Home
Home
Home

Datenverarbeitung in den USA –
EuGH erklärt „Privacy Shield“ für unwirksam

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) den Beschluss der EU-Kommission zum „Privacy Shield“ als Rechtsgrundlage für eine Datenverarbeitung in den USA für unwirksam erklärt (Urteil vom 16.07.2020, C-311/18). „Privacy Shield“ war das Nachfolgeabkommen des „Safe-Harbor-Abkommen“, welches bis 10/2015 die Rechtsgrundlage bildete. Auch dieses Abkommen wurde durch den EuGH – aus ähnlichen Gründen – für unwirksam erklärt (Urteil vom 6. Oktober 2015, C-362/14). Weiterhin stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Die Standardvertragsklauseln behalten somit zunächst grundsätzlich ihre Gültigkeit als Rechtsgrundlage für eine Datenverarbeitung in einem sogenannten Drittstaat / Drittland. Nach den Anforderungen des EuGH ist aber stets eine Einzelfallprüfung erforderlich, hierzu siehe Ausführungen unten.

Auch wenn dieses Urteil vom EuGH so nicht unerwartet gesprochen worden ist – man könnte auch sagen in konsequenter Fortführung seiner Rechtsprechung -, so sind nunmehr viele Dinge in Bezug auf die Datenverarbeitung in den USA beziehungsweise durch US-amerikanische Unternehmen unklar. Tatsache ist, dass die Datenübermittlung in ein Drittland beziehungsweise die Datenverarbeitung in einem Drittland durch das EuGH-Urteil nicht einfacher, sondern deutlich komplizierter geworden ist. Was jedoch klar ist: Eine Datenverarbeitung in den USA, die auf Basis des „Privacy Shield Abkommens“ erfolgt, ist seit dem 16.07.2020 rechtswidrig!

Doch was sind die Alternativen?

Eine Ausnahme sei vorausgeschickt: Wenn die Übermittlung oder die Datenverarbeitung in den USA (gilt auch für andere „unsichere Drittländer“) erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung beziehungsweise die Datenverarbeitung in den USA erfolgen. Dies trifft beispielsweise auf Flugbuchungen ins die USA bei einer US-Airline zu.

Grundsätzlich besteht die Möglichkeit, die sogenannten Standardvertragsklauseln zur Sicherstellung eines angemessenen Datenschutzniveaus im Drittland (hier: USA) zu nutzen. Diesbezüglich führt der EuGH allerdings aus: „Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden […] insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.“.

Dies lässt insbesondere zwei Rechtsfolgen als Konsequenz denkbar erscheinen:
Erstens besteht die Möglichkeit, dass die Aufsichtsbehörden per se unterstellen könnten, dass in den USA kein angemessenes Datenschutzniveau besteht, was das Urteil des EuGH bezogen auf „Privacy Shield“ impliziert und somit auch die Standardvertragsklauseln mittelbar aushebelt. Dies hätte zur Folge, dass die Standardvertragsklauseln nicht zum Einsatz kommen können. Allerdings wäre es dann im Lichte des EuGH-Urteils nur konsequent, diese Feststellung auch auf die anderen „UKUSA“-Staaten UK, Australien, Kanada und Neuseeland („Five Eyes“) auszudehnen sowie auch beispielsweise China und Russland auf eine „Standardvertragsklauseln-Black-List“ zu setzen. Wobei wir auch davon ausgehen, dass eine genau solche Prüfung mittelfristig stattfinden wird.

Unterstellt man zweitens, dass die Standardvertragsklauseln für eine US-Übermittlung gültig bleiben, müsste jedes datenexportierende Unternehmen (beispielweise Verarbeitung von Daten in einer US-Cloud wie Microsoft oder Salesforce oder bei konzerninternem Datenaustausch) für jeden Vertragspartner sicherstellen, dass dieser ein für die konkreten Datenverarbeitungen angemessenes Schutzniveau sicherstellt. Leider äußert sich der EuGH nicht, welche Maßstäbe an eine solche Prüfung anzulegen sind. Ein erster Ansatz wäre es, zu überprüfen, ob Daten und Datenströme nach Stand der Technik verschlüsselt sind sowie den Datenaustausch auf das Notwendigste zu beschränken (Stichwort „Datenminimierung“). Hiernach müsste dann für den konkreten Einzelfall eine Risikobewertung vorgenommen und dokumentiert sowie die entsprechenden Maßnahmen implementiert werden.

Beachten Sie bei Abschluss der Standardvertragsklauseln bitte unbedingt, dass diese im Wesentlichen wortgleich zu übernehmen sind. Änderungen sind grundsätzlich nicht gestattet, da es sich um von der EU-Kommission abgestimmte und verabschiedete Klauseln handelt!

Bezogen auf die Standardvertragsklauseln mit US-Unternehmen äußert sich der geschätzte Kollege Dr. Schwenke wie folgt (Quelle siehe unten): „Schlechte Aussichten vor Gericht: Sollte also eine Datenschutzbehörde gegen Ihre Datentransfers in die USA vorgehen oder Nutzer sie zu deren Beendigung auffordern, werden Ihre Chancen vor Gericht, zumindest ausgehend von dem EuGH-Urteil, trotz Standardvertragsklauseln eher schlecht stehen (wobei der EuGH es zumindest anklingen lässt, dass man die Standardvertragsklauseln um zusätzliche Sicherheitsvereinbarungen anpassen kann – allerdings wird auch das schwer gelingen, wenn die USA den EU-Bürgern weiterhin den Datenschutz versagen). Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher. Dennoch ist es rechtlich sicherer, wenn die Standardvertragsklauseln abgeschlossen wurden und aufgehoben werden können, als wenn gar keine Standardvertragsklauseln vorliegen (frei nach dem Motto, “in der Not frisst der Teufel Fliegen”).“ Dem schließen wir uns so an.

