Der EU-US-Privacy-Shield ist ungültig! Datenverkehr zwischen EU und USA damit weitgehend unzulässig!
1. Grundsätzliches Verbot der Datenverarbeitung außerhalb der EU
Die EU-Datenschutzgrundverordnung (DSGVO) verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den sogenannten „Drittländern“ kein angemessenes Datenschutzniveau herrscht. Zu diesen Drittländern gehören vor allem die USA.
Dass ein angemessenes Datenschutzniveau vorliegt, kann vor allem dann angenommen werden, wenn die EU-Kommission ein angemessenes Datenschutzniveau mit einem sogenannten „Angemessenheitsbeschluss“ festgestellt hat.
Ein angemessenes Datenschutzniveau hatte die EU-Kommission bisher auch für die USA festgestellt. Voraussetzung war, dass US-Unternehmen sich verpflichteten, auf Grundlage des sogenannten EU-US-Privacy-Shield-Abkommens das EU-Recht zu beachten.
Alternativ können die von der EU-Kommission vorgefertigten und als EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) bezeichneten Vertragsvorlagen vereinbart werden. Diese verpflichten den Datenempfänger zur Einhaltung des Europäischen Datenschutzniveaus.
2. Was bisher geschah
Trotz Bestehens des EU-US-Privacy-Shield-Abkommens reichte der Datenschutz-Aktivist Max Schrems eine Klage ein, weil er die Rechte an seinen eigenen Daten als gefährdet ansah. Er ist unter anderem Facebook-Nutzer und sieht ein Problem mit dem Datenschutzniveau in den USA.
Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH) aufgrund dieser Klage im sogenannten Schrems-II-Verfahren (Rechtssache C‑311/18), dass der EU-US-Privacy-Shield ungültig ist.
Der Grund hierfür ist der mögliche Zugriff auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden und Geheimdienste. Dies sei nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen. US-Behörden stehen Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen wehren können. In dem entschiedenen Verfahren berief sich Schrems zB auf den US Foreign Intelligence Surveillance Acts, der Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss und Rechtsschutz erlaubt. Weiters erlaubt der US Cloud Act einen Zugriff auf die Daten überall auf der Welt, solange der Vertragspartner in den USA seinen Sitz hat. Ein behördliches Auskunftsersuchen genügt für den Zugriff. Weder gibt es einen Richtervorbehalt, noch ein Informationsrecht über so abgeflossene Daten und auch kein Einsichts- oder gar Widerspruchsrecht. Im schlimmsten Fall fließen also Daten ab, ohne dass das betroffene Unternehmen davon erfährt.
Dagegen haben nach dem EuGH die SCC grundsätzlich Bestand. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den SCC vorgesehenen Schutzmechanismen grundsätzlich erweiterbar. Dies sei der fundamentale Unterschied zum EU-US-Privacy-Shield. Allerdings ist bei Datentransfers auf Basis der SCC vom Datenexporteur zu prüfen, ob der Datenempfänger außerhalb des Europäischen Wirtschaftsraums (EWR) überhaupt rechtlich in der Lage ist, die Vereinbarungen in den SCC einzuhalten, so dass ein angemessenes Datenschutzniveau erhalten bleibt. Dabei sind auch die rechtlichen Zugriffsmöglichkeiten von Sicherheitsbehörden und Geheimdiensten im Zielland zu berücksichtigen.
Ist der Datenempfänger bereits rechtlich nicht in der Lage, die SCC einzuhalten, darf der Datentransfer nicht erfolgen und ein bereits gestarteter Datentransfer ist einzustellen. Daneben ist in diesem Fall die Datenschutz-Aufsichtsbehörde zu informieren. Dieser wiederum stünden über die SCC Auditrechte beim Datenempfänger oder dessen Unterauftragnehmer zu. Die Datenschutz-Aufsichtsbehörde ist hierbei in der Pflicht, einen Datentransfer auszusetzen, wenn die Zusicherungen der SCC im Drittland nicht eingehalten werden können.
3. Welche Rechtsfolgen drohen?
Wenn die Datenübermittlung in die USA unzulässig ist, besteht das Risiko, dass:
- Datenschutz-Aufsichtsbehörden die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangen oder sogar Geldbußen verhängen;
- man von Nutzern, Kunden oder anderen Betroffenen abgemahnt wird und mit Schadenersatzforderungen konfrontiert wird;
- Abmahnungen durch Wettbewerber und Verbraucherschutzorganisationen erfolgen.
Um diese Folgen zu mindern sollten daher Maßnahmen ergriffen werden, auch wenn sie nicht perfekt sein sollten.
4. Bedeutung der Entscheidung für die Praxis
Praktisch bedeutet dies, dass die meisten US-Dienstleister nicht mehr eingesetzt werden dürfen. Insbesondere sind US-Internetkonzerne betroffen, und somit auch alle Nutzer von Lösungen von Anbietern wie Google (mit YouTube), Facebook (mit WhatsApp und Instagram), Apple, Microsoft, Zoom und Adobe. Diese stehen nun vor einem großen Problem, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen.
In der Praxis führt die Entscheidung daher erneut zu einem Rechtsvakuum und großer Unsicherheit, wobei abzuwarten bleibt, ob es zwischen der EU und den USA zu einem neuen Abkommen kommen wird und welche Optionen sich auf dieser Grundlage ergeben werden. Der wirtschaftliche Schaden für US- und EU-Unternehmen dürfte immens und damit der Druck auf die Politik, eine Lösung zu finden, sehr hoch sein.
Bis dahin wird man aus folgenden Handlungsalternativen wählen müssen:
- Am sichersten wäre es, keine US-Anbieter einzusetzen, die selbst oder über ihre Dienstleister personenbezogene Daten in die USA übermitteln.
- Sofern dies von US-Anbietern ermöglicht wird, sollte vereinbart werden, dass die Verarbeitung auf EU-Servern erfolgt (zB Micorosoft).
- Risikobereite könnten die weitere Entwicklung abwarten, sollten aber ihre Dienstleister nach dem Abschluss von Standardvertragsklauseln für US-Datentransfers fragen (obwohl die Wirksamkeit der Klauseln äußerst zweifelhaft ist, könnte dies zumindest risikomindernd wirken).
- Wenn möglich sollten Einwilligungen der Nutzer eingeholt werden. Dabei müssten die Nutzer transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden. Man könnte dabei auch an eine Einwilligung in den Cookie-Hinweisen denken.
- In Verträgen und Datenschutzinformationen sollten die Hinweise auf den EU-US-Privacy-Shield entfernt werden.
Haben Sie Fragen zu den Auswirkungen der Entscheidung über die Unwirksamkeit des EU-US-Privacy-Shield?
Dann wenden Sie sich jederzeit an unsere Experten!
Ihr Ansprechpartner: