die primäre, vertragliche Grundlage für Datentransfers in Drittländer darstellen
Der Europäische Datenschutzausschuss (EDSA) ergänzte zudem in einem veröffentlichten FAQ, dass eine Nutzung von Binding Corporate Rules (BCR) ebenso legitim ist. Mittels der Etablierung von BCR können Unternehmen die Einhaltung vorher festgelegter Schutzmaßnahmen sicherstellen. Eine vom EDSA zusätzlich gegründete Task-Force, welche in Zukunft Handlungsempfehlungen auf Folge des Urteils konzipieren wird, dient dabei im Einklang zum erstellten Katalog als Handlungsrichtlinie und Überprüfungsmöglichkeit. Beschwerden einhergehend zum Urteil des EuGH, werden ebenfalls von dieser Task-Force angenommen.
All diese Maßnahmen der Datenschutzbehörden auf nationaler und internationaler Ebene sind ein erster, guter Schritt in Richtung Rechtssicherheit. Insgesamt wird jedoch von keiner grundlegenden Lösung zu sprechen sein. Es ist eher auf eine politische Lösung zwischen der EU und den USA zu warten und auch zu pochen; ein Stück Rechtsunsicherheit wird es im Rahmen der jetzigen Konstellation immer geben.
Interessant ist auch die Reaktion einiger größerer US-Unternehmen auf das Urteil. Max Schrems, der mit seinem Unternehmen (der NGO „noyb“) betroffene Unternehmen anfragte, berichtet davon in einer Pressemitteilung. Laut Schrems reichten die Antworten von „detaillierten Erklärungen, über Eingeständnisse, dass die Unternehmen keine Ahnung von der Situation haben, bis hin zu schockierend aggressiver Leugnung des Rechts.“ Den betroffenen Unternehmen muss hierbei aber sicherlich genauso eine Verarbeitungszeit der Folgen aus dem Urteil zugesprochen werden, wie es auch europäischen Unternehmen gestattet sein muss, dieses Urteil für sich einzuwerten.
Bedeutung für die Praxis
Die nun auch von den Datenschutzbehörden in den Vordergrund gestellten SCC sollten jedoch nicht ungeprüft verwendet werden. Die Datenschutzbehörden betonen nochmals, dass es einer höheren Sensibilität für die Verantwortlichen und ihre Dienstleister bedarf. Dies ergibt sich auch aus der ständigen Frage, ob das allgemeine Datenschutzniveau in den USA ein nach europäischen Maßstäben angemessenes darstellt. Gesetze, wie der bereits vielzitierte „Patriot-Act“ und den damit verbundenen Möglichkeiten der Datenüberwachung, sowie theoretisch mögliche Zugriffe auf Daten seitens US-Ermittlungsbehörden, bieten Konfliktpotenziale beim Abgleich der jeweiligen Datenschutzniveaus. Hier bleibt jedoch festzuhalten, dass dieser „Konflikt“ nur schwerlich rechtlich zu lösen ist. Gesetzgebungen wie der Patriot Act oder auch der CLOUD-Act sind hier als politische Instrumente zu betrachten.
Datenübermittlungen in die USA sind weiterhin Bestandteil unseres Alltags und nicht mehr aus der Praxis wegzudenken. Diese aufzugeben ist entsprechend kein (in nächster Zeit) realisierbarer Schritt. Da die SCC in ihrer Zulässigkeit bestätigt wurden, entsteht durch das „Schrems II“ Urteil keinerlei Rechtsvakuum. Datentransfers in die USA sind somit also weiterhin möglich. Sie erfordern jedoch eine Revision der bestehenden Verträge (siehe hierzu auch „Unsere Empfehlungen“ weiter unten im ursprünglichen Beitrag).
Ursprünglicher Beitrag
Einleitung
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in seinem Urteil (Rechtssache C-311/18; Data Protection Commissioner / Maximillian Schrems und Facebook Ireland, „Schrems II“) den Beschluss der EU-Kommission zum so genannten „EU-US Privacy Shield“ Abkommen für ungültig erklärt.
