juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Anmerkung zu:EuGH, Urteil vom 16.07.2020 - C-311/18
Autor:David Seiler, RA und Lehrbeauftragter
Erscheinungsdatum:18.08.2020
Quelle:juris Logo
Norm:EUV 2016/679
Fundstelle:jurisPR-BKR 8/2020 Anm. 1
Herausgeber:Prof. Dr. Stephan Meder, Universität Hannover
Dr. Anna-Maria Beesch, RA'in und FA'in für Bank- und Kapitalmarktrecht
Zitiervorschlag:Seiler, jurisPR-BKR 8/2020 Anm. 1 Zitiervorschlag

EU-US-Privacy-Shield ungültig und Standardvertragsklauseln nur mit Einzelfallprüfung - zugleich Anm. zu EuGH, Urt. v. 16.07.2020 - C-311/18

A. Problemstellung

I. Die „Schrems I“- und „Schrems- II“- Entscheidung im Problemkontext

Der EuGH hatte mit Urteil vom 06.10.2015 (C-362/14 „Schrems I“1) die Regelung zum Datentransfer in die USA, bekannt unter dem Stichwort „Safe Harbor“, für ungültig erklärt.2 Danach war es möglich, dass sich Unternehmen aus den USA beim US-Handelsministerium registrieren als Unternehmen, die einen der EU vergleichbaren Datenschutzstandard einhalten wollen. Damit sollten diese Unternehmen zu einem sicheren Hafen für Daten von EU-Bürgern in den USA werden. Auf dieser Grundlage konnten dann Unternehmen in der EU personenbezogene Daten an die US-Unternehmen übermitteln.

Als Nachfolgeregelung kam es nach Verhandlungen zwischen der EU-Kommission und dem US-Handelsministerium 2016 zum EU-US-Privacy-Shield. Hierzu veröffentlichte die EU-Kommission am 01.08.2016 einen Angemessenheitsbeschluss (im EuGH-Urteil „DSS“ abgekürzt), mit dem sie feststellte, dass bei Unternehmen, welche die Regelungen als für sich verbindlich anerkannt haben, ein angemessenes Datenschutzniveau besteht und sie Daten von EU-Bürgern importieren können.3

Der EuGH hat nun in der Besprechungsentscheidung vom 16.07.2020 (C-311/18) ab sofort die Datenübermittlung aus der EU in die USA für datenschutzwidrig erklärt, wenn diese auf das vom EuGH ebenfalls für ungültig erklärte Folge-Datenschutzabkommen EU-US-Privacy-Shield gestützt wurde.4 Außerdem hat der EuGH die Datenschutzaufsichtsbehörden aufgefordert, Datenübermittlungen auf der Grundlage von EU-Standardvertragsklauseln zu verbieten, wenn im Zielland diese Klauseln aufgrund der dortigen Gesetze nicht eingehalten werden können. Das ist nach der Argumentation des EuGH in den USA der Fall.

Die Auswirkungen des EuGH-Urteils sind immens, da es einerseits sehr viele Bereiche der Datenverarbeitung betrifft – vom Betriebssystem über Office-Software und Videokonferenzlösungen, Cloudspeicherdienste bis zu Social-Media- und Online-Marketingaktivitäten – und andererseits die rechtskonformen Lösungsmöglichkeiten schwer zu finden sind, bei zudem gleichzeitig erheblichen Bußgelddrohungen (Art. 83 Abs. 5 Buchst. c DSGVO – bis zu 20 Mio. Euro oder 4% des Jahresgesamtumsatzes) und der Gefahr von Schadensersatzforderungen und Schmerzensgeldklagen (Art. 82 DSGVO) von Betroffenen. Überdies kann die Datenschutzaufsicht auch die Datenverarbeitung direkt untersagen (Art. 58 Abs. 2 Buchst. f DSGVO). Es besteht also dringender Handlungsbedarf (vgl. u.); alle Datenverarbeitungsprozesse sind auf US-Bezug zu untersuchen und ggf. anzupassen, zu ändern oder notfalls auch einzustellen. Gleiches gilt auch für andere, nicht als sicher eingestufte Nicht-EWR-Staaten.

Die besprochene Entscheidung des EuGH zu zentralen Fragen der internationalen Datenverarbeitung hat großes Aufsehen erregt, erschüttert es doch die Grundfesten der aktuellen Praxis. Dabei war das jetzige Urteil, mit dem das EU-US-Privacy-Shield für ungültig erklärt worden ist, nach dem Urteil des EuGH aus dem Jahr 2015 zur Ungültigkeit des Safe Harbor-Beschlusses („Schrems I“5 „Schrems I“.) zu erwarten.

Aber anstatt die damalige Diskussion als Weckruf für die EU-IT-Anbieter zu verstehen und seitens der Kunden auf EU-basierte Lösungen umzustellen, besteht der Eindruck, dass sich das Problem durch die noch größer gewordene US-Dominanz im IT-Bereich und die zunehmende Nutzung von Cloud-Services nochmals verschärft hat. Dies gilt umso mehr, als gerade durch den Lockdown in der Corona-Pandemie verstärkt Homeoffice-Lösungen einschließlich Videokonferenzsystemen von US-Anbietern genutzt werden.6

Es war absehbar, dass die rechtliche Absicherung der IT-Leistungen aus den USA durch EU-US-Privcay-Shield und EU-Standardvertragsklauseln (Standard Contractual Clauses = SCC) nur auf juristischem Treibsand gebaut war, der jetzt weitgehend weggebrochen ist. Anders als nach der „Schrems I“-Entscheidung können die Datenschutzaufsichtsbehörden keine faktische Übergangsfrist gewähren, die einer Missachtung des EuGH und der DSGVO gleichkäme. Zudem sind auch die Standardvertragsklauseln als Alternativlösung nur nach Einzelfallprüfung verwendbar. Dabei wird man neben den im Besprechungsurteil genannten US-Überwachungsprogrammen auch den CLOUD Act vom 02.06.20187 berücksichtigen müssen, wonach die US-Unternehmen auch Daten von Tochterfirmen im Ausland, auch in der EU, an US-Sicherheitsdienste herausgeben müssen. Hintergrund war ein Verfahren im Jahr 2013, in dem sich Microsoft gegen das Verlangen gerichtlich zur Wehr setzte, E-Mail-Inhalte von Hotmail aus Dublin herauszugeben.

Neben den rechtlichen Problemen gibt es zusätzlich das technische Problem, dass es nicht für alle US-basierten Datenverarbeitungen gleich gute oder gleich günstige europäische Alternativen gibt. Selbst wenn europäische Alternativen bereitstehen, lassen sich Migrationsprozesse jedenfalls nicht von einem auf den anderen Tag umsetzen.

II. Rechtlicher Zusammenhang

Die Verarbeitung von Informationen über lebende Menschen (= personenbezogene Daten) ist durch das Datenschutzgrundrecht der EU-Grundrechtscharta (Art. 8) geschützt und in der EU-Datenschutzgrundverordnung (DSGVO) konkret geregelt. Dabei wird davon ausgegangen, dass die Verarbeitung von Daten in der EU mit einem angemessenen Datenschutzniveau erfolgt. Dazu gehört insbesondere, dass Daten nur mit einer Rechtsgrundlage verarbeitet werden (Art. 6 DSGVO), und dass sich betroffene Personen notfalls vor Gericht gegen unrechtmäßige Verarbeitung ihrer Daten wehren können (Art. 82 DSGVO). Bei Ländern außerhalb der EU – sog. Drittstaaten bzw. Drittländer – besteht die Grundannahme, dass die Grundrechte der betroffenen Personen gefährdet werden, wenn deren Daten dort verarbeitet werden (Art. 44 DSGVO, Erwägungsgrund 116; Kurzpapier Nr. 4 der DSK).

Datenverarbeitung ist dabei als Oberbegriff für den gesamten Lebenszyklus der Daten von deren Erfassung bis zu deren Löschung zu verstehen (Art. 4 Nr. 2 DSGVO). Daher ist auch das bloße Speichern von Daten in einer Cloud, aber auch das Übermitteln in Form des Einsichtgewährens im Rahmen von Fernwartungszugriffen als Datenverarbeitung von der DSGVO erfasst.

Um nun doch Daten in einem Drittland verarbeiten zu dürfen, muss dort ein angemessenes Datenschutzniveau bestehen (Art. 44 DSGVO). Jemand (z.B. ein Unternehmen), der für die Verarbeitung von Daten verantwortlich ist (= Verantwortlicher, Art. 4 Nr. 7 DSGVO) muss also in zwei Schritten prüfen, ob er

a) überhaupt die Daten verarbeiten darf und

b) ob er diese in einem Drittstaat verarbeiten (lassen) darf.

Zu den Kriterien für ein angemessenes Datenschutzniveau gehören die Unabhängigkeit der Datenschutzaufsichtsbehörde und ein auch für betroffene EU-Bürger wirksames und durchsetzbares Recht sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe, um deren Datenschutzrechte wahrnehmen zu können.

Um diese Prüfung nicht jedem Verantwortlichen zuzumuten, hat die EU-Kommission für einige Länder durch Beschluss das angemessene Datenschutzniveau festgestellt (Art. 45 DSGVO). Zu diesen sicheren Drittstaaten gehören: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay,

Japan und (bis zum 16.07.2020) USA, wenn der Empfänger dem EU-US-Privacy Shield (EU-US-Datenschutzschild) angehört.

Daneben hat die EU-Kommission Musterverträge für andere Staaten bereitgestellt, um auf vertraglichem Wege ausreichende Garantien für ein angemessenes Datenschutzniveau für Verarbeiter im jeweiligen Drittland sicherzustellen (Art. 46 Abs. 2 Buchst. c DSGVO). Diese Musterverträge werden Standardvertragsklauseln (SCC – im EuGH-Urteil „SDK“ abgekürzt) oder auch EU-Model-Clauses genannt.

Schließlich gibt es noch einige in Art. 49 DSGVO geregelte Ausnahmefälle.

B. Inhalt und Gang der Entscheidung

I. Sachverhalt

Der Hohe Gerichtshof in Irland hatte Anfang Mai 2018, also kurz vor Inkrafttreten der DSGVO am 25.05.2018, dem EuGH ein Vorabentscheidungsersuchen in einem Verfahren der irischen Datenschutzaufsicht gegen Facebook Irland und Maximilian Schrems vorgelegt. Es ging im Wesentlichen darum, ob und auf welcher rechtlichen Grundlage Facebook Irland Ltd. personenbezogene Daten von EU-Bürgern an Facebook Inc. in den USA übermitteln darf. Hierzu muss die Gültigkeit des EU-US-Privacy-Shield sowie der EU-Standardvertragsklauseln bzw. der dazu ergangenen Beschlüsse der EU-Kommission geprüft werden. Der EuGH legte zunächst alle relevanten Regelungen dar, insbesondere die zum Zeitpunkt der Einreichung der Klage gültige EU-Datenschutzrichtlinie von 1995, das Datenschutzgrundrecht der EU-Grundrechtscharta, die relevanten Artikel der DSGVO sowie den DSS-Beschluss der EU-Kommission zum EU-US-Privcy-Shield (Rn. 45). In diese Darstellung bezog der EuGH auch die Gesetze zu Auslandsaufklärung der US-Geheimdienste und die Überwachungsprogramme wie PRISM und UPSTREAM ein (Rn. 45, 61, 62). Facebook Irland bezog sich zur Übermittlung der Daten von Herrn Schrems in die USA auf Standardvertragsklausen. Schrems wendete ein, dass Facebook USA verpflichtet sei, diese Daten der NSA und dem FBI zur Verfügung zu stellen (Rn. 55).

II. Zulässigkeit

Zunächst bejahte der EuGH die Zulässigkeit des Vorabentscheidungsersuchens. Auch wenn es noch unter der Datenschutzrichtlinie eingelegt wurde, die zwischenzeitlich durch die DSGVO ersetzt wurde, sind die gestellten Fragen unter dem jetzt geltenden Recht, der DSGVO, zu beantworten.

III. Anwendungsbereich

Materiell stellt die Übermittlung personenbezogener Daten in ein Drittland eine Verarbeitung personenbezogener Daten dar (Art. 4 Nr. 2 DSGVO), die in den Anwendungsbereich der DSGVO fällt (Art. 2 Abs. 1 DSGVO, Rn. 83). Auch wenn die Daten nach der Übermittlung in die USA von den US-Geheim- und Sicherheitsdiensten „durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden und dies nach Art. 2 Abs. 2 Buchst. d DSGVO nicht in den Anwendungsbereich der DSGVO fällt, stellt der EuGH dennoch zutreffend auf die nicht unter diese Regelung fallende Datenübermittlung zwischen zwei Unternehmen zu Geschäftszwecken ab (Rn. 86, 89).

IV. Standardvertragsklauseln

Die Standardvertragsklauseln wurden noch unter altem Recht entwickelt und in die DSGVO-Zeit übernommen. Daher prüfte der EuGH die Musterverträge anhand der Kriterien des Datenschutzgrundrechts und des Art. 46 DSGVO für geeignete Garantien, durchsetzbares Recht und wirksame Rechtsbehelfe. Auch wenn die Daten auf der Grundlage der Standardvertragsklauseln verarbeitet werden, müssen sie geeignete Garantien, durchsetzbares Recht und wirksame Rechtsbehelfe für EU-Bürger gewährleisten können. Dabei sind etwaige Zugriffsrechte von Behörden des Drittlandes, sowie die Rechtsstaatlichkeit und Unabhängigkeit der Datenschutzaufsicht zu berücksichtigen (Art. 45 DSGVO, Rn. 105).

Der EuGH stellte im Besprechungsfall logisch zwingend fest, dass die Standardvertragsklauseln nur die Parteien und nicht die Behörden im Drittland (insbesondere Geheim- und Sicherheitsdienste) binden können (Rn. 125). Das Problem könne durch Ergänzung der Vertragsklauseln mit zusätzlichen Garantien gelöst werden (Rn. 132), wobei offenblieb, welche der EuGH meint. Oder der Verantwortliche müsse zusätzliche Maßnahmen ergreifen, um das Schutzniveau zu gewährleisten (Rn. 133). Auch hier blieb offen, welche Maßnahmen gemeint sind. Vorstellbar ist insbesondere die Verschlüsselung der Daten.

Wenn weder Vertragsergänzungen noch zusätzliche Schutzmaßnahmen möglich sind, ist in erster Linie der Verantwortliche und, wenn dieser nicht entsprechend handelt, in zweiter Linie auch die Datenschutzaufsicht verpflichtet, die Datenübermittlung in das Drittland auszusetzen oder zu beenden (Rn. 135), wenn das Recht des Drittlandes im Widerspruch zu den vertraglichen Regelungen steht und diese somit untergraben werden.

Praktisch spannend ist, dass der EuGH die Pflicht der Datenempfänger aus den Standardvertragsklauseln betont, von sich aus auf den Datenexporteur zuzugehen und ihn unverzüglich darüber zu informieren, dass er die vertraglichen Pflichten nicht einhalten könne (Rn. 139). Der Verantwortliche ist dann vertraglich zum Rücktritt vom Vertrag berechtigt (Rn. 140). Der Verantwortliche und der Empfänger im Drittland sind verpflichtet zu prüfen, ob im Drittland die Vertragsklauseln eingehalten und das Datenschutzniveau gewährleistet werden kann. Ist die Datenübermittlung in ein trotz Standardvertragsklauseln unsicheres Drittland betroffen, so sind bei der Verarbeitung besonderer Arten personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten oder Religionszugehörigkeit aus Personal- oder Kreditakten) die betroffenen Personen davon in Kenntnis zu setzen (Rn. 144; vgl. Art. 34 DSGVO).

Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, unzulässige Datenexporte zu verbieten (Rn. 135, 146), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach europäischem Recht eine abschreckende Höhe aufweisen.

Die nationale Aufsichtsbehörde ist trotz Beschluss der EU-Kommission zu den Standardvertragsklauseln berechtigt, eine darauf basierende Datenübermittlung in ein Drittland, in dem die Klauseln nicht eingehalten werden können, auszusetzen oder zu verbieten (Rn. 146). Allerdings soll im Interesse der Einheitlichkeit der Europäische Datenschutzausschuss um eine verbindliche Stellungnahme bei divergierende Entscheidungen nationaler Aufsichtsbehörden gebeten werden.

V. Aufsichtsbehörden

Die nationalen Datenschutz-Aufsichtsbehörden haben die Pflicht, Beschwerden (wie denen von Herrn Schrems) nachzugehen (Rn. 109). Die Behörden haben weitreichende Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO) und sind verpflichtet, die Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie zum Ergebnis kommen, dass die Regelungen der Standardvertragsklauseln nicht eingehalten werden können (Rn. 113). Notfalls muss die Aufsichtsbehörde sogar vor einem Gericht einen Angemessenheitsbeschluss der EU-Kommission angreifen mit dem Ziel, diesen vom EuGH überprüfen und ggf. für ungültig erklären zu lassen (Rn. 120).

VI. DSS-Beschluss zum EU-US-Privacy-Shield

Sodann untersucht der EuGH das Datenschutzniveau auf der Grundlage des EU-US-Privacy-Shield näher, geht auf die Überwachungsprogramme in den USA ein und betont die zentrale Bedeutung eines wirksamen Rechtsweges für einen Rechtsstaat (Rn. 187). Das Ombudsmann-Verfahren des Privacy-Shields erfüllt diese Anforderungen nicht. Das Privacy-Shield gewährleistet die Datenschutz- und Rechtsstaatsgrundrechte nicht und ist daher ungültig. (Rn. 201).

C. Kontext der Entscheidung

Die besprochene Entscheidung steht im Kontext mit der „Schrems I“-Entscheidung8 und der zwischenzeitlich geltenden DSGVO mit ihren wesentlich schärferen Sanktionsdrohungen, verbunden mit der zunehmenden Praxis, auch in Deutschland Bußgelder wegen Datenschutzverstößen in Millionenhöhe zu verhängen. Nach dem „Schrems I“-Urteil hatte die Datenschutzaufsicht in Hamburg noch nach altem Recht Bußgelder im unteren fünfstelligen Bereich gegen Unternehmen verhängt, die die Entscheidung trotz Vorwarnung nicht umgesetzt hatten.

Banken sollten auch etwaige Auswirkungen der Entscheidung auf das SWIFT-Abkommen prüfen, zumal die Zahlungsverkehrsdaten im Rahmen des Programms TFTP (Terrorist Finance Tracking Program) ausgewertet werden.

Im Rahmen von E-Discovery-Verfahren, an denen Banken aus der EU in den USA beteiligt sind, stellen Standardvertragsklauseln eine gängige Absicherung bei der Beauftragung von Recherche- und Übermittlungsdienstleistern dar, die ebenfalls dahingehend überprüft werden müssen, ob nicht eine der Ausnahmeregelungen des Art. 49 Abs. 1 Buchst. e DSGVO genutzt werden kann („die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich“).

Die Datenübermittlung im Rahmen von Wertpapiergeschäften an ausländische Börsen kann unter die Vertragserfüllung fallen (Art. 49 Abs. 1 Buchst. b DSGVO). Entsprechendes gilt für die Zahlungsverkehrsabwicklung über US-Kreditkartenfirmen. Dabei ist wie generell zu beachten, ob die Verarbeitungsverzeichnisse (Art. 30 DSGVO) und die Datenschutzinformationen (Art. 13 DSGVO) überarbeitet werden müssen.

Der Kläger im Ausgangsfall, Herr Schrems, geht mit seiner Datenschutzorganisation inzwischen auch gegen Auskunfteien und ihr intransparentes Bonitäts-Scoring vor.9

Stellt man die Entscheidung in den Kontext des Sicherheitsbedürfnisses der USA und der aktuellen Politik, wird kaum davon auszugehen sein, dass es trotz bereits begonnener Verhandlungen über eine Nachfolgeregelung zwischen EU-Kommission und US-Handelsministerium zu einem Ergebnis kommen wird, welches einer neuerlichen Überprüfung durch den EuGH standhält.

D. Auswirkungen auf die Praxis

Der EuGH hat nun entschieden, dass der Beschluss der EU-Kommission zum EU-US-Privacy-Shield ungültig ist. Damit sind alle (nur) darauf gestützten Datenübermittlungen in die USA ab sofort rechtswidrig, und zwar ohne Übergangsfrist. Eine rechtswidrige Datenübermittlung ist – angesichts der Sanktionsdrohungen der DSGVO (Bußgelder bis zu 20 Mio. Euro oder 4% des Jahresgesamtumsatzes), aber auch möglicher Abmahnungen von Mitbewerbern und Verbänden oder, wie der EuGH in seinem Urteil betont, etwaiger Schadensersatzforderungen von Betroffenen – ein erhebliches unternehmerisches Risiko, um das sich die Unternehmensführung dringend umgehend kümmern muss: eine Bestandsaufnahme ist durchzuführen und Handlungsoptionen sind zu prüfen.

Weiter hat der EuGH zwar entschieden, dass die Standardvertragsklauseln nicht per se ungültig sind, aber dass die Datenschutzaufsichtsbehörden das Recht (und spätestens wenn eine Beschwerde vorliegt, auch die Pflicht) haben, zu prüfen, ob der Vertragspartner im Drittland sich aufgrund der nationalen Gesetze, denen er in seinem Sitzland unterliegt, überhaupt an die Standardvertragsklauseln halten kann. Sollte dies nicht der Fall sein, muss die Datenschutzaufsicht die Datenübermittlung in das Drittland untersagen. Der EuGH hat auch die Pflicht des Datenimporteurs sowie des Datenexporteurs betont, die Effektivität der Vertragsklauseln im Zielland zu prüfen und notfalls die Datenübermittlung einzustellen. Die LDA Berlin etwa betont, dass die Daten wieder zurückzuholen sind. Der reine Abschluss von Vertragsklauseln ohne Prüfung der Rechtslage im Drittstaat (die auch zu dokumentieren ist, Art. 5 Abs. 2 DSGVO) genügt nicht. Diese Überprüfungspflicht gilt für alle Drittstaaten, wobei namentlich auch China, Russland und Indien genannt werden.

Überträgt man die Begründung, mit der der EuGH das EU-US-Privacy-Shield für ungültig erklärt hat, auf die Standardvertragsklauseln mit US-Firmen, die ja nur zwischen den Vertragsparteien wirken und nicht nationale Sicherheitsgesetze und Geheimdienstmaßnahmen aushebeln können, kommt man zwangsläufig zum Schluss, dass man auch durch Standardvertragsklauseln mit US-Unternehmen kein angemessenes Datenschutzniveau wird sicherstellen können. Entsprechendes gilt in internationalen Konzernen für Bindung Corporate Rules (BCR). Dies gilt auch dann, wenn man versucht, zusätzliche Vertragsklauseln zu vereinbaren, da diese unter dem gleichen Grundproblem leiden. Zum gleichen Ergebnis kann man auch bei anderen Drittländern kommen. Der EuGH konnte das jedoch nicht generell für alle Staaten prüfen und hatte daher auch keinen Anlass, die Standardvertragsklauseln generell für ungültig zu erklären. Statt dessen überlässt er die Beurteilung dem verantwortlichen Datenexporteur und den Aufsichtsbehörden.

I. Was ist nun zu tun?: Umgehende Bestandsaufnahme und Prüfung von Handlungsoptionen

1. Bestandsaufnahme der Datenübermittlungen in Drittländer (außerhalb EU)

Zunächst ist es wichtig zu verstehen, dass die IT-Industrie US-dominiert ist und mehr noch als beim ersten EuGH-Urteil zur Drittstaatendatenübermittlung (Stichwort Safe Harbor – „Schrems I“) immer mehr Datenverarbeitung in „der Cloud“ stattfindet. Auch deutsche und europäische Anbieter greifen für ihre Services vielfach auf US-Unternehmen als Subunternehmer zurück, z.B. auf Amazon Web Service (AWS). Daher sollte in einem ersten Schritt eine komplette Aufstellung aller IT-Dienstleister, mit denen man zusammenarbeitet, gemacht werden, einschließlich deren Subunternehmen.

Oft dürften sich Unternehmen nicht darüber im Klaren sein, von wem und wo überhaupt die Leistung, die sie aus dem Netz beziehen, letztendlich bereitgestellt wird, obwohl man datenschutzrechtlich in der Pflicht ist, diese Prozesse zu durchdringen, da man für die Verarbeitung der Daten verantwortlich ist. Spätestens jetzt ist es an der Zeit, in die Tiefe zu gehen.

Der eine Weg, sich Klarheit zu verschaffen, ist in den Verträgen nachzulesen. Oft finden sich die erforderlichen Angaben in Serviceverträgen, den Softwarepflegeverträgen, in Verträgen zur Auftragsverarbeitung (Art. 28 DSGVO) oder deren Anlagen, z.B. der Anlage Subunternehmer (vgl. Art. 28 Abs. 2 Satz 1, Abs. 4 DSGVO).

Wenn sich daraus nichts ergibt, sollte man unter Verweis auf das EuGH-Urteil die Unternehmen bzw. Dienstleister anschreiben und direkt nach Datenübermittlung in die USA – auch durch etwaige Subunternehmer – fragen. Dies sollte verbunden werden mit der Frage danach, welchen Gesetzen die Dienstleister und deren Subunternehmen in den USA unterliegen (insbesondere Abschnitt 702 FISA (Foreign Intelligence Surveillance Act) und EO 12333 (Executive Order)), und ob die EU-Standardvertragsklauseln und das darin vorgesehene Datenschutzniveau gewährleistet werden können, ob betroffene EU-Bürger im Drittland Rechtsschutz genießen und ob sie notfalls ihre Datenschutzrechte gerichtlich durchsetzen könnten. Der Kläger des EuGH-Verfahrens, Herr Schrems, hat Muster-Anschreiben zum Download bereitgestellt.

Betroffen sein kann alles: angefangen vom Betriebssystem über Standard-Office-Produkte wie Office 365 und Microsoft Teams, Videokonferenzsysteme, Webtracking und Cookies, Social-Media-Auftritte bei Facebook u.a., Webseiten, Newsletter-Provider, File-Transfer-Dienstleister etc.

Die Bestandsaufnahme sollte eine Liste ergeben mit den Vertragspartnern, den Gesetzen, denen die Vertragspartner im Drittland unterliegen, deren Produkt, Gegenstand des Produktes bzw. der Art der Dienstleistung, Grundlage der Drittstaatenübermittlung (EU-US-Privacy-Shield und/oder Standardvertragsklauseln, BCR etc.), inklusive etwaiger Subunternehmer.

Ausgehend davon gilt es etwaige Handlungsoptionen zu sondieren.

2. Handlungsoptionen nach dem EuGH-Urteil zu „Schrems II“ und „Privacy Shield“

Von einer Handlungsoption ist jedenfalls abzuraten: Abwarten. Nach dem „Schrems I“-Urteil hatten die Aufsichtsbehörden zwar zum Handeln aufgefordert und in einzelnen Fällen auch fünfstellige Bußgelder nach altem Recht verhängt, aber doch – zum Ärger des EuGH10 – mehrheitlich drei bis sechs Monate nichts proaktiv unternommen. Parallel wurde dann das Nachfolgeabkommen zu Safe Harbor (der sichere Datenhafen) verhandelt, wobei eben nicht mehr herauskam als das jetzt aufgehobene EU-US-Privacy-Shield.

Da Hintergrund der US-Überwachungsprogramme das hohe Sicherheitsbedürfnis der USA nach den Anschlägen vom 11. September auf das World Trade Center mit den aus Hamburg kommenden Piloten ist, wäre es m.E. naiv anzunehmen, dass sich die USA gerade unter der Trump-Regierung darauf einlassen, ein den EU-Datenschutzgrundrechten entsprechendes Datenschutzniveau mit Klagebefugnissen für EU-Bürger und einer unabhängigen Datenschutzaufsicht einzuführen. Auch wenn die betroffenen US-IT-Unternehmen Lobbyarbeit betreiben werden, um ihre europäischen Kunden nicht zu verlieren, so zeigt doch die Erfahrung mit dem Cloud-Act – mit dem sich die US-Sicherheitsdienste auch Zugriff auf Daten, die US-Unternehmen im Ausland speichern, sichern –, dass die Sicherheitsinteressen über den wirtschaftlichen Interessen stehen.

Also gilt es, rechtliche, technische oder organisatorische Alternativen zu prüfen. Welche das sein könnten, hat – soweit ersichtlich – noch keine Aufsichtsbehörde verlautbart. Auch der EDPB schreibt in seinen FAQs, dass sie noch „am Prüfen“ sind.

Es sollten zunächst rechtliche Alternativen geprüft werden. Es gibt in der DSGVO noch andere Regelungen, auf die sich eine Drittstaatenübermittlung stützen lässt: Ausnahmen für bestimmte Fälle (Art. 49 DSGVO). Jedoch sind das eher Ausnahmen wie die Rechtsdurchsetzung oder Verteidigung. (Art. 49 Abs. 1 Buchst. e DSGVO), die Erfüllung von Verträgen mit US-Bezug (z.B. Hotel-Buchung in New York, Art. 49 Abs. 1 Buchst. b DSGVO) oder die eher unpraktikable Einholung von Einwilligungen von allen Betroffenen (Art. 49 Abs. 1 Buchst. a DSGVO).

Neben dem organisatorischen Aufwand, Einwilligungen einzuholen, sind die rechtlichen Hürden für eine wirksame Einwilligung hoch. Um eine wirksame Einwilligung (Art. 7 DSGVO) einzuholen, muss über die Datenverarbeitung an sich, aber auch über das Risiko der Übermittlung in Drittländer mit staatlichen Zugriffsmöglichkeiten und ohne angemessene Datenschutzaufsicht und mit unzureichenden Rechtsschutzmöglichkeiten transparent informiert werden. Zudem steht die Einwilligung als Grundlage zur Datenverarbeitung immer unter dem Damoklesschwert der jederzeitigen und freien Widerrufbarkeit.

Der EuGH stellt sodann in Rn. 140 des Besprechungsurteils fest, dass der Verantwortliche zu einer Aussetzung der Datenübermittlung oder zum Rücktritt vom Vertrag verpflichtet ist, wenn der Empfänger der Daten, also der Vertragspartner in den USA, nicht oder nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten. Entsprechendes gilt natürlich auch, wenn die Übermittlung nur auf das ungültige EU-US-Privacy-Shield gestützt wurde. Wer gleichwohl weiterhin Daten in unsichere Drittländer übermittelt, z.B. auf der Grundlage von Standardvertragsklauseln, soll dies seiner zuständigen Datenschutzaufsichtsbehörde nach Ansicht des Europäischen Datenschutzausschusses anzeigen. Eine Rechtsgrundlage für die Selbstanzeigepflicht nennt der EDPB zwar nicht, man könnte jedoch an die Meldepflicht bei Datenpannen (Art. 33 DSGVO) denken.

Realistischer erscheint es, dass sich die US-IT-Industrie bewegt, so wie es etwa Microsoft zum Teil schon bei der Auseinandersetzung mit der Regierung um Herausgabe von E-Mails aus einem Rechenzentrum von Microsoft in Irland gemacht hat. Man gründet Tochtergesellschaften in der EU oder verlagert die Datenverarbeitung auf IT-Dienstleister in der EU (z.B. T-Systems als Datentreuhänder).

Aufsichtsbehörden schlagen vor, zu europäischen Anbietern zu wechseln. Zum einen gibt es jedoch, wie oben ausgeführt, nicht für jedes IT-Dienstleistungsangebot eine gleichwertige europäische Alternative. Zum anderen ist es sehr zeitaufwändig, ein bestehendes IT-System durch ein anderes abzulösen. Migrationsprozesse lassen sich nicht auf Knopfdruck von einem auf den anderen Tag umsetzen. Das bedeutet nicht, dass man sich nicht sowohl seitens der europäischen IT-Dienstleister als auch seitens der europäischen Kunden auf den Weg machen sollte.

Eine Alternative bleibt noch: Die Daten mit sicheren Tools gut zu verschlüsseln. Dann aber bitte nicht mit US-Tools, denn diese haben mit hoher Wahrscheinlichkeit einen Nachschlüssel für US-Geheimdienste.

3. Beispiel für eine Bestandsaufnahme bei Webseite und Handlungsoptionen

Zunächst sollte der Vertragspartner im Drittland, die eingesetzte Software und deren Einsatzzweck erfasst werden.

1.
Google – Google Analytics – Webseitenerfolgsmessen
2.
Google – Google Maps – Karten u. Routenplanung
3.
Google – YouTube – Videoplattform
4.
Google – reCAPTCHA – Sicherheitsabfragen zum Spam-Schutz
5.
Google – Google Fonts – Schriften für Webseiten

Sodann ist die Erforderlichkeit der Software bzw. die Möglichkeit eines Verzichts oder einer alternativen Anwendung zu prüfen.

zu 1. Alternative: local installierte Anwendung „Matomo“

zu 2. Open Street Maps oder Link zu Google erst nach Einwilligung freischalten

zu 3. Standbild einbinden und Link zu Google erst nach Einwilligung freischalten

zu 4. ggf. Alternativen testen oder Link zu Google erst nach Einwilligung freischalten

zu 5. Schriften auf eigenem Server speichern und vom dort aus abrufen

Weitere Beispiele für Handlungsoptionen:

statt Cloud-Speicherdienste wie Dropbox, Google Drive, MS One Drive -> selbst oder in einem deutschen Rechenzentrum gehostete NextCloud nutzen;
statt Google Calendar -> NextCloud Calendar nutzen;
statt Messanger WhatsApp -> Threema bzw. Threema Business nutzen;
statt Videotelefonie per Skype wechseln auf Big Blue Button.

II. Positionen der Aufsichtsbehörden

Der Europäische Datenschutzausschuss (EDPB) (FAQ von 23.07.2020)11 betont, dass das Urteil des EuGH Anwendung auf alle Übertragungsinstrumente, also auch Bindung Corporate Rules, findet, und dass es keine Übergangsfrist gibt. Die Ausnahmeregelungen des Art. 49 DSGVO, die ja ohnehin für die Übermittlung in unsichere Drittstaaten gedacht sind, können weiterhin angewendet werden.

Soll als Rechtsgrundlage eine Einwilligung des Betroffenen dienen, so ist dieser umfassend über die Risiken der Übermittlung in ein Drittland, in dem er keine Rechtsbehelfe und keinen Rechtsschutz hat, speziell für das betreffende Land zu informieren. Der BGH stellt sehr hohe Anforderungen an die Freiwilligkeit und Informiertheit von Einwilligungen.12

Die Ausnahme „Vertragserfüllung“ greift nur bei gelegentlicher Datenübermittlung und nicht als Standardgrundlage im Massengeschäft.

In der Pressemitteilung der DSK (= Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) vom 28.07.2020 werden insbesondere folgende Punkte angesprochen:

Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.
Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
Die Wertungen des Urteils finden auch auf andere Garantien nach Art. 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt.
Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Art. 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Art. 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht (Anmerkung des Autors: gemeint ist die Leitlinie 2/2018 – zu den Ausnahmen nach Art. 49 der Verordnung 2016/679 –, angenommen am 25.05.2018).
Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

E. Ausblick

Es bleibt abzuwarten, ob und wann die Aufsichtsbehörden, die für ihre vielfältigen Aufgaben zu wenig Personal haben, auf eigene Initiative mit anlasslosen Prüfungen des Drittlanddatentransfers beginnen, oder ob sie auf Beschwerden von Betroffenen warten, und wann und in welcher Höhe die ersten Bußgelder verhängt werden. Wie leicht das gehen kann, zeigen die (fiktiven) Beispiele eines unzufriedenen (ggf. Ex-)Mitarbeiters, der sich über die Übermittlung seiner Daten an die US-Muttergesellschaft bei der Datenschutzaufsicht beschwert, oder eines Kunden einer deutschen Firma, der von Salesforce oder einem anderen US-Marketingunternehmen E-Mails zu Werbezwecken oder Kundenzufriedenheitsbefragungen erhält, und der sich deswegen an die Datenschutzaufsicht wendet.

Zudem sollte der Ausgang des anhängigen Verfahrens vor dem Hohen Gericht in Irland nach der besprochenen EuGH-Entscheidung beobachtet werden.

Die EU-Kommission hat in einer Meldung vom 16.07.2020 mitgeteilt, dass sie bereits seit einiger Zeit an neuen EU-Standardvertragsklauseln arbeitet.13 Sobald die Neufassung veröffentlicht ist, sollten sich Unternehmen mit ihren Vertragspartnern in Drittstaaten über die Erneuerung ihrer Vertragsdokumentation abstimmen. Jedenfalls gibt es bereits Gespräche zwischen der EU-Kommission mit dem US-Handelsminister über ein Nachfolgeabkommen.14


Fußnoten


1)

Benannt nach dem Kläger: Max Schrems; vgl.: https://noyb.eu/de, zuletzt abgerufen am 12.08.2020.

2)

Vgl. zur EuGH-Schrems I-Entscheidung: Seiler, jurisPR-BKR 11/2015 Anm. 2 und Seiler, jurisPR-BKR 1/2016 Anm. 1, vgl. auch https://www.datenschutz-recht-banken.de/wp-content/uploads/2017/08/Seiler-Die-Safe-Harbor-Entscheidung-des-EuGH.pdf, zuletzt abgerufen am 12.08.2020.

3)

ABl. L 207 v. 01.08.2016, S. 1-112.

4)

Büttel, jurisPR-ITR 16/2020 Anm. 4.

5)

EuGH, Urt. v. 06.10.2015 - C-362/14

6)

Vgl. Seiler, Homeoffice, Datenschutz und Corona, abrufbar unter: https://www.datenschutz-recht-medizin.de/homeoffice-arztpraxis-corona/, zuletzt aufgerufen am 12.08.2020.

7)

Clarifying Lawful Overseas Use of Data Act or the CLOUD Act, abrufbar unter: https://www.congress.gov/bill/115th-congress/house-bill/4943, zuletzt abgerufen am 12.08.2020.

8)

EuGH, Urt. v. 06.10.2015 - C-362/14 „Schrems I“.

9)

https://noyb.eu/de/kreditauskunftei-negative-bonitaet-aus-dem-nichts-0, zuletzt abgerufen am 12.08.2020.

10)

Interview mit Brink, Der EuGH könnte seinen Hebel überschätzen, FAZ v. 20.07.2020.

11)

Deutsche Fassung des Autors: https://www.ds-law.eu/wp-content/uploads/2020/07/EDPB-zu-EuGH-Schrems-II-FAQ-23.07.2020.pdf, zuletzt abgerufen am 12.08.2020.

12)

BGH, Urt. v. 28.05.2020 - I ZR 7/16 „Cookie-Einwilligung II“.

13)

Vgl. https://ec.europa.eu/commission/presscorner/detail/de/statement_20_1366, zuletzt abgerufen am 12.08.2020.

14)

Gemeinsame Presseerklärung des EU-Kommissars für Justiz Didier Reynders und des US-Handelsministers Wilbur Ross v. 10.08.2020, abrufbar unter: https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=684836, zuletzt abgerufen am 12.08.2020.



Zur Nachrichten-Übersichtsseite