Datenaustausch mit den USA

EuGH zerstört EU-US Privacy Shield

15.09.2020
Von   , ,  , Stefanie Hellmich und Laura Hoffmann
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Markus Heins, LL.M. ist Legal Counsel für digitale Produkte bei Wolters Kluwer in Deutschland. Zuvor arbeitete er als Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Unternehmen, die Datentransfers mit den USA betreiben, sollten prüfen, auf welchen Vertragsklauseln diese beruhen. Nach einem erneuten Gerichtsurteil bleibt nur noch eine Möglichkeit - die dieser Artikel beschreibt.
Der EuGH hat das EU-US Privacy Shield für ungültig erklärt. Das müssen Sie jetzt wissen.
Der EuGH hat das EU-US Privacy Shield für ungültig erklärt. Das müssen Sie jetzt wissen.
Foto: Lichtgeschwindigkeit - shutterstock.com

Max Schrems hat wieder zugeschlagen. Nachdem schon 2015 das Safe-Harbor-Abkommen gekippt wurde, stand nun der EU-US Privacy Shield auf der Agenda. Der Europäische Gerichtshof (EuGH) hat in seinem am 16.07.2020 verkündeten Urteil bekanntgegeben, dass seine Prüfung nichts ergeben hat, was die Gültigkeit der Standardvertragsklauseln der EU Kommission berühren könnte. Dagegen erklärte der EuGH das EU-US Privacy Shield für ungültig.

Der Druck steigt

Unmittelbar nach dem EuGH-Urteil hat die Datenschutzorganisation noyb ("none of your business") - von Max Schrems mitgegründet - gegen 101 Unternehmen in 30 Eu- und EWR-Mitgliedsstaaten Beschwerden wegen des Datentransfers in die USA unter dem nun unwirksamen Privacy Shield eingereicht. Betroffen sind in Deutschland zum Beispiel die Betreiber reichweitenstarker Webseiten wie chefkoch.de, express.de oder wiwo.de. Weil diese Unternehmen personenbezogene Daten an Google oder Facebook und damit in ein Drittland übermitteln, fordern die Aktivist/innen ein Einschreiten der Datenschutzbehörden und die Verhängung von Bußgeldern. Ihrer Ansicht nach gibt es für den Datentransfer keine Grundlage mehr, nachdem der EuGH die Unwirksamkeit des Privacy Shields und ggf. auch der Standarddatenschutzklauseln bei US-Unternehmen festgestellt habe. Daneben will noyb aber auch die US-Unternehmen selbst in die Pflicht nehmen: Sie hätten ihre Partner in der EU informieren müssen, wenn sie die Standarddatenschutzklauseln nicht einhalten können und seien dementsprechend für Schäden haftbar.

Praktische Unterstützung der Behörden eher spärlich

Angesichts dieser verstärkten Prüftätigkeit und der damit verbundenen zunehmenden Risiken erstaunt es, dass konkrete Hilfestellungen und Äußerungen der deutschen Datenschutzaufsichtsbehörden zu diesen Themen weiterhin eher spärlich zu finden sind. So hat hinsichtlich des Datentransfers außerhalb der EU und des EWR inzwischen immerhin der Landesdatenschutzbeauftragte Baden Württembergs (LfDI BW) eine Handreichung mit Hinweisen veröffentlicht. Denkbare Ausnahmen vom Übermittlungsverbot seien danach beispielsweise

  • ausreichend verschlüsselte Übertragungen, wenn nur der Datenexporteur den Schlüssel hat oder

  • anonymisierte/pseudonymisierte Daten, wenn nur der Datenexporteur eine Zuordnung vornehmen kann.

Darüber hinaus schlägt der LfDI BW eine Anpassung der Standardvertragsklauseln vor. Solche Änderungen sind jedoch nur in wenigen Fällen zulässig. So dürfen die Klauseln selbst nicht modifiziert oder durch Zusatzvereinbarungen aufgeweicht, sondern nur zusätzliche oder strengere Vorgaben gemacht werden. Es ist daher fraglich, ob tatsächlich alle Vorschläge des LfDI BW umsetzbar sind. Der LfDI BW zeigt dabei zwar Verständnis für die vom Urteil betroffenen Unternehmen und will sich daher am Grundsatz der Verhältnismäßigkeit orientieren. Dabei darf man sich aber keinen Illusionen hingeben.

