Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield gekippt und betont damit die Wichtigkeit des Datenschutzes. Unternehmen, die Daten in die USA übermitteln, stehen damit vor einer neuen Herausforderung. Viele von ihnen müssen nun auf andere Weise sicherstellen, dass die Übermittlung von personenbezogenen Daten an US-Unternehmen den Anforderungen der DS-GVO gerecht wird. Wir erklären, was es jetzt zu tun gilt.
ein Beitrag von Tobias Theelen, Wojciech Kleta, Evgenia Busse, Hans-Georg Schäfer, Dr. Frank Schemmel, Andreas Rübsam und Marine Serebrjakova
Worum geht es in der Entscheidung des EuGH genau?
Der Europäische Gerichtshof (EuGH) hat im Fall „Schrems II“ geurteilt und das sogenannte EU-US Privacy Shield für ungültig erklärt. Sämtliche Übermittlungen von personenbezogenen Daten in die USA, die ausschließlich auf dem Privacy Shield basieren, sind damit ab sofort als rechtswidrig einzustufen.
Wie kam es zu dem Urteil?
Das Urteil geht auf die Initiative des österreichischen Datenschutzaktivisten und Vorsitzenden der Initiative noyb (“none of your business”) Maximilian „Max“ Schrems zurück. Er hatte ursprünglich eine Beschwerde bei der irischen Datenschutzbehörde eingereicht, da Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitete. Ein irisches Gericht hat den Fall schließlich vor den EuGH gebracht.
Was ist das Privacy Shield?
Das Privacy Shield ist als ein sogenannter Angemessenheitsbeschluss eine von drei Möglichkeiten für Unternehmen (man spricht in diesem Zusammenhang auch von Garantien), um personenbezogene Daten rechtskonform in die USA zu übermitteln. Die Europäische Kommission kann einen Angemessenheitsbeschluss nur dann erlassen, wenn das Drittland ein angemessenes Schutzniveau bietet. Ein solches Niveau ist aus Sicht des EuGH in den USA jedoch nicht gegeben.
Warum hat der EuGH das Privacy Shield für rechtsungültig erklärt?
Für ein angemessenes Schutzniveau sind insbesondere folgende Kriterien wichtig:
- Die übermittelten Daten sind vor einem nicht erforderlichen Zugriff durch die Behörden des Drittlands zu schützen.
- Die europäischen Datenschutzanforderungen im Lichte der EU-Charta – das heißt Achtung des Privat- und Familienlebens, der Schutz personenbezogener Daten, das Recht auf effektiven gerichtlichen Rechtsschutz – und die Grundrechte der betroffenen Bürger müssen hinreichend berücksichtigt werden.
Diese Kriterien werden nach Einschätzung des EuGH durch das Privacy Shield nicht erfüllt. Der Gerichtshof stellt wiederholt fest, dass die Überwachungsgesetze der USA aus zweierlei Gründen nicht mit den Datenschutzgrundsätzen der Europäischen Union vereinbar sind:
- Die Zugriffsmöglichkeiten der US-Behörden widersprechen den Anforderungen an den Datenschutz: Die Überwachungsmethoden der USA unterliegen keiner richterlichen Kontrolle und sind nicht auf das zwingend erforderliche Maß beschränkt.
- Der Rechtsschutz für Betroffene ist unzureichend: Die Gesetze, welche den US-amerikanischen Geheimdiensten gestatten, Verbraucher zu überwachen, sehen nur Rechte für US-Bürger vor, diese Maßnahmen überprüfen zu lassen. Ein Schutz für Unionsbürger gegenüber Geheimdiensten sieht das US-Recht nicht vor.
„Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden“, äußert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber zum Urteil. Er sieht in der Entscheidung des EuGH vor allem eine Stärkung der Rechte der Verbraucher.
Nicht zum ersten Mal wird die Datenübermittlung in die USA schwieriger
Der EuGH hatte bereits in seiner früheren Entscheidung vom 6. Oktober 2015 das Safe-Harbor-Abkommen, den Vorgänger des Privacy Shield, für ungültig erklärt und damit Datenschutzgeschichte geschrieben. Auch hier ging die Entscheidung auf eine Klage von Max Schrems zurück.
Wie wirkt sich das Schrems-II-Urteil auf europäische Unternehmen aus?
Für in der EU ansässige Unternehmen, die Daten in die USA übermitteln, ist das Urteil eines mit Sprengkraft. Sie dürfen nun nicht mehr auf Grundlage des Privacy Shields Daten an US-amerikanische Firmen übermitteln. Eine Datenübermittlung im Sinne dieser Entscheidung muss dabei nicht immer aktiv von dem jeweiligen Unternehmen ausgehen. Ausreichend ist vielmehr bereits eine faktische Zugriffsmöglichkeit aus dem Drittland auf Daten in Europa. Das Urteil hat unter anderem Folgen für Datenübermittlungen europäischer Unternehmen an US-amerikanische Betreiber sozialer Medien, Internetplattformen, oder IT-Dienstleister.
Allerdings sind die Auswirkungen nicht nur auf Datenflüsse zwischen Europa und den USA beschränkt. Vielmehr sind die Grundsätze der jüngsten EuGH-Entscheidung auch auf den Datenverkehr mit China, Russland oder Indien zu übertragen, wie Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit, in einer Stellungnahme mitteilt.
Welche Alternativen bleiben Unternehmen, um die Datenübermittlung in die USA rechtskonform zu gestalten?
Als noch zulässige Mittel zur Übermittlung von Daten in die USA kommen derzeit neben der Einwilligung der betroffenen Personen (also Kunden, Nutzer, Patienten oder Mandanten) insbesondere die sogenannten Standarddatenschutzklauseln bzw. Binding Corporate Rules in Betracht.
Standarddatenschutzklauseln
EU-Standarddatenschutzklauseln sind weiterhin gültig und sollten spätestens jetzt vertraglich vereinbart werden, sofern man sich beim Datentransfer in die USA bisher nur auf das Privacy Shield verlassen hat. Eine europäische Datenaufsichtsbehörde kann allerdings einschreiten und den Datenverkehr im konkreten Einzelfall unterbinden – das gilt vor allem für den Fall, dass der Datenverarbeiter in den USA nicht gewährleisten kann, dass die Daten dem EU-Standard entsprechend verarbeitet werden. Insoweit ist die Datenübermittlung in die USA jetzt mit vergleichbaren Risiken wie etwa nach China verbunden. Sowohl europäische Datenexporteure als auch Datenimporteure sind nach Ansicht des EuGH nunmehr angehalten, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen.
Es ist zwar zu hoffen, dass die USA reagieren und für entsprechende Rechtssicherheit sorgen; zum aktuellen Zeitpunkt kann darüber jedoch noch keine abschließende Aussage getroffen werden. Vielmehr legen erste Reaktionen des US-Handelsministeriums nahe, dass diese erstmal weiter machen wie bisher und keinen unmittelbaren Handlungsbedarf sehen.
Anwendbarkeit von Binding Corporate Rules
Ein Transfer von Daten in die USA ist für international agierende Konzerne weiterhin zulässig, wenn sogenannte Binding Corporate Rules genutzt werden. Diese verbindlichen internen Datenschutzvorschriften stellen Regelungen zum Umgang mit personenbezogenen Daten innerhalb eines internationalen Konzerns oder einer Unternehmensgruppe dar. Diese Vorschriften müssen wiederum von der zuständigen Datenschutzbehörde genehmigt werden. Allerdings merken auch hier Datenschutzbehörden an, dass derzeit nicht ausgeschlossen werden kann, dass die Schrems-II-Entscheidung auch Auswirkungen auf dieses Transferinstrument hat.
Alle wichtigen Hintergrundinformationen zu den Binding Corporate Rules finden Sie in unserem Magazin-Beitrag Internationaler Datenaustausch mit Binding Corporate Rules (BCRs).
Ausnahmen in bestimmten Fällen
Ein Datentransfer in die USA kann in bestimmten Fällen auch ohne Angemessenheitsbeschluss oder Standarddatenschutzklauseln zulässig sein. Das ist etwa dann der Fall, wenn
- die betroffene Person explizit der Datenübermittlung eingewilligt hat, nachdem sie über mögliche Risiken unterrichtet wurde.
- die Übermittlung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen unbedingt notwendig ist.
- die Übermittlung zur Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- die Übermittlung zum Schutz lebenswichtiger Interessen erforderlich ist und die betroffene Person außerstande ist, eine Einwilligung zu geben.
Kurzgefasst: Sollte eine dieser Regelungen im Unternehmen greifen, so ist dieses vom jüngsten Urteil ggf. nicht betroffen. Finden jedoch weder Binding Corporate Rules noch ein Ausnahmetatbestand im Unternehmen Anwendung und erfolgt die Datenübermittlung allein auf Grundlage der Standarddatenschutzklauseln, so besteht derzeit ein nicht zu unterschätzendes Compliance-Risiko.
Was passiert, wenn Unternehmen das EuGH-Urteil nicht berücksichtigen?
Sollten Unternehmen die Vorgaben und Folgen der Schrems-II-Entscheidung nicht berücksichtigen, ist gegebenenfalls mit empfindlichen Rechtsfolgen zu rechnen. Die Aufsichtsbehörden können in derartigen Fällen Geldbußen von bis zu 20 Mio. Euro bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen – je nachdem, welcher Betrag höher ist.
Während die für Facebook zuständige irische Datenschutzbehörde die Umstände und Folgen der Schrems-II-Entscheidung erst einmal sorgfältig prüfen möchte, ist die Berliner Datenschutzbehörde schon mehrere Schritte weiter:
Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, fordert in einer aktuellen Stellungnahme sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nach Ansicht der Berliner Behörde nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
Was sollten Unternehmen jetzt tun?
Für den Moment sind für Unternehmen, die Daten in die USA übermitteln, vor allem folgende Maßnahmen geboten:
- Prüfen Sie die Erforderlichkeit von Datenübermittlungen in die USA.
- Beschränken Sie den Datentransfer auf ein Minimum, um das Risiko zu minimieren. Dies gilt insbesondere für sensible Daten wie Gesundheits- sowie biometrische Daten und Daten von Beschäftigten.
- Suchen Sie ggf. nach anderen Transferinstrumenten für Datenübermittlungen in die USA. Zwar sind Standarddatenschutzklauseln nicht per se ungeeignet für den Datenverkehr mit den USA, allerdings bestehen hier große Restrisiken.
- Daneben sollten auch alle anderen Datentransfers in Drittstaaten einer entsprechenden generischen Überprüfung unterzogen werden.
Wo erhalten Unternehmen jetzt Unterstützung?
Erster Anlaufpunkt sollte der Datenschutzbeauftragte (DSB) sein. Er kann bei der Umsetzung aller erforderlichen Maßnahmen beratend unterstützen.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: