Überraschend hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom „Privacy Shield“ gebotenen Schutzes für ungültig erklärt. Auf Basis des Privacy Shield dürfen nun keine personenbezogenen Daten mehr in die USA übermittelt werden.
Dieser Beitrag zeigt Ihnen kurz die Hintergründe, die Entscheidung des Gerichts und die praktischen Folgen des Urteils.
Hintergrund
Die Datenschutzgrundverordnung (DSGVO) stellt innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR) einen einheitlichen Datenschutz sicher. Dieser soll bei der Übermittlung von personenbezogenen Daten in ein anderes Land (außerhalb EU bzw. EWR) nicht untergraben werden. Daher dürfen personenbezogene Daten in der Regel nur dann in ein Drittland übermittelt werden, wenn dieses ein angemessenes Schutzniveau gewährleisten kann.
Das angemessene Datenschutzniveau kann insbesondere durch einen sogenannten Angemessenheitsbeschluss der EU-Kommission oder aber auch durch den Abschluss von sogenannten Standardvertragsklauseln nachgewiesen werden.
Angemessenheitsbeschluss
Eine Übermittlung personenbezogener Daten in einen Drittstaat ist zulässig, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
Ein Angemessenheitsbeschluss bescheinigt dem Drittland oder der betreffenden Organisation ein angemessenes Datenschutzniveau. Zugleich wird die Übermittlung von Daten in ein Drittland oder an eine betreffende Organisation privilegiert, so dass es keiner weiteren Genehmigungen bedarf. Im Rahmen des Beschluss zum EU-US Privacy-Shield hatten sich mehr als 5000 US-Unternehmen zertifiziert. Die Übermittlung von Daten an diese Unternehmen war daher bisher zulässig.
Standardvertragsklauseln
Bietet ein Drittland kein angemessenes Datenschutzniveau, können ohne aufsichtsbehördliche Genehmigung auch Standard-Datenschutzklauseln der Europäischen Kommission verwendet werden. In diesem Fall verpflichtet sich das außereuropäische Unternehmen zur Einhaltung eines angemessenen und den Anforderungen aus der DSGVO entsprechenden Datenschutzniveaus.
Das Urteil des EuGH
Nach dem Urteil des EuGH (Urteil vom 16.07.2020, Az.: C-311/18) dürfen nun keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield ist daher rechtswidrig.
Nach amerikanischem Recht können Unternehmen verpflichtet werden, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.
Hierzu stellte das Gericht fest:
„Die von der Kommission im [Privacy Shield] bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, [sind] nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach [nach dem Grundsatz der Verhältnismäßigkeit] bestehenden Anforderungen der Sache nach gleichwertig wären.“
Weiter heißt es:
„[Es kann] nicht angenommen werden […], dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“
Die Pressemitteilung kann hier abgerufen werden: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil steht hier zum Dowload bereit: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082
Praktische Folgen
[Aktualisiert am 11.09.2020]
Die Übermittlung von Daten in die USA, die ausschließlich auf der Grundlage vom Privacy Shield erfolgt, muss entweder eingestellt werden oder benötigt eine andere Grundlage. Hierfür gibt es leider keine Übergangsfrist. Im Fall der Datenübermittlung in die USA reichen Standardvertragsklauseln ohne weitere zusätzliche Garantien nicht aus.
Die Aufsichtsbehörde aus Baden Württemberg empfiehlt insoweit den Abschluss gesonderter Vereinbarungen. Dies können Sie in der entsprechenden Orientierungshilfe ab S. 11 nachlesen.
Ich persönlich glaube nicht, dass der Abschluss einer zusätzlichen Vereinbarungen mit den großen US-Anbietern gelingen wird. Die Diskussion darüber bleibt unübersichtlich. Meine Empfehlung ist: Suchen Sie nach Alternativen aus Deutschland oder zumindest der EU.
Folgende Prüfungsschritte sollten Sie zumindest unternehmen, wenn ein Wechsel des Dienstleisters für Sie nicht in Betracht kommt:
Schritt 1: Bestandsaufnahme
Finden Sie zunächst heraus, welche Daten in die USA übermittelt werden. Daten können grundsätzlich an Auftragsverarbeiter, Gemeinsam Verantwortliche oder selbst Verantwortliche übermittelt werden. Prüfen Sie auch die Subauftragnehmer ihrer Auftragsverarbeiter. Diese finden Sie regelmäßig im Auftragsverarbeitungsvertrag bzw. in dessen Anlagen. Sie werden feststellen, dass zahlreiche deutsche Anbieter noch immer US-Dienste nutzen.
Schritt 2: Prüfen der Rechtsgrundlage
Prüfen Sie nun, ob mit den betreffenden US-Anbietern Standardvertragsklauseln abgeschlossen wurden. Eher selten kommen als Rechtsgrundlage auch erforderliche Datentransfers oder Einwilligungen (Art. 49 DSGVO) der Betroffenen in Betracht.
Schritt 3: Anfrage beim Dienstleister
Um das Datenschutzniveau prüfen zu können, müssen Sie nun jeden einzelnen Dienstleister anfragen. Ein Muster stelle ich Ihnen bei Anfrage gern zur Verfügung. Aufgrund der mitunter langen Antwortzeiten sollten Sie sich intern eine Frist setzen und nach deren Ablauf erneut nachfragen.
Schritt 4: Beurteilung des Risikos und der Schutzmaßnahmen
Nach Erhalt der Auskunft folgt die Bewertung des Risikos für die Betroffenen. Hier kommt es insbesondere darauf an, welche Daten Gegenstand der Verarbeitung sind und welche Schutzmaßnahmen vom jeweiligen Dienstleister getroffen worden. Insbesondere folgende Punkte sollten überprüft werden:
• Verarbeitung auf EU-Servern
• Verschlüsselung der Daten, Schutz vor behördlichen Zugriffen
• Zusicherung der Prüfung und Abwehr von Anfragen der US-Behörde
• Zusicherung der Information über Behördenanfragen
• Zusicherung einer Vertragsstrafe bei Verstößen
• Nachweis von Maßnahmen durch Audits
Schritt 5: Weitere Nutzung oder Einstellung
Ist im Ergebnis ein angemessenes Datenschutzniveau gewährleistet, so können Sie den Anbieter weiter nutzen. Wenn nicht, dann sollten Sie die Verarbeitung einstellen und eine Alternative für den Dienstleister suchen.
Schritt 6: Anpassung der Hinweise und des Verzeichnisses
Unabhängig davon, ob Sie den Dienstleister weiter nutzen oder kündigen sind die Informationspflichten (Art. 13 Abs. 1 f DSGVO) und das Verzeichnis der Verarbeitungstätigkeiten anzupassen.
Update vom 20.11.2020
Inzwischen gibt es eine Stellungnahme des Europäische Datenschutzausschusses (EDSA) zur Frage, welche zusätzlichen Maßnahme in Betracht kommen können. Hierzu lesen mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/massnahmen-bei-standardvertragsklauseln/.
Die Organisation von Max Schrems (noyb) hat inzwischen Beschwere gegenüber 101 europäischen Unternehmen erhoben. Hierunter zählen Firmen wie TV Spielfilm, Lieferando und chefkoch, die ihre Websites noch immer unter Verwendung von Facebook Connect und Google Analytics betreiben. Die Übersicht aller Unternehmen finden Sie hier: https://noyb.eu/en/eu-us-transfers-complaint-overview.
Zum Nachlesen: Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems: abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf
Kommen Sie gern auf mich zu, wenn Sie zum Beispiel bei der Beurteilung des Risikos und der Schutzmaßnahmen Hilfe brauchen.
Rechtsanwalt Robert Harzewski