Ausdrücklich kündigt die Behörde an, mit dem jüngsten Urteil unvereinbare Datentransfers zu unterbinden, wenn das Unternehmen nicht überzeugend darlegen kann, warum der aktuelle Datenimporteur für sie kurz- oder mittelfristig unersetzlich ist. Unternehmen sollten sich daher entsprechend vorbereiten und nachvollziehbar vermitteln, warum sie auf bestimmte Dienstleister außerhalb der EU/des EWR nicht verzichten können. Mag dies für tief verwurzelte, viel genutzte oder "alternativlose" Anwendungen wie Computer-Betriebssysteme, Office-Programme oder bestimmte Cloud-Services unter Umständen noch gelingen, dürfte dies im Bereich der Cookies, des Trackings und des Online-Marketings ungleich schwerer zu begründen sein.

noyb stellt frei verfügbare Fragebögen zur Verfügung

Die Organisation von Max Schrems noyb hat zwei Vorlagen für Fragebögen auf ihrer Webseite veröffentlicht, die frei verwendet werden dürfen:

  • Eine Vorlage richtet sich an US-Dienstleister, mit denen bisher Standardvertragsklauseln vereinbart waren.

  • Die andere Vorlage soll für Anfragen an Dienstleister in der EU bzw. im EWR verwendet werden, die US-Bezug aufweisen.

Die Fragebögen dienen dazu, das Risiko des Zugriffs der US-Geheimdienste auf die Datenübermittlung einzuschätzen. Die Dokumente sehen unter anderem die Frage vor, ob der Dienstleister oder z.B. Subunternehmer unter FISA fallen und fordern sie auf, ihre technischen und organisatorischen Maßnahmen zum Schutz der Transitübermittlung in die USA offenzulegen. Letzteres betrifft u.a. das sogenannte Upstream-Programm des US-Geheimdienstes, ein direktes Anzapfen der Datenkommunikation durch den Geheimdienst an Unterseekabeln. Eine im Fragebogen vorgesehene Antwortmöglichkeit ist, dass das Unternehmen gesetzlich verpflichtet ist, die Frage nicht zu beantworten. Dies zeigt eine weitere Hürde bei der Neuordnung der Datentransfers. Manche US-Anbieter sind überhaupt nicht befugt, zum Umfang der sie betreffenden Überwachung Auskunft zu erteilen.

Im besten Fall können Unternehmen mit Hilfe der Antworten zu den Fragebögen dokumentieren, dass ein US-Vertragspartner von Überwachungsmaßnahmen der US-Sicherheitsbehörden nicht betroffen ist, weil dieser nicht unter FISA, Executive Order 12.333 oder vergleichbare Gesetzgebung fällt. Die Antworten können aber auch geeignete Sicherungsmechanismen aufzeigen, die das Schutzniveau der Standardvertragsklauseln erhöhen. Gleichermaßen sensibilisieren die Fragen US-Vertragspartner in Bezug auf die Notwendigkeit, zusätzliche Sicherungsmechanismen umzusetzen. Sie sind jedenfalls ein hilfreiches Instrument, damit Unternehmen ihren Prüfpflichten nachkommen und gegebenenfalls weitergehende Maßnahmen bis hin zur Anpassung oder Beendigung der Vertragsbeziehung vorbereiten können. Auf der Grundlage der abgeschlossenen Standardvertragsklauseln können Unternehmen die Mitwirkung ihrer US-Vertragspartner einfordern.
Die Fragebögen von noyb können insoweit als Ausgangspunkt dienen, um sie an die spezifischen Besonderheiten des jeweiligen Vertragsverhältnisses anzupassen.

Lesetipp: Sind Ihre Cookie-Richtlinien rechtssicher?

Lesetipp: Microsoft im Clinch mit Datenschützern

Drittlandtransfer und geeignete Garantien

Nach der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (sog. Drittländer) übermittelt werden, wenn der Verantwortliche für den Datentransfer sog. geeignete Garantien vorsieht.
In Betracht kamen bis zum 16.07.2020:

  • Die Standarddatenschutzklauseln (vormals Standardvertragsklauseln).
    Bei den Standarddatenschutzklauseln handelt sich um von der Europäischen Kommission vorformulierte Vertragsklauseln, die in der Regel zwischen dem Verantwortlichen in der EU (Datenexporteur) und dem Datenempfänger im Drittland (Datenimporteur) vereinbart werden. Sie verpflichten den Datenempfänger auf die Einhaltung des Datenschutzes, um so ein angemessenes Datenschutzniveau zu gewährleisten.

  • Das EU-US-Privacy Shield (ab 16.07.2020 nicht mehr anwendbar!)
    Im Falle eines internationalen Datentransfer in die USA kommt neben den Standardvertragsklauseln auch das sog. EU-US-Privacy Shield als geeignete Garantie in Betracht. Beim Privacy Shield handelt es sich um einen Beschluss der Kommission. Der Nachfolger des Safe Harbor Abkommens, das bereits 2015 ebenfalls auf Initiative von Max Schrems gekippt wurde, stand unter Datenschützern aus den gleichen Gründen massiv in der Kritik.