Das Privacy Shield Abkommen entstand, nach dem das vorherige „Safe Harbour Abkommen“ im Oktober 2015 für ungültig erklärt wurde. Damit eine Datenverarbeitung für bisher unter Safe Harbor zertifizierte Unternehmen auch weiterhin möglich ist, wurde Privacy Shield als politische Zwischenlösung geschaffen um für bisher unter dem Privacy Shield zertifizierte US-Unternehmen unter neuem Deckmantel als angemessen zu beurteilen und so die Datenübermittlung in die USA weiterhin zu erleichtern. Nun stellt sich die Frage, ob und wie eine Datenübermittlung in die USA weiterhin möglich sein wird. Der folgende Beitrag klärt in dieser Frage auf.
Das Urteil des EuGH
Der EuGH hatte in der Rechtssache zwischen Maximilian Schrems und Facebook Irland zu entscheiden, nachdem der irische High Court in einem Vorabentscheidungsersuchen den EuGH angerufen hatte. Im Wesentlichen waren die Fragen zu klären, ob die Übermittlung der Daten von Herrn Schrems durch Facebook Irland in die USA (an die Facebook Inc.) auf Basis des Privacy Shields sowie der vereinbarten EU-Standardvertragsklauseln zulässig ist. Damit einhergehend stand auch die Frage im Raum, ob das Datenschutzniveau der USA, mit dem der EU gleichwertig ist.
Der EuGH urteilte nun, dass die bestehenden Gegebenheiten in den USA, insbesondere der mögliche Zugriff auf die Daten durch staatliche (Ermittlungs-)Behörden nicht mit den sich aus der DSGVO und den Grundrechtswerten ergebenden Anforderungen der EU vereinbar sind. Insbesondere wird die fehlende Möglichkeit von Rechtsbehelfen gegen den behördlichen Zugriff auf die Daten bemängelt.
Die Nutzung der EU-Standardvertragsklauseln hingegen sieht der EuGH weiterhin als zulässig an. Außerdem nimmt der EuGH in seinem Urteil die Datenschutzaufsichtsbehörden in die Pflicht. Es läge in ihrer Zuständigkeit zu prüfen, ob die vereinbarten Klauseln zwischen den Unternehmen aus der EU und den USA ein angemessenes Datenschutzniveau erreichen.
Datenübermittlung in die USA in der Zukunft – neues Privacy Shield?
Eine Datenübermittlung in die USA findet mittlerweile ununterbrochen statt. Ob bei Nutzung von Office-Produkten, Social Media oder verschiedenen Cloud-Lösungen wie Confluence von Atlassian: In all diesen Einsatzgebieten der täglichen Praxis erfolgt meist eine (vom Anwender oft unbemerkte) Datenübermittlung in die USA. Entsprechend bedeutsam ist der Datentransfer zwischen der EU und den USA für den privaten aber auch für den wirtschaftlichen Bereich. Kaum ein Unternehmen kommt ohne Datenübermittlung in die USA aus, ob bewusst oder unbewusst.
Diese Datenübermittlung ist aufgrund der US-spezifischen Gesetzgebung immer mit dem Risiko verbunden, dass US-Behörden auf die Daten zugreifen können. Einige US-Unternehmen wehren sich dagegen und versuchen, die Datenherausgabe zu verhindern. Ultimativ ist dies jedoch ein Risiko, das Unternehmen in Kauf nehmen müssen und das nur schwerlich heilbar ist. Adäquate Lösungen auf dem deutschen oder europäischen Markt sind nicht in Sicht oder – wenn überhaupt – lediglich Nischenprodukte.
Entsprechend stellt sich die Frage, wie nun die Datenübermittlung vor dem Hinblick des Urteils des EuGH datenschutzkonform ausgestaltet sein kann.
Das Urteil des EuGH ist hierin als umsichtig zu betrachten. Die Zertifizierungen unter dem Privacy Shield waren von vorneherein als „Notlösung“ nach dem Kippen des Safe Harbour Abkommens gedacht. Eine langfristige Lösung sollte der Privacy Shield nie sein. Das Urteil ist daher nicht allzu überraschend. Insbesondere die nicht vorhandenen Prüfmöglichkeiten der Zertifizierungsinhalte durch europäische Behörden hat den Privacy Shield von Beginn an als Papiertiger entlarvt.