Eine weitere Möglichkeit besteht darin, von jedem Betroffenen (beispielsweise Nutzern) eine informierte und transparente Einwilligung einzuholen. Informiert und transparent meint hier insbesondere, dass auf den Einsatz von US-Dienstleistern hingewiesen wird und welche Risiken damit zusammenhängen. Hier besteht natürlich dann die Möglichkeit, dass Nutzer nicht einwilligen oder Ihre Einwilligung (später) widerrufen, so dass die Datenverarbeitung in den USA für diese Nutzer ausgeschlossen ist. In der Praxis ist diese Alternative erfahrungsgemäß sicher nur eingeschränkt brauchbar.

Ein letzte, gleichwohl riskantere Möglichkeit ist es abzuwarten, wie die EU-Kommission und die Datenschutzbehörden reagieren werden. Nachdem im Oktober 2015 das „Safe-Harbor-Abkommen“ für ungültig erklärt worden ist, dauerte es auch gute sechs Monate, bis die EU-Kommission das Nachfolgeabkommen „Privacy Shield“ verabschiedet hatte. Hier gewährten die Datenschutzaufsichtsbehörden seinerzeit eine Art Galgenfrist und sagten zu, zunächst keine Bußgelder zu verhängen. Ob dies nunmehr auch so sein wird, bleibt abzuwarten und zu beobachten. An dieser Stelle sei ausdrücklich der Hinweis gestattet, dass ein untätiges „Auf Zeit spielen“ sicher keine ratsame Alternative darstellt. Wir gehen im Übrigen mit Blick auf die zu 2015 deutlich veränderten politischen Verhältnissen in den USA ohnehin tendenziell davon aus, dass es diesmal keine stille Duldungsfrist geben wird und die Aufsichtsbehörden – in welcher Form auch immer – tätig werden (im Raum stünden Unterlassungsaufforderungen sowie theoretisch Bußgelder von bis zu 20 Millionen Euro beziehungsweise 4% des Vorjahresumsatzes). Daneben besteht auch das Risiko, dass Ihr Unternehmen von Betroffenen, Mitbewerbern oder Verbraucherschutzorganisationen wegen unerlaubter Datenübermittlung beziehungsweise unerlaubter Datenverarbeitung kostenpflichtig abgemahnt wird. Bei den Betroffenen besteht zusätzlich das Risiko, dass neben der Abmahnung auf Schadensersatz geklagt wird. Sollten Sie sich dennoch für diese Möglichkeit entscheiden, dann gleichwohl bitte nicht mit in den Schoß gelegten Händen, sondern mit aktiver und dokumentierter Prüfung der oben erwähnten Handlungsmöglichkeiten.

Zusammenfassung und To do´s

  • Überprüfen Sie, ob Sie Datenverarbeitungen in einem sogenannten „unsicheren Drittstaat“ durchführen lassen (hier anlassbezogen speziell in den USA)
  • Überprüfen Sie, ob Sie Dienstleister einsetzen, die ihrerseits Unterauftragnehmer in den USA einsetzen
  • Prüfen Sie bei US-Unternehmen, ob Sie (respektive von Ihnen eingesetzte Dienstleister, die sich Unterauftragnehmer in den USA bedienen) auf die Rechtsgrundlage „Privacy Shield“ abgestellt haben, falls ja, ist diese nunmehr ungültig und es besteht Handlungsbedarf
  • Prüfen Sie in diesem Zusammenhang auch umgehend Ihre Datenschutzinformationen (für den Internetauftritt, für Bewerber/innen, für Kunden und sonstige Betroffene, für Mitarbeiter/innen, …) auf Anpassungsbedarf. Entfernen Sie falls zutreffend Hinweise auf „Privacy Shield“ und passen Sie wo nötig die Rechtsgrundlage an
  • Insoweit Standardvertragsklauseln eine Alternative für Ihr Unternehmen darstellen, gehen Sie proaktiv auf Ihre Dienstleister zu, dokumentieren Sie dies und schließen diese ab
  • Prüfen Sie, ob alternativ die Einwilligungslösung in Betracht kommt und setzen diese dann um
  • Prüfen Sie, ob es EU-Dienstleister gibt, die gleiche Leistungen anbieten können und keinen unmittelbaren und/oder keinen mittelbaren US-Bezug aufweisen. Dokumentieren Sie diese Prüfung insbesondere für den Fall, dass eine adäquate Leistung nicht in der EU erbracht werden kann
  • Prüfen Sie – auch wenn hier der US-Rückgriff nicht ausgeschlossenen werden kann – ob Sie die Verarbeitung zumindest vertraglich auf EU-Server beschränken können

Hoffen wir, dass die Politik hier nun schnell reagiert und für Rechtssicherheit sorgt.

Weiterführende Quellen: