Das Privacy-Shield-Abkommen ist unwirksam. Damit stehen Datentransfers in die USA vor neuen rechtlichen Hürden. Mit dem Urteil vom 16.07.2020 erklärte der EuGH das Privacy-Shield-Abkommen für unwirksam (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Der EuGH entzieht damit Datentransfers von personenbezogenen Daten in die USA die rechtliche Hauptgrundlage. Zwar sind bisher und auch zukünftig unter bestimmten Voraussetzungen Transfers in die USA möglich, aber so einfach wie unter dem Privacy Shield wird es nicht mehr. Wir erklären im neuen Beitrag, um was es geht und welche Auswirkungen das Ganze für die Praxis hat oder besser haben könnte.
Personenbezogene Daten
Eines vorab: Es geht hier um personenbezogene Daten, also um Daten mit denen ich eine Person identifizieren kann. Umgekehrt spielen Daten mit denen eine Identifizierung der Person nicht möglich ist keine Rolle. Die Anschrift einer GmbH oder eine “info@-E-Mail-Adresse werden in der Regel nicht darunter fallen.
Darüber hinaus spielt das alles nur eine Rolle, wenn ich die Daten nicht nur zu rein persönlichen oder familiären Zwecken verarbeite. Tatsächlich geht es also in erster Linie hier um Daten, die ich im Rahmen meiner geschäftlichen Tätigkeit verarbeite.
Wo ist das Problem?
Die DSGVO erlaubt die Verarbeitung von personenbezogenen Daten außerhalb der EU grundsätzlich nur dann, wenn in dem sogenannten Drittland die Einhaltung der strengen Regeln der DSGVO sichergestellt ist. Das kann über verschiedene Wege erreicht werden. Die Verarbeitung ist z.B. zulässig, wenn eine wirksame Einwilligung von der betroffenen Person vorliegt, die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat oder auf anderem Weg ein angemessenes Schutzniveau sichergestellt ist. Hier kommt der Privacy Shield ins Spiel. Wenn sich ein Unternehmen in den USA verpflichtet auf Basis des EU-USA-Privacy-Shield-Abkommens (mehr hier) das EU-Recht zu beachten, bestand ein angemessenes Schutzniveau. Dieses Abkommen hat der EuGH für unwirksam erklärt. Jetzt gibt es zwar noch andere Mechanismen, mit denen ein Datentransfer in die USA rechtssicher gestaltet werden kann, diese Mechanismen sind aber, sagen wir mal, nicht ganz so praktisch zu handhaben.
Rechtslage
Jetzt ist es natürlich spannend, wie die aktuelle Rechtslage ist. Wir machen es mal kurz. Alle Datentransfers in die USA, die ausschließlich auf dem Privacy Shield aufbauen, dürften aktuell rechtswidrig sein. Das Privacy-Shield-Abkommen ist unwirksam. Damit existiert kein angemessenes Schutzniveau und damit sind auch die auf Basis des Abkommens aufbauenden Verarbeitungen rechtswidrig. Das betrifft Hosting, Payment, Trackingdienste und Dienste zur Webanalyse, soziale Netzwerke oder Plugins die personenbezogene Daten abfragen. Der Einsatz von Google-Analytics dürfte davon ebenso umfasst sein, wie der Betrieb einer Facebook-Fanpage.
Möglichkeiten
Es gibt jetzt diverse andere Möglichkeiten eine rechtskonforme Datenverarbeitung sicherzustellen. Praktisch sind diese Möglichkeiten aber bisher nicht wirklich.
Zulässig sind Datentransfers, wenn die Übermittlung oder sonstige Verarbeitung der Daten zur Erfüllung eines Vertrages mit der betroffenen Person oder zum Abschluss eines Vertrages mit der betroffenen Person auf deren Antrag erforderlich ist.
Einwilligung
Eine andere Möglichkeit ist die Verarbeitung aufgrund der Einwilligung der betroffenen Person. Die Anforderungen an eine wirksame Einwilligung sind hoch. Damit eine wirksame Einwilligung vorliegt, muss die betroffene Person z.B. ausführlich über die beabsichtigte Datenverarbeitung informiert werden. Daran kann es bei einigen US-amerikanischen Diensten schon scheitern. Oftmals ist nicht klar wie die Dienste die Daten verarbeiten, sodass wir in diesem Zusammenhang nicht wirklich informieren können. Außerdem hat die betroffene Person jederzeit das Recht die Einwilligung zu widerrufen. Nach einem Widerruf ist eine weitere Datenverarbeitung ausgeschlossen.
Eine rechtmäßige Datenverarbeitung könnte ebenfalls über sogenannte „binding corporate rules“ ermöglicht werden. Dabei geben sich Unternehmen selbst verbindliche Datenschutzregeln. Diese müssten allerdings extern überprüft und zertifiziert werden. In der Praxis sind derartige regnen eher die Ausnahme.