Anders verhält es sich mit den EU-Standardvertragsklauseln. Die Standardvertragsklauseln basieren auf einem Beschluss der EU-Kommission und sind für die Datenübermittlung in Drittländer gedacht, für die es keinen Angemessenheitsbeschluss gibt, deren Datenschutzniveau also nicht für sich genommen schon als ausreichend für eine Übermittlung angesehen wird. Für die USA gibt es zwar einen solchen Beschluss, allerdings nur für die Unternehmen, die unter dem Privacy Shield zertifiziert sind. Diese sind jedoch nach dem Urteil des EuGH als wertlos anzusehen.
Eine Datenübermittlung in die USA ist somit nur noch mit einer Vereinbarung nach den Standardvertragsklauseln möglich. Dies ist insofern eine gute Nachricht, als dass viele Anbieter (z.B. Atlassian für die Nutzung von Confluence, Trello oder JIRA) bereits mit entsprechenden Vereinbarungen arbeiten. Auch Microsoft baut die Übermittlung von Daten im B2B-Bereich auf die Anforderungen aus den Standardvertragsklauseln auf.
Künftig kann erwartet werden, dass die Datenübermittlung in die USA noch verstärkter vertraglich auf den EU-Standardvertragsklauseln basieren wird. Die betroffenen US-Unternehmen werden nun prüfen müssen, ob sie ihre Prozesse und Datenverarbeitungen bereits entsprechend eingestellt haben. Die gute Nachricht ist allerdings: Ein Ende der Datenübermittlung in die USA ist zu keinem Zeitpunkt zu erwarten.
Unsere Empfehlungen nach dem Privacy Shield
Nach dem Urteil des EuGH können Sie mit hoher Wahrscheinlichkeit ihren betrieblichen Alltag ohne Einschränkung fortführen.
Ein solches Urteil ist jedoch auch immer gleichzeitig Gelegenheit für eine kleine Inventur. Versuchen Sie, sich und Ihre Mitarbeiter/innen dafür zu sensibilisieren, bei der Implementierung neuer und der Revision bestehender Anwendungen in Ihrem Unternehmen auf die vertraglichen Grundlagen der Datenübermittlung zu achten. Bemerken Sie Anbieter, die auch künftig die Datenübermittlung ausschließlich darauf beruhen, unter dem Privacy Shield zertifiziert zu sein ohne weitere vertragliche Grundlage, sollten Sie diese Anbieter meiden. Binden Sie Ihren Datenschutzbeauftragten und IT-Sicherheitsbeauftragen in diese Prüfung oder Entscheidungen frühzeitig mit ein. So vermeiden Sie unnötige Risiken und können sich weiterhin auf Ihr Kerngeschäft fokussieren!
[1] Vgl. European Data Protection Board: EDPB adopts final version of Recommendations on supplementary measures, letter to EU Institutions on the privacy and data protection aspects of a possible digital euro, and designates three EDPB Members to the ETIAS Fundamental Rights Guidance Board. 21.06.2021, <https://edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en>.
[2] Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2021. Datenschutz-Aufsichtsbehörden: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig. < https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf>.
[3] Euopean Commission: Data protection: Commission adopts adequacy decisions for the UK, 28.06.2021, <https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183>
[4] Chiavetta, Ryan: „Hoff: EU, US ’not at the beginning‘ of Privacy Shield negotiations. In: International Association of Privacy Professionals (IAPP). 01.07.2021, <https://iapp.org/news/a/hoff-eu-us-not-at-the-beginning-of-privacy-shield-negotiations/>.
[5] Fennessy, Caitlin. Research Director at IAPP auf LinkedIn. Juni 2021, < https://www.linkedin.com/posts/caitlin-fennessy_privacyshield-dataflows-activity-6811256773673029633-3rgB/>.
[6] Carbis Bay G7 summit communiqué: Our Shared Agenda for Global Action to Build Back Better. <https://www.g7uk.org/wp-content/uploads/2021/06/Carbis-Bay-G7-Summit-Communique-PDF-430KB-25-pages-5.pdf>.
Diese Beiträge könnten Sie auch interessieren:
Digital Markets Act – Die neuen Regeln der Datenwirtschaft – Aktueller Stand
Europäische Datenstrategie: Data Governance Act – Aktueller Stand
Sie haben weitere Fragen zu unseren Blog-Artikeln oder allgemeiner Art? Wenden Sie sich gerne an uns, über das Kontaktformular.