Vorlagefragen: Schrems vs. Facebook

Der irische oberste Gerichtshof hat dem EuGH eine Reihe von Fragen vorgelegt, mit denen er im Wesentlichen die Wirksamkeit der Standarddatenschutzklauseln in Frage stellt. Hintergrund ist ein Rechtsstreit zwischen dem irischen Datenschutzbeauftragten sowie Facebook Ireland Ltd. und Maximilian Schrems, betreffend der Übermittlung von personenbezogenen Daten an die US-amerikanische Muttergesellschaft von Facebook.
Ausgangspunkt ist die Feststellung der gezielten und massenhaften Ermittlungsbefugnisse durch die amerikanischen Regierungsbehörden, insbesondere auf Basis des sog. CLOUD Acts (Clarifying Lawful Overseas Use of Data Act), unter gleichzeitigem Mangel von Rechtsbehelfen für EU-Bürger.

Angesichts dieser Feststellungen könnte nach Ansicht des irischen Gerichts eine Verletzung der Europäischen Grundrechte (Recht auf Achtung des Privatlebens, Schutz personenbezogener Daten, Recht auf einen wirksamen Rechtsbehelf) durch die Übertragung von Daten auf Grundlage der Standarddatenschutzklauseln in die USA in Betracht kommen. Die Standarddatenschutzklauseln gelten nur zwischen dem Datenexporteur und dem Datenimporteur und entfalten gegenüber nationalen Behörden eines Drittlandes keine Bindungswirkung.
Dies könnte in Verbindung mit den weitreichenden Befugnissen der amerikanischen Behörden dazu führen, dass die Standarddatenschutzklauseln keine geeigneten Garantien für den Schutz der personenbezogenen Daten bieten können. Konsequenz hieraus wäre aus Sicht des irischen Gerichtshofs letztlich die Unwirksamkeit der Standarddatenschutzklauseln.

Lesetipp: US CLOUD-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei

Wirksamkeit der Standardvertragsklauseln

Anders als der irische oberste Gerichtshof sieht der EuGH allerdings keinen Anlass von der Unwirksamkeit der Standardvertragsklauseln auszugehen. Dabei stellt er, wie bereits der Generalanwalt in seinen Schlussanträgen, fest dass die Wirksamkeit der Standarddatenschutzklauseln von dem Datenschutzniveau des Drittlands unabhängig sei. Die Klauseln sollen nämlich gerade eventuelle Unzulänglichkeiten im Vergleich mit dem europäischen Datenschutzniveau ausgleichen, indem sie geeignete Garantien für den Schutz personenbezogener Daten bieten.

Die Tatsache, dass die Sicherheitsbehörden in den USA weitreichenden Zugriff auf personenbezogene Daten haben, könne die Wirksamkeit der Standarddatenschutzklauseln daher nicht generell in Frage stellen. Vor allem da die Klauseln der EU Kommission die Möglichkeit vorsehen, einzelne Datenübertragungen auszusetzen oder zu verbieten ("Not-Stopp-Regelung"). Demnach könne der Verantwortliche oder - falls dieser nicht handelt - die Aufsichtsbehörden die Datenübermittlung aussetzen oder verbieten, wenn ein Verstoß gegen die Standardvertragsklauseln vorliegt. Das wäre ebenfalls der Fall, wenn sich ergibt, dass die Rechtsordnung des Drittlandes der Anwendung der Standarddatenschutzklauseln widerspricht und kein angemessener Schutz für die übermittelten Daten mehr besteht.

Wichtig ist, dass die Vertragspartner im EU-Ausland darauf hinweisen müssen, wenn sie die Vorgaben der Standarddatenschutzklauseln, zum Beispiel aufgrund lokaler gesetzlicher Vorgaben, nicht einhalten können.

Europäische Unternehmen tun gut daran, ausdrücklich eine Bestätigung ihrer Vertragspartner zu verlangen, dass die Regelungen der Standarddatenschutzklauseln eingehalten werden können.

Wirksamkeit des Privacy Shield

Obgleich es hauptsächlich um die Standarddatenschutzklauseln ging, hat der EuGH sich auch zur Wirksamkeit des EU-US Privacy Shields geäußert. Erwartungsgemäß wurde dies nun für ungültig erklärt. Grundlage hierfür sind unter anderem die durch Edward Snowden aufgedeckten Überwachungsmaßnahmen der US-Behörden. Sie begründen Zweifel an dem Bestehen eines der DSGVO im Wesentlichen vergleichbaren Schutzniveau für den Schutz personenbezogener Daten. Gerade dies war aber Grundlage des Beschlusses zum Privacy Shield. Die Rechtsgrundlagen für die Überwachungsmaßnahmen im US-amerikanischen Recht sind nach Ansicht des EuGH nicht klar und präzise genug formuliert, um Rechtssicherheit zu bieten und um Missbrauch vorzubeugen. Insbesondere ist problematisch, dass die Maßnahmen der US-Behörden weder im Vorfeld noch im Nachhinein von einer unabhängigen Stelle überprüft werden. Eine Benachrichtigung der betroffenen Person erfolgt nicht und ein wirksamer Rechtsbehelf gegen die Maßnahmen ist nicht vorgesehen. Auch die im Privacy Shield vorgesehene Einrichtung einer Ombudsperson ändert diese Einschätzung nicht.

Was Unternehmen jetzt tun können

Unternehmen deren Datenverarbeitungen nur auf dem EU-US Privacy Shield beruhen, sollten schnellstmöglich die Standardvertragsklauseln als alternative geeignete Garantie vereinbaren. So hat zum Beispiel Google inzwischen für die Anwendungen rund um Google Analytics entsprechende Standardvertragsklauseln bereitgestellt. Aber auch wenn bereits Standardvertragsklauseln vereinbart wurden, sollten die Unternehmen überprüfen, ob die jeweiligen Datenübermittlungen in ein Drittland DSGVO-konform sind. Dies gilt seit dem Brexit auch für einen Datentransfer nach Großbritannien.

Die Umstellung auf Standardvetragsklauseln kann auch dabei unterstützen, gegenüber einer Aufsichtsbehörde nachweisen zu können, dass ein Unternehmen die Thematik ernst nimmt. Dies kann im Fall des Falles auch die Argumentationsbasis in Bezug auf ein zu verhängendes Bußgeld verbessern. Dafür bieten sich folgende erste Schritte an:

  • Bestandsaufnahme: In welche Drittstaaten werden Daten exportiert? Um welche Daten handelt es sich und was ist bisher Grundlage des Transfers (Privacy Shield, Standardvertragsklauseln etc.)? Dabei sollten auch EU-Dienstleister in den Blick genommen werden, die Verbindungen in die USA oder andere Drittstaaten haben, z.B. deren Mutterkonzern oder Subunternehmer.

  • Sichere Drittstaaten erkennen: Für einige Drittstaaten besteht ein gültiger Angemessenheitsbeschluss, wonach ein gleichwertiges Datenschutzniveau besteht. Ein Transfer ist dann ohne weitergehende Regelung zulässig. Dies gilt z.B. für Kanada, Japan und die Schweiz. Hier ist die ausführliche Liste führt die Europäische Kommission.

  • Risikobewertung: Ein besonders hohes Risiko für den Schutz der Daten besteht u.a. bei der Übermittlung an Telekommunikationsdienstleister in den USA und bei sensiblen Daten (z.B. zu Gesundheit, Religion, Bankdaten). Unternehmen sollten ihre Dienstleister fragen, ob und wie sie ein angemessenes Datenschutzniveau sicherstellen. Dabei können die Fragebögen von noyb als Ausgangspunkt verwendet werden.

  • Dienstleister ersetzen, wenn nötig: Besonders risikoreiche Dienstleistungen, auf die Unternehmen zeitweise verzichten können, sollten zumindest vorübergehend bis zur Klärung der Rechtslage abgeschaltet werden. Dies kann z.B. für Webseiten-Analyse-Tools recht einfach vorgenommen werden. Es sollte zudem geprüft werden, ob Dienste durch andere Anbieter ohne Datentransferproblematik ersetzt werden können. Kann auf risikobehaftete Dienstleister absolut nicht verzichtet werden, ist ein Unternehmen nach Auffassung des Europäischen Datenschutzausschusses verpflichtet, die Weiternutzung der zuständigen Aufsichtsbehörde mitzuteilen.

  • Zusätzliche Vereinbarungen, wenn möglich: Soweit der Dienstleister hierzu bereit ist, können zusätzliche Garantien vereinbart werden. Dies kann durch die Ergänzung der Standardvertragsklauseln erfolgen, aber auch durch rein faktische Sicherungsmaßnahmen wie Verschlüsselung der Daten. Welche Maßnahmen die Aufsichtsbehörden als angemessen betrachten, ist derzeit allerdings noch weitgehend offen.

Während Max Schrems auf Twitter bereits mit Interessierten diskutiert, heißt es für die EU sowie für Firmen, die Datentransfer mit den USA betreiben, zu reagieren. Dies gilt umso mehr, als dass die ersten 101 Beschwerden von noyb vermutlich nur die Spitze des Eisbergs sein werden. Weitere Beschwerden und Beanstandungen - auch von Nutzern oder Wettbewerbern - dürften zu erwarten sein.

Die EU Kommission ist gefordert, den betroffenen Unternehmen Alternativen zum EU Privacy Shield aufzuzeigen. Bereits im Vorfeld hat sich die EU Kommission mit diesem Szenario befasst. Ob es aber zeitnah zu einem neuen Beschluss kommt, ist jedoch mehr als fraglich. (bw)