Standardvertragsklauseln
Eine weitere Möglichkeit sind sogenannte Standardvertragsklauseln. Dabei handelt es sich um Vertragsvorlagen, bei denen sich die Vertragspartner zur Einhaltung der Datenschutzgrundverordnung verpflichten. Die Standardvertragsklauseln hatte der Europäische Gerichtshof sogar explizit für wirksam erklärt. Voraussetzung ist jedoch hier, dass das vereinbarte Niveau tatsächlich existiert. In der Praxis können wir uns vorstellen, dass künftige Datenverarbeitungen auf Grundlage dieser Standardvertragsklauseln stattfinden werden. Diese müssten allerdings von den jeweiligen US-Unternehmen zur Verfügung gestellt werden. Ob das kurzfristig passieren wird, wagen wir zu bezweifeln.
Wie gehe ich in der Praxis mit dem Urteil um?
Zuerst solltest du prüfen, ob Du überhaupt betroffen bist. Das dürfte der Fall sein, wenn Du US-Dienste nutzt und eine Datenverarbeitung in den USA stattfindet. Wenn das der Fall ist, sollte man den Anbieter kontaktieren und versuchen die Datenverarbeitung auf europäische Server zu beschränken. Viele Anbieter wie Amazon Web Services (AWS) oder Microsoft bieten diese Möglichkeit an. Schwierig wird es, wenn der Anbieter diese Möglichkeit bislang nicht anbietet. Jedenfalls in naher Zukunft wird dann eine solche Möglichkeit kaum zur Verfügung stehen. Es ist nicht davon auszugehen, dass Tech-giganten hier in kürzester Zeit derartige Lösungen aus dem Nichts schaffen.
Wenn eine Verarbeitung in Europa nicht ohne Weiteres umgesetzt werden kann, bleiben eigentlich nur zwei Möglichkeiten.
- Möglichkeit 1: Du hörst auf, den jeweiligen Dienst zu nutzen. Das bedeutet konkret Du verzichtest auf den Einsatz von z.B. Google Analytics, das Betreiben einer Facebook-Fanpage oder den Versand Deines Newsletters über einen US-Anbieter.
- Möglichkeit 2: Du wartest ab und hoffst darauf, dass hier schnell Lösungen gefunden werden und bis dahin nichts passiert.
Leider können wir dir aktuell keine Empfehlung in die eine oder die andere Richtung geben. Wenn Du wartest bis eine Lösung gefunden wird, handelst Du in der Zwischenzeit wahrscheinlich rechtswidrig. Das kann unangenehme Folgen haben (dazu gleich mehr).
Wenn Du den Einsatz entsprechender US-Dienstleister stoppst, kann das natürlich sehr unangenehme Auswirkungen für Dein Business haben.
Die Situation ist nicht ganz neu. Bereits mit dem ersten Urteil des EuGH zum Safe-Harbor-Abkommen, gab es ein Rechtsvakuum. Auch damals war nicht klar wie man mit der Verarbeitung von personenbezogenen Daten in den USA umgehen sollte bis man eine Lösung gefunden hat. Diese Lösung wann dann letztlich das Privacy Shield. In der Zwischenzeit ist tatsächlich nicht viel passiert Punkt ob das hier auch der Fall sein wird können wir tatsächlich nicht seriös einschätzen.
Welche Rechtsfolgen drohen?
Was kann passieren, wenn ich zukünftig weiterhin die entsprechenden Dienste einsetze?
Eine Möglichkeit sind Abmahnungen durch Wettbewerber, betroffene Personen oder entsprechende Zweckverbände. Diese machen dann in der Regel einen Unterlassungsanspruch geltend und fordern die Erstattung der entsprechenden Abmahngebühren. Ob es jetzt eine Abmahnwelle kommt wissen wir nicht. Tatsächlich hielten sich gerade im Bereich des Datenschutzes Abmahnwellen trotz vielfacher Ankündigung in den letzten Jahren doch in Grenzen. Richtige Wellen gab es tatsächlich nicht. Zwar gab es vereinzelte Abmahnungen, aber keine befürchteten Massenabmahnungen. Insofern kann man nur hoffen, dass das jetzt genauso abläuft, bis eine Lösung gefunden ist.
Unabhängig von Abmahnungen besteht natürlich immer noch die Gefahr, dass Datenschutzbehörden entsprechende Maßnahmen einleiten. Dass können bloße Handlungsempfehlungen sein, aber auch saftige Bußgelder.
Fazit und Praxishinweise
Das Urteil führt wieder einmal zu Rechtsunsicherheit. Ein Blick in die Vergangenheit zeigt aber, dass solche Krisen bisher immer weniger praktische Auswirkungen hatten als zunächst befürchtet. Hier können wir nur hoffen, dass dies auch diesmal der Fall ist.
